Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Análisis de la campaña de ataque del troyano Silver Fox, que imita a Google Translate

Redazione RHC : 1 agosto 2025 08:00

Según el equipo de inteligencia de amenazas avanzadas de Knownsec 404, recientemente se ha observado un aumento en la actividad de ataques relacionados con el troyano Silver Fox, que imita herramientas populares como Google Translate. Estos ataques, que datan de 2024, implican que el usuario haga clic en cualquier parte de la página que muestra un mensaje sobre una versión desactualizada de Flash, seguido de una redirección a una página de descarga creada por los atacantes.

Si el usuario descarga y ejecuta el archivo, el sistema se ve comprometido mediante la ejecución de cargas útiles posteriores.

En los últimos años, varios grupos de hackers han distribuido el troyano Silver Fox. Utilizando diversas técnicas, desde la falsificación de páginas de descarga de herramientas comunes hasta la optimización SEO y la creación de copias de sitios web de instituciones nacionales, estas estrategias han contribuido a comprometer cada vez más el entorno de descarga de internet chino.

El grupo Silver Fox ha estado activo desde al menos 2022, propagando troyanos a través de canales como el correo electrónico, sitios de phishing y software de mensajería instantánea. Tras la publicación del código fuente de troyanos de control remoto como Winos 4.0, esta banda pasó de ser una sola organización a una familia de malware completa, reutilizada por otros grupos criminales e incluso organizaciones APT.

Un análisis técnico identificó varios sitios web de phishing utilizados para distribuir Silver Fox, incluyendo copias falsas de Google Translate, un conversor de divisas e incluso el sitio oficial de descarga de WPS. En estos sitios, los atacantes insertaron scripts de redirección directamente en el código fuente, dirigiendo a las víctimas a páginas maliciosas.

Entre los paquetes de instalación maliciosos descubiertos se encuentran archivos MSI y EXE que descargan el troyano Winos. En el caso de los archivos MSI, la ejecución carga el archivo aicustact.dll para iniciar componentes adicionales, mientras que update.bat inicia tanto el programa legítimo como la carga maliciosa. Javaw.exe escribe Microsoftdata.exe en el registro para garantizar su persistencia. Este último, escrito en Golang, lee y ejecuta un archivo Xps.dtd, que contiene código shell para cargar un módulo PE llamado RexRat4.0.3, cuyo componente principal sigue siendo winos.

El troyano winos, perteneciente a la familia Silver Fox, tiene numerosas funciones: puede realizar capturas de pantalla, registrar las pulsaciones de teclas en el teclado y extraer datos del portapapeles. Además de estos, se han descubierto otros programas falsificados utilizados para propagar el malware, como paquetes falsos para Easy Translation, Youdao Translate, Bit Browser y LetsVPN.

En los últimos años, Silver Fox se ha convertido en un malware modular basado en herramientas, también utilizado y modificado por grupos APT como Golden Eye Dog. Los atacantes se centran principalmente en mejorar las técnicas antidetección, como la ofuscación de código o la falsificación de firmas, para que su distribución sea más eficaz. Esto aumenta los riesgos para los usuarios que descargan software de fuentes no oficiales, engañándolos con ventanas emergentes o sitios web clonados.

Expertos han informado que Silver Fox representa una grave amenaza para la ciberseguridad en China. Para protegerse, se recomienda estar atento a los enlaces, archivos adjuntos y paquetes de fuentes desconocidas, descargar software solo de sitios oficiales o tiendas de aplicaciones de confianza y actualizar constantemente el sistema operativo y el antivirus. Solo así se puede reducir significativamente el riesgo de infección.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Exploit RCE de día cero y sin clics a la venta en iOS. Explora el mercado de ciberarmas para espionaje.
Di Redazione RHC - 01/08/2025

Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...

Microsoft enumera 40 empleos que desaparecerán gracias a la IA. Los empleos prácticos se mantienen.
Di Redazione RHC - 01/08/2025

Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...

¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics.
Di Redazione RHC - 01/08/2025

La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...

¿Qué es la codificación de vibraciones? Descubramos la nueva frontera de la programación.
Di Diego Corbi - 31/07/2025

«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...

¡La fiebre de la IA llega a Wyoming! Un centro de datos de 10 gigavatios consumirá más electricidad que 600.000 personas.
Di Redazione RHC - 31/07/2025

El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...