SOC Prime Bias: Crítico

10 Apr 2026 13:52 UTC

Zorro Plateado Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegrama

Author Photo
SOC Prime Team linkedin icon Seguir
Zorro Plateado Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegrama
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un instalador MSI deshonesto que se hace pasar por un paquete de idioma chino de Telegram entrega una cadena de infección por capas que involucra a ValleyRAT, un rootkit de kernel basado en BYOVD, y un ejecutable firmado de ByteDance abusado para la carga lateral de DLL. El instalador también usa indebidamente la utilidad legítima de archivado zpaqfranz como un binario de living-off-the-land y despliega el controlador wnBios vulnerable para acceder a la memoria física. Los investigadores vincularon la infraestructura detrás de la operación a CTG Server Ltd en Hong Kong y atribuyeron la actividad al grupo APT Silver Fox. La campaña parece estar dirigida a usuarios de habla china en varios países de la región de Asia-Pacífico.

Investigación

Los investigadores reconstruyeron el flujo completo del ataque, comenzando con la acción personalizada del MSI y continuando con la extracción de archivos ZPAQ, el uso selectivo del binario ByteDance SodaMusicLauncher para la carga lateral de DLL y el despliegue del controlador de kernel wnBios. El análisis de los datos de configuración integrados expuso identificadores de operadores y detalles de comando y control. La infraestructura de soporte estaba vinculada a alojamiento a prueba de balas previamente asociado con Silver Fox. Los investigadores también descubrieron técnicas de persistencia y lógica de evasión consciente de antivirus utilizada a lo largo de la cadena de intrusión.

Mitigación

Prevenga la ejecución del binario zpaqfranz fuera de entornos de copia de seguridad o desarrollo aprobados y supervise de cerca las instalaciones MSI que dependan de acciones personalizadas de VBScript. Limite la creación de AppShellElevationService y detecte DLLs no firmadas colocadas junto a binarios firmados de confianza. Bloquee la comunicación saliente al rango de red /21 identificado operado por CTG Server Ltd y niegue el tráfico sobre el puerto C2 personalizado 5040. Fortalezca las protecciones basadas en host contra los nombres de archivos maliciosos y nombres de procesos observados en esta campaña.

Respuesta

Despliegue detecciones para los archivos identificados, procesos generados y eventos de creación de servicios sospechosos. Realice búsquedas del controlador de kernel vulnerable y la lógica de descifrado distintiva basada en XOR del malware. Aísle sistemas potencialmente afectados, recopile imágenes de memoria para una investigación más profunda de rootkit y restablezca cualquier credencial expuesta durante la vulneración. Los equipos de inteligencia de amenazas deben continuar rastreando la infraestructura de CTG Server para actividad de seguimiento relacionada.

Flujo de Ataque

Detecciones

Posibles Indicadores de Ofuscación de Powershell (vía powershell)

Equipo SOC Prime
10 Abr 2026

Llamada a Clases/Métodos .NET Sospechosos desde Powershell CommandLine (vía process_creation)

Equipo SOC Prime
10 Abr 2026

Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)

Equipo SOC Prime
10 Abr 2026

Posibles Comunicaciones de Búsqueda de Dominio de IP Intentadas (vía dns)

Equipo SOC Prime
10 Abr 2026

Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)

Equipo SOC Prime
10 Abr 2026

IOCs (HashSha256) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram

Reglas AI de SOC Prime
10 Abr 2026

IOCs (HashMd5) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram

Reglas AI de SOC Prime
10 Abr 2026

IOCs (DestinationIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram

Reglas AI de SOC Prime
10 Abr 2026

IOCs (SourceIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram

Reglas AI de SOC Prime
10 Abr 2026

Detectar Eventos de Carga de Controlador de Kernel con wnBios para Acceso a Memoria Física [Carga de Imagen de Windows]

Reglas AI de SOC Prime
10 Abr 2026

Detectar Ejecución de Binarios Maliciosos Usados por Silver Fox APT [Creación de Procesos de Windows]

Reglas AI de SOC Prime
10 Abr 2026

Comunicación C2 de ValleyRAT en el Puerto 5040 [Conexión de Red de Windows]

Reglas AI de SOC Prime
10 Abr 2026

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta que espera la lógica de detección.

  • Narrativa de Ataque y Comandos:

    El actor de amenazas recibe un enlace de spear-phishing (T1566.002) que deposita zpaqfranz.exe en la estación de trabajo de la víctima. El binario es una herramienta de compresión de apariencia legítima reutilizada como un LOLBin (T1036). El atacante luego lo lanza a través de PowerShell (T1059.001) con una línea de comandos oculta que instruye a la herramienta descomprimir una carga útil de ValleyRAT empaquetada (T1027) y ejecutarla. El proceso se ejecuta bajo el contexto del usuario actual, generando un evento de creación de procesos de Windows que coincide con la condition del Image|endswith 'zpaqfranz.exe' .

    Paso a paso:

    1. Coloque el binario malicioso in %TEMP%.
    2. Ejecute el binario con PowerShell, pasando un argumento ficticio (-extract) para imitar la carga útil real.
    3. Mantenga el proceso por un breve periodo, luego salga.
  • Script de Prueba de Regresión:

    # Simulación de Ejecución de LOLBin de Silver Fox
    $tempPath = "$env:TEMPzpaqfranz.exe"
    
    # 1. Copie un ejecutable benigno para hacerse pasar por el LOLBin malicioso
    #    (En una prueba real, dejaría caer el binario malicioso real.)
    Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force
    
    # 2. Ejecute el LOLBin a través de PowerShell (simulación T1059.001)
    $args = "-extract C:Temppayload.bin"
    Write-Host "Lanzando $tempPath $args"
    Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow
    
    # 3. Espere unos segundos para asegurar que el evento se registre
    Start-Sleep -Seconds 5
    
    # 4. Opcional: simule la limpieza (elimine el binario soltado)
    Remove-Item -Path $tempPath -Force
  • Comandos de Limpieza:

    # Elimine cualquier artefacto residual de la simulación
    $tempPath = "$env:TEMPzpaqfranz.exe"
    if (Test-Path $tempPath) { Remove-Item $tempPath -Force }
    
    # Termine procesos de calc.exe perdidos que pueden haber sido lanzados inadvertidamente
    Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force