Специалисты обнаружили новую вредоносную кампанию Silver Fox (она же Void Arachne), в которой используются фиктивные сайты. Ресурсы якобы распространяют популярное ПО (WPS Office, Sogou и DeepSeek), но на самом деле используются для доставки Sainbox RAT и опенсорсного руткита Hidden.
По данным Netskope Threat Labs, фишинговые сайты (например, wpsice[.]com) распространяют вредоносные инсталляторы MSI на китайском языке, то есть целью этой кампании являются носители китайского языка.
«Полезная нагрузка вредоносного ПО включает в себя Sainbox RAT, вариант Gh0st RAT и вариант опенсорсного руткита Hidden с открытым исходным кодом», — говорят исследователи.
Это не первый случай, когда Silver Fox прибегает к подобной тактике. К примеру, летом 2024 года специалисты компании eSentire описывали кампанию, направленную на китайских пользователей Windows, которая осуществлялась с помощью сайтов, якобы предназначенных для загрузки Google Chrome и распространявших Gh0st RAT.
Кроме того, в феврале 2025 года аналитики Morphisec обнаружили другую кампанию с поддельными сайтами, в рамках которой распространялись ValleyRAT (он же Winos 4.0) и другая версия Gh0st RAT.
Как сообщают в Netskope, на этот раз вредоносные MSI-инсталляторы, загруженные с фальшивых сайтов, предназначаются для запуска легитимного исполняемого файла shine.exe, который загружает вредоносную DLL libcef.dll, используя технику side-loading.
Основной задачей этой DLL является извлечение и запуск шеллкода из текстового файла 1.txt, присутствующего в инсталляторе, что в конечном итоге приводит к выполнению другой полезной нагрузки DLL — трояна удаленного доступа Sainbox.
«В разделе .data изученной полезной нагрузки содержится еще один PE-бинарник, который может быть выполнен в зависимости от конфигурации вредоносной программы, — отмечают эксперты. — Встроенный файл представляет собой драйвер руткита, основанный на опенсорсном проекте Hidden».
Вышеупомянутый троян Sainbox обладает возможностями для загрузки дополнительных полезных нагрузок и кражи данных, а Hidden предоставляет злоумышленникам целый ряд функций для сокрытия связанных с вредоносным ПО процессов и ключей в реестре Windows на взломанных хостах.
Основной целью руткита является сокрытие процессов, файлов, а также ключей и значений реестра. Как объясняют исследователи, для этого он использует мини-фильтр, а также обратные вызовы ядра. Кроме того, Hidden может защищать себя и определенные процессы, а также содержит UI, доступ к которому осуществляется с помощью IOCTL.
«Использование вариаций коммерческих RAT (таких как Gh0st RAT) и руткитов с открытым исходным кодом (таких как Hidden) предоставляет злоумышленникам контроль и скрытность, не требуя при этом большого количества собственных разработок», — говорят в Netskope.