MalwarePhishingHackerangriffe

Silver Fox verbreitet ABCDoor-Malware über Steuerbehörden-Phishing in Indien und Russland

Von CyberDeutsch Redaktion
Silver Fox verbreitet ABCDoor-Malware über Steuerbehörden-Phishing in Indien und Russland
Zusammenfassung

Die chinesische Cyberkriminalgruppe Silver Fox führt seit Dezember 2025 eine gezielte Kampagne gegen Organisationen in Russland und Indien durch, bei der die neue Malware ABCDoor zum Einsatz kommt. Die Angreifer nutzen täuschend echte Phishing-E-Mails, die als offizielle Mitteilungen des indischen Finanzamts getarnt sind und Benutzer zum Download von Archiven mit vermeintlichen Steuerverletzungslisten verleiten. In diesen Archiven versteckt sich ein modifizierter Rust-basierter Loader, der das bekannte ValleyRAT-Backdoor herunterlädt und ausführt. Zwischen Januar und Februar wurden mehr als 1.600 Phishing-E-Mails registriert, die vor allem Unternehmen aus Industrie, Beratung, Handel und Transport betroffen haben. Besonders bemerkenswert ist die Integration des neuen Python-basierten ABCDoor-Backdoors, das seit mindestens Dezember 2024 in der Arsenal der Gruppe vorhanden ist. Die Malware nutzt ausgefeilte Techniken zur Umgehung von Sicherheitsvorkehrungen, geofencing-basierte Länderchecks und eine neuartige Persistenzmethode namens Phantom Persistence. Für deutsche Unternehmen und Behörden stellt diese Kampagne ein erhebliches Risiko dar, insbesondere wenn diese mit indischen oder russischen Partnern zusammenarbeiten oder ähnliche steuerbezogene Köder anfällig machen könnten.

Die Kampagne zeigt eine bemerkenswert ausgefeilte Angriffskette: Opfer erhalten E-Mails mit PDF-Anhängen, die auf Archive mit vermeintlichen “Steuerverstößen” verweisen. Der Download führt zu einer manipulierten Variante des Open-Source-Loaders RustSL, der Antivirensoftware umgeht und die eigentliche Malware nachlädt.

Das Besondere an dieser Kampagne ist die Kombination mehrerer innovativer Techniken. Silver Fox nutzt eine geografische Filterung (Geofencing), um nur Systeme in Zielländern wie Indien, Russland und Indonesien zu infizieren. Der Loader implementiert zudem Sandbox- und VM-Erkennungen, um Sicherheitsanalysen zu erschweren.

Zum Aufbau von Persistenz nutzt die Gruppe eine neuartige Methode namens “Phantom Persistence”, die erstmals im Juni 2025 dokumentiert wurde. Diese Technik manipuliert die Windows-Shutdown-Sequenz und zwingt das System, die Malware beim nächsten Start auszuführen – getarnt als Sicherheitsupdate.

Die eigentliche Malware-Nutzlast besteht aus zwei Komponenten: ValleyRAT (auch als Winos 4.0 bekannt) handelt die Kommunikation mit Command-and-Control-Servern aus, während ABCDoor als spezialisiertes Spionage-Tool fungiert. ABCDoor kann Screenshots machen, Tastatureingaben protokollieren, Dateien exfiltrieren und Fernzugriff ermöglichen.

Kaspersky zufolge hat Silver Fox sein Geschäftsmodell seit 2024 erheblich professionalisiert. Die Gruppe führt parallel opportunistische Profit-Aktivitäten und gezielte Spionage durch. Ursprünglich fokussiert auf China, hat sich die Gruppe auf Taiwan, Japan und nun auch auf Südostasien und Russland ausgedehnt.

Das Timing der Angriffe ist nicht zufällig: Silver Fox nutzt saisonale und länderspezifische Themen, um Opfer zu täuschen. Die Steuerbehörden-Lures sind für Januar besonders überzeugend – der Zeit der jährlichen Steuererklärungen.

Für Unternehmen weltweit bedeutet dies eine erhöhte Wachsamkeit beim Umgang mit offiziellen E-Mails und Dateidownloads. Sicherheitsexperten raten zu Multi-Faktor-Authentifizierung, regelmäßigen Sicherheitsupdates und Schulung von Mitarbeitern im Erkennen von Phishing.

Ähnliche Artikel