Die Cyberattacken der Gruppe Silver Fox, auch unter den Namen SwimSnake, The Great Thief of Valley und Void Arachne bekannt, zeigen eine bemerkenswerte Professionalisierung. Die Angreifer registrierten die gefälschten Domains bewusst an einem einzigen Tag – dem 27. Oktober 2025 – um eine koordinierte Kampagne umzusetzen. Ziele sind VPN-Clients, verschlüsselte Messenger, Videokonferenzsysteme, Kryptowährungs-Tracker und E-Commerce-Anwendungen.
Die Infektionsketten folgen einem ausgefeilten Schema: Opfer werden auf betrügerische Webseiten gelockt, laden ZIP-Archive herunter, die ein trojanisiertes Autodesk-Installer-Paket enthalten. Besonders perfide ist die Verwendung eines gestohlenen Extended-Validation-Zertifikats, das auf die vietnamesische Firma DUC FABULOUS CO.,LTD ausgestellt wurde. Dies verleiht den Malware-Paketen scheinbare Legitimität und umgeht Sicherheitsüberprüfungen.
Die AtlasCross RAT selbst markiert eine Eskalation im Arsenal der Gruppe. Sie integriert das PowerChell-Framework – einen nativen C/C++-PowerShell-Engine, der die .NET CLR direkt im Malware-Prozess hostet und gleichzeitig AMSI, ETW und Script-Block-Logging deaktiviert. Die Command-and-Control-Kommunikation erfolgt mit ChaCha20-Verschlüsselung und zufällig generierten Schlüsseln.
Besonders bemerkenswert sind die Fähigkeiten des Trojaners: gezielte DLL-Injection in WeChat, RDP-Session-Hijacking und die aktive Unterbrechung von Verbindungen zu chinesischen Sicherheitsprodukten wie 360 Safe und Kingsoft – ohne die riskante BYOVD-Methode zu nutzen.
Silver Fox operiert nach Erkenntnissen des chinesischen Sicherheitsunternehmens Knownsec 404 nach einem Zwei-Säulen-Modell: Während breite, opportunistische Kampagnen mit dem älteren ValleyRAT-Trojaner und dem Missbrauch von RMM-Tools laufen, führt die Gruppe parallel gezielte Spear-Phishing-Kampagnen durch. Ziele sind Management- und Finanzpersonal in Organisationen – erreicht über WeChat, E-Mail-Phishing und gefälschte Tool-Seiten.
Die geografische Reichweite ist beeindruckend: Japan, Malaysia, die Philippinen, Thailand, Indonesien, Singapur und Indien sind dokumentierte Zielregionen. In Japan wurden kürzlich Kampagnen mit Steuer-Compliance-Lures beobachtet, die auf Hersteller abzielen.
Für deutsche Unternehmen und Behörden ist das Beispiel Silver Fox eine Warnung: Obwohl die aktuelle Kampagne regional fokussiert ist, demonstriert sie Techniken und Methoden, die global anwendbar sind – typosquattete Domains, gestohlene Zertifikate und raffinierte Social-Engineering-Taktiken.