SOC Prime Bias: Crítico

10 Apr 2026 13:52 UTC

Silver Fox Envolve ValleyRAT em ZPAQ e um Binário ByteDance: Um Isco de Pacote de Idioma Chinês do Telegram MSI

Author Photo
SOC Prime Team linkedin icon Seguir
Silver Fox Envolve ValleyRAT em ZPAQ e um Binário ByteDance: Um Isco de Pacote de Idioma Chinês do Telegram MSI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um instalador MSI malicioso disfarçado como um pacote de idioma chinês do Telegram entrega uma cadeia de infecção em camadas envolvendo ValleyRAT, um rootkit de kernel baseado em BYOVD, e um executável ByteDance assinado abusado para carregamento lateral de DLL. O instalador também faz mau uso do utilitário de arquivamento legítimo zpaqfranz como um binário de sobrevivência e implanta o driver vulnerável wnBios para acessar a memória física. Pesquisadores ligaram a infraestrutura por trás da operação à CTG Server Ltd em Hong Kong e atribuíram a atividade ao grupo APT Silver Fox. A campanha parece visar usuários que falam chinês em vários países da região Ásia-Pacífico.

Investigação

Pesquisadores reconstruíram todo o fluxo de ataque, começando com a ação personalizada do MSI e continuando pela extração de arquivos ZPAQ, o uso seletivo do binário ByteDance SodaMusicLauncher para carregamento lateral de DLL e a implantação do driver de kernel wnBios. A análise dos dados de configuração embutidos expôs identificadores de operadores e detalhes de comando e controle. A infraestrutura de suporte foi ligada a uma hospedagem à prova de balas anteriormente associada ao Silver Fox. Investigadores também descobriram técnicas de persistência e lógica de evasão consciente de antivírus usadas ao longo da cadeia de intrusão.

Mitigação

Impedir a execução do binário zpaqfranz fora de ambientes aprovados de backup ou desenvolvimento e monitorar de perto as instalações de MSI que dependem de ações personalizadas em VBScript. Limitar a criação do AppShellElevationService e detectar DLLs não assinadas colocadas ao lado de binários assinados confiáveis. Bloquear a comunicação de saída para a faixa de rede /21 identificada operada pela CTG Server Ltd e negar tráfego sobre a porta C2 personalizada 5040. Reforçar as proteções baseadas em host contra os nomes de arquivos e nomes de processos maliciosos observados nesta campanha.

Resposta

Implantar detecções para os arquivos identificados, processos gerados e eventos suspeitos de criação de serviço. Conduzir buscas pelo driver de kernel vulnerável e pela lógica de descriptografia baseada em XOR distintiva do malware. Isolar sistemas potencialmente afetados, coletar imagens de memória para uma investigação mais profunda do rootkit e redefinir quaisquer credenciais expostas durante a violação. As equipes de inteligência de ameaças devem continuar rastreando a infraestrutura da CTG Server para atividades subsequentes relacionadas.

Attack Flow

Detections

Possible Powershell Obfuscation Indicators (via powershell)

SOC Prime Team
10 Apr 2026

Call Suspicious .NET Classes/Methods from Powershell CommandLine (via process_creation)

SOC Prime Team
10 Apr 2026

Suspicious Command and Control by Unusual Top Level Domain (TLD) DNS Request (via dns)

SOC Prime Team
10 Apr 2026

Possible IP Lookup Domain Communications Attempted (via dns)

SOC Prime Team
10 Apr 2026

Call Suspicious .NET Methods from Powershell (via powershell)

SOC Prime Team
10 Apr 2026

IOCs (HashSha256) to detect: Silver Fox Wraps ValleyRAT in ZPAQ and a ByteDance Binary: A Telegram Chinese Language Pack MSI Lure

SOC Prime AI Rules
10 Apr 2026

IOCs (HashMd5) to detect: Silver Fox Wraps ValleyRAT in ZPAQ and a ByteDance Binary: A Telegram Chinese Language Pack MSI Lure

SOC Prime AI Rules
10 Apr 2026

IOCs (DestinationIP) to detect: Silver Fox Wraps ValleyRAT in ZPAQ and a ByteDance Binary: A Telegram Chinese Language Pack MSI Lure

SOC Prime AI Rules
10 Apr 2026

IOCs (SourceIP) to detect: Silver Fox Wraps ValleyRAT in ZPAQ and a ByteDance Binary: A Telegram Chinese Language Pack MSI Lure

SOC Prime AI Rules
10 Apr 2026

Detect Kernel Driver Load Events with wnBios for Physical Memory Access [Windows Image Load]

SOC Prime AI Rules
10 Apr 2026

Detect Execution of Malicious Binaries Used by Silver Fox APT [Windows Process Creation]

SOC Prime AI Rules
10 Apr 2026

ValleyRAT C2 Communication on Port 5040 [Windows Network Connection]

SOC Prime AI Rules
10 Apr 2026

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    The threat actor receives a spear‑phishing link (T1566.002) that drops zpaqfranz.exe onto the victim workstation. The binary is a legitimate‑looking compression tool repurposed as a LOLBin (T1036). The attacker then launches it via PowerShell (T1059.001) with a hidden command line that instructs the tool to decompress a packed ValleyRAT payload (T1027) and execute it. The process runs under the current user context, generating a Windows process‑creation event that matches the rule’s Image|endswith 'zpaqfranz.exe' condition.

    Step‑by‑step:

    1. Stage the malicious binary in %TEMP%.
    2. Execute the binary with PowerShell, passing a dummy argument (-extract) to mimic the real payload.
    3. Maintain the process for a short period, then exit.
  • Regression Test Script:

    # Silver Fox LOLBin Execution Simulation
    $tempPath = "$env:TEMPzpaqfranz.exe"
    
    # 1. Copy a benign executable to masquerade as the malicious LOLBin
    #    (In a real test you would drop the actual malicious binary.)
    Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force
    
    # 2. Execute the LOLBin via PowerShell (simulating T1059.001)
    $args = "-extract C:Temppayload.bin"
    Write-Host "Launching $tempPath $args"
    Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow
    
    # 3. Wait a few seconds to ensure the event is logged
    Start-Sleep -Seconds 5
    
    # 4. Optional: simulate cleanup (delete the dropped binary)
    Remove-Item -Path $tempPath -Force
  • Cleanup Commands:

    # Remove any residual artefacts from the simulation
    $tempPath = "$env:TEMPzpaqfranz.exe"
    if (Test-Path $tempPath) { Remove-Item $tempPath -Force }
    
    # Terminate stray calc.exe processes that may have been launched inadvertently
    Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force