Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Análisis de la campaña de ataque del troyano Silver Fox, que imita a Google Translate

Redazione RHC : 1 agosto 2025 08:00

Según el equipo de inteligencia de amenazas avanzadas de Knownsec 404, recientemente se ha observado un aumento en la actividad de ataques relacionados con el troyano Silver Fox, que imita herramientas populares como Google Translate. Estos ataques, que datan de 2024, implican que el usuario haga clic en cualquier parte de la página que muestra un mensaje sobre una versión desactualizada de Flash, seguido de una redirección a una página de descarga creada por los atacantes.

Si el usuario descarga y ejecuta el archivo, el sistema se ve comprometido mediante la ejecución de cargas útiles posteriores.

En los últimos años, varios grupos de hackers han distribuido el troyano Silver Fox. Utilizando diversas técnicas, desde la falsificación de páginas de descarga de herramientas comunes hasta la optimización SEO y la creación de copias de sitios web de instituciones nacionales, estas estrategias han contribuido a comprometer cada vez más el entorno de descarga de internet chino.

El grupo Silver Fox ha estado activo desde al menos 2022, propagando troyanos a través de canales como el correo electrónico, sitios de phishing y software de mensajería instantánea. Tras la publicación del código fuente de troyanos de control remoto como Winos 4.0, esta banda pasó de ser una sola organización a una familia de malware completa, reutilizada por otros grupos criminales e incluso organizaciones APT.

Un análisis técnico identificó varios sitios web de phishing utilizados para distribuir Silver Fox, incluyendo copias falsas de Google Translate, un conversor de divisas e incluso el sitio oficial de descarga de WPS. En estos sitios, los atacantes insertaron scripts de redirección directamente en el código fuente, dirigiendo a las víctimas a páginas maliciosas.

Entre los paquetes de instalación maliciosos descubiertos se encuentran archivos MSI y EXE que descargan el troyano Winos. En el caso de los archivos MSI, la ejecución carga el archivo aicustact.dll para iniciar componentes adicionales, mientras que update.bat inicia tanto el programa legítimo como la carga maliciosa. Javaw.exe escribe Microsoftdata.exe en el registro para garantizar su persistencia. Este último, escrito en Golang, lee y ejecuta un archivo Xps.dtd, que contiene código shell para cargar un módulo PE llamado RexRat4.0.3, cuyo componente principal sigue siendo winos.

El troyano winos, perteneciente a la familia Silver Fox, tiene numerosas funciones: puede realizar capturas de pantalla, registrar las pulsaciones de teclas en el teclado y extraer datos del portapapeles. Además de estos, se han descubierto otros programas falsificados utilizados para propagar el malware, como paquetes falsos para Easy Translation, Youdao Translate, Bit Browser y LetsVPN.

En los últimos años, Silver Fox se ha convertido en un malware modular basado en herramientas, también utilizado y modificado por grupos APT como Golden Eye Dog. Los atacantes se centran principalmente en mejorar las técnicas antidetección, como la ofuscación de código o la falsificación de firmas, para que su distribución sea más eficaz. Esto aumenta los riesgos para los usuarios que descargan software de fuentes no oficiales, engañándolos con ventanas emergentes o sitios web clonados.

Expertos han informado que Silver Fox representa una grave amenaza para la ciberseguridad en China. Para protegerse, se recomienda estar atento a los enlaces, archivos adjuntos y paquetes de fuentes desconocidas, descargar software solo de sitios oficiales o tiendas de aplicaciones de confianza y actualizar constantemente el sistema operativo y el antivirus. Solo así se puede reducir significativamente el riesgo de infección.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Llega la Novia Robot! La nueva frontera de la tecnología china.
Di Redazione RHC - 15/08/2025

Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...

¡Agosto a lo grande! 36 RCE para el martes de parches de Microsoft en agosto.
Di Redazione RHC - 13/08/2025

Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...

Vulnerabilidad crítica de RCE en Microsoft Teams: se necesita una actualización urgente
Di Redazione RHC - 13/08/2025

Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...

29.000 servidores Exchange en riesgo. El exploit para CVE-2025-53786 está en explotación.
Di Redazione RHC - 13/08/2025

29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...

James Cameron: La IA puede causar devastación como Skynet y Terminator
Di Redazione RHC - 10/08/2025

«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...