Die chinesische APT-Gruppe Silver Fox intensiviert ihre Angriffskampagnen und zeigt dabei ein beeindruckendes Arsenal an Malware und Social-Engineering-Techniken. Kaspersky-Sicherheitsforscher haben eine zweiwellige Kampagne dokumentiert, die erstmals zeigt, wie aggressiv die Gruppe ihre geografische Reichweite ausbaut. Was im Dezember 2024 mit Angriffen auf indische Organisationen begann, weitete sich im Januar 2025 systematisch auf russische Ziele aus.
Das Muster ist simpel, aber effektiv: Die Angreifer versenden E-Mails, die official wie amtliche Schreiben von Steuerbehörden wirken. Empfänger werden dazu aufgefordert, Archive mit angeblichen “Steuerverletzungslisten” herunterzuladen oder erhalten PDFs mit Links zu infizierter Malware. Diese Taktik funktioniert deshalb so gut, weil Steuerthemen eine natürliche Dringlichkeit erzeugen – Menschen verhalten sich anders, wenn sie glauben, mit staatlichen Behörden zu tun zu haben.
Im Zentrum dieser Kampagne steht ABCDoor, eine zuvor vollständig unbekannte Python-basierte Backdoor, die Kaspersky erstmals dokumentiert hat. Das Malware-Tool etabliert Persistenz über Windows Registry Run Keys und geplante Aufgaben, kommuniziert mit Command-and-Control-Servern über HTTPS mittels Socket.IO und tarnt sich als legitimer pythonw.exe-Prozess. Besonders tückisch: ABCDoor verfügt über erweiterte Funktionen wie Multi-Monitor-Bildschirmaufzeichnung via FFmpeg, Remote-Zugriff auf Maus und Tastatur, Zwischenablage-Diebstahl und sogar begrenzte Dateiverschlüsselungsfunktionen.
Neben ABCDoor setzt Silver Fox auf ValleyRAT, einen Remote-Access-Trojaner, der bereits in früheren Kampagnen der Gruppe zum Einsatz kam, sowie auf eine speziell modifizierte Version des RustSL-Loaders. Kaspersky registrierte über 1.600 schädliche Nachrichten zwischen Januar und Februar 2025, die verschiedene Branchen trafen – von Industrie über Beratung bis Einzelhandel und Logistik.
Silver Fox wird als China-gesteuerte Bedrohungsgruppe klassifiziert, die sich primär auf Taiwan, Nordamerika und Japan konzentriert hat. Die Expansion nach Russland ist ein neues Phänomen. Besonders besorgniserregend ist, dass die Gruppe offenbar Konfigurationen für mehrere Länder pflegt – Japan-spezifische Implementierungen sind bereits dokumentiert. Theoretisch könnte Silver Fox weitere Länder, inklusive Deutschland, in diese Liste aufnehmen.
Die Kampagne unterstreicht eine fundamentale Sicherheitslücke in Organisationen weltweit: E-Mail bleibt das schwächste Glied in der Verteidigungskette. Selbst nach Jahren von Security-Awareness-Trainings fallen Mitarbeiter noch auf professionell gestaltete Phishing-Mails herein. Sicherheitsteams müssen deshalb ein “Assume Breach”-Mindset entwickeln: Endpunkt-Detection, E-Mail-Filterung, URL-Analyse, Least-Privilege-Access und kontinuierliche Sichtbarkeit der externen Angriffsfläche sind nicht optional.