¿Espías o ladrones? Silver Fox aún no sabe para qué quiere tus datos
Tácticas de estos hackers dejan a los investigadores en un callejón sin salida
El grupo delictivo cibernético Silver Fox enmascara sus ataques como auditorías fiscales y cambia sus herramientas cada vez con más frecuencia para permanecer desapercibido por más tiempo. Según los especialistas de Sekoia, el grupo con base en China, antes conocido por participar en campañas de fraude, ha complicado notablemente su arsenal en el último año, pero no ha abandonado su esquema habitual de ganancias rápidas. En la práctica, Silver Fox combina ambos enfoques a la vez: lanza envíos masivos de phishing y, paralelamente, realiza operaciones más dirigidas.
Los autores del informe escriben que desde principios de 2025 Silver Fox desarrolló campañas en varias oleadas. La primera afectó a Taiwán. Los atacantes usaron el tema de la auditoría fiscal y enviaron correos con un PDF malicioso disfrazado de notificación de la autoridad financiera. Al abrir el documento se descargaba en el dispositivo ValleyRAT, la puerta trasera modular principal del grupo, también conocida como Winos. Posteriormente, Fortinet detectó la expansión del mismo esquema a Japón y Malasia.
Hacia finales de 2025 la campaña cambió. En lugar de adjuntos en los correos, Silver Fox comenzó a enviar enlaces a sitios falsos de las agencias fiscales, diseñados para países concretos. La geografía se amplió a Malasia, Filipinas, Tailandia, Indonesia, Singapur e India.
En la siguiente fase el grupo empezó a emplear una herramienta china legítima de administración remota, vulnerable debido a una configuración incorrecta. Los atacantes transmitían los parámetros de conexión al servidor de control directamente a través del nombre del archivo, lo que permitía no cambiar la firma del ejecutable y reducía el riesgo de detección.
En febrero de este año Silver Fox volvió a reorganizar la cadena de infección y sustituyó la carga anterior por un programa recolector de credenciales desarrollado en Python. La nueva muestra se hacía pasar por WhatsApp y, según TDR, recopilaba datos del dispositivo infectado y luego enviaba los archivos comprimidos al servidor de control. Las huellas apuntaban a una campaña contra Malasia, aunque los expertos creen que la actividad del grupo sigue siendo más amplia y abarca una parte importante del sur y del sudeste de Asia.
Sekoia relaciona esta evolución con la doble naturaleza de Silver Fox. Por un lado, el grupo utiliza medios más complejos, incluidos ValleyRAT, HoldingHands y técnicas de evasión de defensas, lo que parece preparar la recolección de inteligencia. Por otro lado, los señuelos fiscales y contables, la amplia geografía y la transición a herramientas universales como el software de administración remota (RMM) y los programas recolectores de credenciales indican la intención de monetizar rápidamente el acceso. La frontera entre la ciberdelincuencia y el ciberespionaje en la actividad de Silver Fox continúa difuminándose.