Российские компании попали под новую волну атак группировки Silver Fox, о которой рассказали эксперты «Лаборатории Касперского». Кампания затронула организации из промышленности, консалтинга, торговли и транспорта, а основным крючком стала классика социальной инженерии: письма, замаскированные под официальные уведомления от налоговой службы.
С начала января по начало февраля исследователи зафиксировали более 1600 таких рассылок.
Схема выглядит банально: получателю сообщают о якобы серьёзных нарушениях и подталкивают как можно быстрее открыть вложение и разобраться. Но в этот раз Silver Fox обновила подачу.
Если раньше чаще встречались вредоносные архивы, то теперь атакующие прикрепляют PDF-документ, внутри которого спрятаны ссылки на скачивание. Зачем так усложнять? По сути, чтобы аккуратнее проскочить почтовые фильтры: внешне письмо выглядит чинно, а опасная часть уезжает на следующий шаг цепочки.
Главное новшество — инструментарий. В январской кампании злоумышленники использовали ранее неизвестные загрузчики и Python-бэкдор, который исследователи назвали ABCDoor.
Его запускали через уже знакомый по прошлым атакам бэкдор ValleyRAT (он же Winos). ABCDoor даёт атакующим удалённый доступ и довольно широкий набор возможностей: от управления системой и работы с файлами до кейлоггинга, доступа к буферу обмена и даже трансляции нескольких экранов жертвы почти в режиме реального времени. Плюс он умеет обновляться, закрепляться и подстраиваться по ходу атаки.
Цепочка доставки тоже стала интереснее: для загрузки ValleyRAT, по данным исследователей, применялась модифицированная, ранее неизвестная версия RustSL, впервые её заметили ещё в конце декабря 2025 года. Всё это делает кампанию более живучей: разные домены, разные адреса отправителей, несколько этапов доставки, а каждый кусок цепочки сложнее отрубить одним движением.
«Социальная инженерия сыграла ключевую роль в данной кампании — группировка воспользовались тем, что люди обычно доверяют уведомлениям от официальных ведомств, например от налоговой службы. При этом Silver Fox применила многоступенчатый подход к доставке основной вредоносной нагрузки, а также задействовала разные адреса и домены. Это повышает опасность подобных атак, поскольку такой метод позволяет злоумышленникам минимизировать риск обнаружения и блокировки всей цепочки атаки», — прокомментировал Антон Каргин, эксперт Kaspersky GReAT.
Ранее Silver Fox в основном атаковала компании в Азии (телеком, энергетика, логистика, финансы), а на российские организации, как отмечают в «Лаборатории Касперского», группировка впервые переключилась в конце 2025 года. Сейчас атакующие явно нащупывают здесь почву.
Решения «Лаборатории Касперского» детектируют связанные компоненты атаки как: Trojan-Spy.Win64.Pycl.a, Trojan-Downloader.Script.Generic, Trojan.Win32.RSL, Trojan.Win32.Agentb, Trojan.Win32.Injuke, Backdoor.Win32.Xkcp, Trojan-Downloader.Win32.Agent.
