Nach Darstellung des russischen Sicherheitsunternehmens Kaspersky gehört ABCDoor mindestens seit dem 19. Dezember 2024 zum Arsenal der Gruppe und kam ab Februar oder März 2025 bei Angriffen zum Einsatz.

Die Angriffskette beginnt mit einer Phishing-Mail, die eine PDF-Datei mit zwei anklickbaren Links enthält. Diese führen zum Download eines ZIP- oder RAR-Archivs, das auf „abc.haijing88[.]com" gehostet wird. In der im Dezember 2025 beobachteten Kampagne war der Schadcode laut Kaspersky direkt in die der Mail beigefügten Dateien eingebettet.

Im Archiv befindet sich eine ausführbare Datei, die sich als PDF tarnt. Dabei handelt es sich um eine modifizierte Variante des quelloffenen Shellcode-Loaders und Antiviren-Umgehungswerkzeugs RustSL. Der erste dokumentierte Einsatz von RustSL durch Silver Fox stammt aus dem späten Dezember 2025. Die angepasste Variante entschlüsselt die schädliche Nutzlast und setzt ein länderbasiertes Geofencing sowie Prüfungen zur Erkennung virtueller Maschinen und Sandboxes ein. Während die GitHub-Version nur China in ihrer Länderliste führt, umfasst die maßgeschneiderte Fassung Indien, Indonesien, Südafrika, Russland und Kambodscha.

Eine Variante des Loaders nutzt eine als Phantom Persistence bezeichnete Methode, um sich dauerhaft auf dem System einzunisten; sie wurde erstmals im Juni 2025 dokumentiert. Laut Kaspersky missbraucht das Verfahren eine Funktion, die Anwendungen den Abschluss von Updates über einen Neustart ermöglicht: Die Angreifer fangen das Signal zum Herunterfahren ab, stoppen den normalen Ablauf und lösen unter dem Vorwand eines Malware-Updates einen Neustart aus, sodass der Loader beim Systemstart erneut ausgeführt wird.

Die von RustSL geladene Nutzlast führt zum Nachladen der verschlüsselten Malware ValleyRAT (auch bekannt als Winos 4.0). Deren Kernkomponente „login-module.dll_bin" ist für die Kommunikation mit dem Command-and-Control-Server (C2), die Befehlsausführung sowie das Nachladen und Ausführen weiterer Module zuständig.

Nach einer zweiten Geofencing-Prüfung wird unter anderem ABCDoor ausgespielt. Die Backdoor kontaktiert einen externen Server per HTTPS und verarbeitet eingehende Nachrichten. Damit lässt sie sich dauerhaft verankern, aktualisieren und wieder entfernen; zudem sammelt sie Daten wie Screenshots, ermöglicht die Fernsteuerung von Maus und Tastatur, führt Dateisystemoperationen aus, verwaltet Systemprozesse und exfiltriert Inhalte der Zwischenablage.

Bereits im November 2025 wurde beobachtet, wie Silver Fox einen JavaScript-Loader zur Auslieferung von ABCDoor nutzte, verteilt über selbstentpackende (SFX-)Archive innerhalb von ZIP-Dateien, die mutmaßlich per Phishing verschickt wurden. Neuere RustSL-Versionen erweiterten den geografischen Fokus inzwischen um Japan. Die meisten Angriffe entfielen auf Indien, Russland und Indonesien, gefolgt von Südafrika und Japan; der Großteil der gefundenen Loader-Samples setzte auf steuerbezogene Köder.

Nach Einschätzung von S2W hat sich Silver Fox seit 2024 zu einem zweigleisigen Betriebsmodell entwickelt, das zugleich gewinnorientierte, breit gestreute Gelegenheitsaktivitäten und Spionage betreibt. Anfangs habe die Gruppe China angegriffen, später ihren Aktionsradius auf Taiwan und Japan ausgeweitet. Für die Erstinfektion setze Silver Fox vor allem auf stark angepasstes Spear-Phishing mit Szenarien, die auf saisonale Themen und die Arbeitsweise der Zielregion zugeschnitten seien.