Im Anhang der Mails fand sich laut Kaspersky ein modifizierter, in Rust geschriebener Loader, der aus einem öffentlichen Repository stammt und die bekannte Backdoor ValleyRAT herunterlud und ausführte. In einigen Fällen enthielten PDF-Dateien Links zu einer von den Angreifern kontrollierten Infrastruktur, auf der schädliche ZIP- oder RAR-Dateien lagen. Daneben verteilte die Kampagne eine bis dahin unbekannte Backdoor, die die Forscher „ABCDoor" tauften.

Bei ABCDoor handelt es sich um eine in Python geschriebene Backdoor, die Silver Fox nach Erkenntnissen von Kaspersky mindestens seit Ende 2024 einsetzt. Obwohl sie erst kürzlich entdeckt wurde, sei sie „in realen Angriffen vom ersten Quartal 2025 bis heute" verwendet worden, schreiben die Forscher.

Die Schadsoftware verankert sich über Run-Schlüssel in der Windows-Registry und geplante Aufgaben im System und kommuniziert anschließend über HTTPS mit ihren Command-and-Control-Servern, wobei sie auf asynchrone Socket.IO-Nachrichten setzt. Um der Erkennung zu entgehen, läuft sie unter einem legitimen pythonw.exe-Prozess. Der Schwerpunkt liegt weniger auf klassischer Befehlsausführung als auf verdeckter Fernsteuerung: Dazu zählen das Streaming mehrerer Bildschirme über FFmpeg, die Fernsteuerung von Maus und Tastatur, der Diebstahl von Zwischenablage-Inhalten, Dateioperationen sowie eingeschränkte Funktionen zur Dateiverschlüsselung.

ABCDoor kann sich zudem selbst aktualisieren und wieder entfernen, sammelt umfangreiche Metadaten des Hosts und hinterlässt forensische Spuren in der Registry sowie im Verzeichnis %LOCALAPPDATA%, die Verteidiger zur Erkennung überwachen können. Als weitere Schadlast kommt neben ValleyRAT eine vom Gruppe stark angepasste Variante des RustSL-Loaders zum Einsatz.

Silver Fox ist nach Einschätzung von Kaspersky eine von China gestützte Gruppe, die seit einigen Jahren aktiv ist und ein breites Spektrum an Taktiken, Techniken und Vorgehensweisen sowie unterschiedliche Motive vereint. Im Vordergrund stehen Cyberspionage und die Störung kritischer Infrastruktur, doch zeitweise führt die Gruppe auch finanziell motivierte Angriffe durch – eine Vermischung, die bei nordkoreanischen Akteuren beobachtet wurde, bei chinesischen Gruppen aber selten ist.

Bislang zielte Silver Fox vor allem auf Organisationen in Taiwan; auch in Nordamerika und Japan finden sich Opfer. Für seine spezielle Umsetzung des RustSL-Loaders, der für den Einsatz in bestimmten Ländern konfiguriert ist, hat die Gruppe inzwischen auch Konfigurationen für Japan hinzugefügt. „Theoretisch könnte die Gruppe diese Liste künftig um weitere Länder erweitern", merken die Forscher an.

Kaspersky empfiehlt Organisationen, das Sicherheitsbewusstsein der Beschäftigten durch regelmäßige Schulungen zu stärken und alle E-Mails gründlich zu prüfen – auch solche, die vorgeblich von autoritativen Quellen stammen.