El grupo de ciberdelincuencia con sede en China conocido como Silver Fox (también llamado Monarch, SwimSnake, The Great Thief of Valley, UTG-Q-1000 y Void Arachne) ha sido vinculado a una nueva campaña que afecta a organizaciones en Rusia e India con un nuevo malware denominado ABCDoor.
La actividad comenzó con correos electrónicos de phishing que imitaban comunicaciones del Departamento de Impuestos sobre la Renta de India en diciembre de 2025, seguida de una campaña similar dirigida a entidades rusas en enero de 2026.
"Ambas oleadas siguieron una estructura casi idéntica: los correos de phishing se presentaban como avisos oficiales sobre auditorías fiscales o solicitaban al usuario descargar un archivo que contenía una 'lista de infracciones fiscales'", dijo Kaspersky. "Dentro del archivo había un cargador modificado basado en Rust, extraído de un repositorio público. Este cargador descargaba y ejecutaba el conocido backdoor ValleyRAT".
Se estima que la campaña ha afectado a organizaciones de los sectores industrial, consultoría, comercio minorista y transporte. Se detectaron más de 1.600 correos electrónicos de phishing entre principios de enero y principios de febrero.
Lo notable de estas oleadas de phishing es la entrega de un nuevo plugin de ValleyRAT que funciona como cargador para un backdoor basado en Python no documentado anteriormente, con el nombre en clave ABCDoor. Según la empresa rusa de ciberseguridad, el backdoor ha sido parte del arsenal del actor de amenazas desde al menos el 19 de diciembre de 2024, y se puso en uso en ciberataques a partir de febrero o marzo de 2025.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que contiene un archivo PDF, el cual presenta dos enlaces en los que se puede hacer clic y que llevan a la descarga de un archivo ZIP o RAR alojado en "abc.haijing88[.]com". En la campaña detectada en diciembre de 2025, se dice que el código malicioso estaba incrustado directamente en los archivos adjuntos al correo.
Dentro del archivo se encuentra un ejecutable que simula ser un archivo PDF. El binario es una versión modificada de un cargador de shellcode de código abierto y un marco de evasión antivirus llamado RustSL. El primer uso registrado de RustSL por parte de Silver Fox data de finales de diciembre de 2025.
El objetivo final de la variante de RustSL de Silver Fox es desempaquetar la carga maliciosa cifrada, mientras implementa geofencing basado en país y comprobaciones de entorno para detectar máquinas virtuales y sandboxes. Mientras que la variante de GitHub solo incluye a China en su lista de países, la versión personalizada incluye India, Indonesia, Sudáfrica, Rusia y Camboya.
Se ha encontrado que una variante del cargador emplea un método novedoso llamado Phantom Persistence para establecer persistencia en el host comprometido. Fue documentado por primera vez en junio de 2025.
"Este método abusa de la funcionalidad diseñada para permitir que las aplicaciones que requieren un reinicio para completar las actualizaciones realicen el proceso de instalación correctamente", explicó Kaspersky. "Los atacantes interceptan la señal de apagado del sistema, detienen la secuencia de apagado normal y provocan un reinicio bajo la apariencia de una actualización del malware. En consecuencia, el cargador obliga al sistema a ejecutarlo al iniciar el sistema operativo".
La carga cifrada cargada por RustSL da como resultado la descarga del malware ValleyRAT cifrado (también conocido como Winos 4.0), con el componente principal ("login-module.dll_bin") responsable de las comunicaciones de comando y control (C2), la ejecución de comandos y la recuperación y ejecución de módulos adicionales.
Uno de los módulos personalizados implementados como parte del ataque después de una segunda comprobación de geofencing es ABCDoor, que se contacta con un servidor externo a través de HTTPS y procesa los mensajes entrantes para facilitar la persistencia, manejar las actualizaciones y eliminación del backdoor, recopilar datos como capturas de pantalla, permitir el control remoto del ratón y el teclado, realizar operaciones del sistema de archivos, gestionar procesos del sistema y exfiltrar el contenido del portapapeles.
A partir de noviembre de 2025, se ha observado que Silver Fox utiliza un cargador JavaScript para entregar ABCDoor, distribuido mediante archivos SFX (autoextraíbles) empaquetados en archivos ZIP probablemente enviados por correos de phishing. Las versiones más recientes de RustSL han ampliado el enfoque geográfico para incluir Japón.
El mayor número de ataques se ha detectado en India, Rusia e Indonesia, seguidos de Sudáfrica y Japón. La mayoría de las muestras de cargadores descubiertas han empleado señuelos con temática fiscal para imitar la secuencia de infección.
"Desde 2024, [Silver Fox] ha evolucionado hacia un modelo operativo de doble vía que realiza simultáneamente actividades oportunistas extensivas con fines de lucro y actividades de espionaje", dijo S2W. "En las primeras etapas, el grupo atacaba a China, pero luego amplió su alcance operativo a Taiwán y Japón".
"El grupo Silver Fox utiliza principalmente técnicas de spear phishing altamente personalizadas para la infiltración inicial, implementando escenarios de ataque sofisticados y diversificados adaptados a los problemas estacionales del país objetivo y las características laborales del objetivo".
