الملف يستغل برنامجاً شرعياً يُعرف بـ Thunder.exe إلى جانب مكتبة DLL خبيثة (libexpat.dll) يتم تحميلها بشكل جانبي، ما يسمح بتعطيل خدمة تحديثات ويندوز وتنفيذ سلسلة من الفحوصات المضادة للتحليل قبل حقن الحمولة النهائية وهي برمجية ValleyRAT داخل عملية “explorer.exe”.
خلفيات عن مجموعة Silver Fox
تُعرف المجموعة أيضاً بأسماء مثل SwimSnake وValley Thief وVoid Arachne، ونشطت منذ عام 2022 في حملات متعددة الأهداف تشمل التجسس، جمع المعلومات الاستخباراتية، التعدين الخفي للعملات الرقمية، وتعطيل العمليات. على الرغم من تركيزها الأساسي على الأفراد والمؤسسات الناطقة بالصينية، فقد وسّعت نطاق ضحاياها ليشمل قطاعات عامة ومالية وطبية وتقنية في مناطق مختلفة.
من أبرز أساليبها استخدام التسميم عبر تحسين محركات البحث (SEO poisoning) إلى جانب التصيّد لنشر نسخ مختلفة من برمجيات التحكم عن بُعد مثل Gh0st RAT وGh0stCringe وHoldingHands RAT.
قدرات ValleyRAT وآلية الانتشار
برمجية ValleyRAT تتميز ببنية قائمة على الإضافات (Plugins) تسمح للمهاجمين بتوسيع وظائفها بشكل مخصص، بما يشمل تسجيل ضغطات لوحة المفاتيح، سرقة بيانات الاعتماد، وتجنب أنظمة الحماية. كما أن الإضافات المقيمة في السجل (Registry) وتقنية “التأخير في الإشارة” تمنحها القدرة على البقاء بعد إعادة تشغيل الجهاز مع تقليل الضوضاء الرقمية.
التحقيقات أظهرت أن المجموعة استخدمت مواقع مزيفة تنتحل تطبيقات شهيرة مثل Microsoft Teams وTelegram وSignal وWPS Office، حيث يتم توزيع ملفات مضغوطة تحتوي على مثبتات خبيثة تقوم بتعطيل Microsoft Defender، إنشاء مهام مجدولة لضمان الاستمرارية، ثم الاتصال بخادم خارجي لجلب الحمولة النهائية.
أدلة إضافية على البنية التحتية للهجوم
أشارت NCC Group إلى اكتشاف لوحة إدارة روابط مكشوفة (“ssl3[.]space”) تُستخدم لتتبع نشاط التنزيل المرتبط بالمثبتات الخبيثة. البيانات أظهرت مئات النقرات من الصين إلى جانب ضحايا في آسيا والمحيط الهادئ وأوروبا وأمريكا الشمالية، مما يؤكد اتساع نطاق الحملة. كما ربطت تقارير أخرى المجموعة بعمليات “علم زائف” تحاكي أساليب قراصنة روس لتضليل جهود الإسناد.
