Zorro Plateado Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegrama
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador MSI deshonesto que se hace pasar por un paquete de idioma chino de Telegram entrega una cadena de infección por capas que involucra a ValleyRAT, un rootkit de kernel basado en BYOVD, y un ejecutable firmado de ByteDance abusado para la carga lateral de DLL. El instalador también usa indebidamente la utilidad legítima de archivado zpaqfranz como un binario de living-off-the-land y despliega el controlador wnBios vulnerable para acceder a la memoria física. Los investigadores vincularon la infraestructura detrás de la operación a CTG Server Ltd en Hong Kong y atribuyeron la actividad al grupo APT Silver Fox. La campaña parece estar dirigida a usuarios de habla china en varios países de la región de Asia-Pacífico.
Investigación
Los investigadores reconstruyeron el flujo completo del ataque, comenzando con la acción personalizada del MSI y continuando con la extracción de archivos ZPAQ, el uso selectivo del binario ByteDance SodaMusicLauncher para la carga lateral de DLL y el despliegue del controlador de kernel wnBios. El análisis de los datos de configuración integrados expuso identificadores de operadores y detalles de comando y control. La infraestructura de soporte estaba vinculada a alojamiento a prueba de balas previamente asociado con Silver Fox. Los investigadores también descubrieron técnicas de persistencia y lógica de evasión consciente de antivirus utilizada a lo largo de la cadena de intrusión.
Mitigación
Prevenga la ejecución del binario zpaqfranz fuera de entornos de copia de seguridad o desarrollo aprobados y supervise de cerca las instalaciones MSI que dependan de acciones personalizadas de VBScript. Limite la creación de AppShellElevationService y detecte DLLs no firmadas colocadas junto a binarios firmados de confianza. Bloquee la comunicación saliente al rango de red /21 identificado operado por CTG Server Ltd y niegue el tráfico sobre el puerto C2 personalizado 5040. Fortalezca las protecciones basadas en host contra los nombres de archivos maliciosos y nombres de procesos observados en esta campaña.
Respuesta
Despliegue detecciones para los archivos identificados, procesos generados y eventos de creación de servicios sospechosos. Realice búsquedas del controlador de kernel vulnerable y la lógica de descifrado distintiva basada en XOR del malware. Aísle sistemas potencialmente afectados, recopile imágenes de memoria para una investigación más profunda de rootkit y restablezca cualquier credencial expuesta durante la vulneración. Los equipos de inteligencia de amenazas deben continuar rastreando la infraestructura de CTG Server para actividad de seguimiento relacionada.
Flujo de Ataque
Detecciones
Posibles Indicadores de Ofuscación de Powershell (vía powershell)
Ver
Llamada a Clases/Métodos .NET Sospechosos desde Powershell CommandLine (vía process_creation)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Posibles Comunicaciones de Búsqueda de Dominio de IP Intentadas (vía dns)
Ver
Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)
Ver
IOCs (HashSha256) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (HashMd5) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (DestinationIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (SourceIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
Detectar Eventos de Carga de Controlador de Kernel con wnBios para Acceso a Memoria Física [Carga de Imagen de Windows]
Ver
Detectar Ejecución de Binarios Maliciosos Usados por Silver Fox APT [Creación de Procesos de Windows]
Ver
Comunicación C2 de ValleyRAT en el Puerto 5040 [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta que espera la lógica de detección.
-
Narrativa de Ataque y Comandos:
El actor de amenazas recibe un enlace de spear-phishing (T1566.002) que deposita
zpaqfranz.exeen la estación de trabajo de la víctima. El binario es una herramienta de compresión de apariencia legítima reutilizada como un LOLBin (T1036). El atacante luego lo lanza a través de PowerShell (T1059.001) con una línea de comandos oculta que instruye a la herramienta descomprimir una carga útil de ValleyRAT empaquetada (T1027) y ejecutarla. El proceso se ejecuta bajo el contexto del usuario actual, generando un evento de creación de procesos de Windows que coincide con lacondition del Image|endswith 'zpaqfranz.exe'.Paso a paso:
- Coloque el binario malicioso in
%TEMP%. - Ejecute el binario con PowerShell, pasando un argumento ficticio (
-extract) para imitar la carga útil real. - Mantenga el proceso por un breve periodo, luego salga.
- Coloque el binario malicioso in
-
Script de Prueba de Regresión:
# Simulación de Ejecución de LOLBin de Silver Fox $tempPath = "$env:TEMPzpaqfranz.exe" # 1. Copie un ejecutable benigno para hacerse pasar por el LOLBin malicioso # (En una prueba real, dejaría caer el binario malicioso real.) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Ejecute el LOLBin a través de PowerShell (simulación T1059.001) $args = "-extract C:Temppayload.bin" Write-Host "Lanzando $tempPath $args" Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow # 3. Espere unos segundos para asegurar que el evento se registre Start-Sleep -Seconds 5 # 4. Opcional: simule la limpieza (elimine el binario soltado) Remove-Item -Path $tempPath -Force -
Comandos de Limpieza:
# Elimine cualquier artefacto residual de la simulación $tempPath = "$env:TEMPzpaqfranz.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force } # Termine procesos de calc.exe perdidos que pueden haber sido lanzados inadvertidamente Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force