Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Nueva campaña de malware Silver Fox: propaga RAT y rootkits a través de sitios web falsos

Redazione RHC : 1 julio 2025 15:43

Expertos han descubierto una nueva campaña de malware llamada Silver Fox (también conocida como Void Arachne) que utiliza sitios web falsos. Supuestamente, estos recursos distribuyen software popular (WPS Office, Sogou y DeepSeek), pero en realidad se utilizan para propagar la RAT Sainbox y el rootkit de código abierto Hidden.

Según Netskope Threat Labs, los sitios de phishing (como wpsice[.]com) distribuyen instaladores MSI maliciosos en chino, lo que significa que esta campaña se dirige a usuarios de habla china. «La carga útil del malware incluye Sainbox RAT, una variante de Gh0st RAT y una variante del rootkit de código abierto Hidden», afirmaron los investigadores.

Esta no es la primera vez que Silver Fox utiliza esta táctica. Por ejemplo, en el verano de 2024, eSentire describió una campaña dirigida a usuarios chinos de Windows a través de sitios web supuestamente diseñados para descargar Google Chrome y distribuir Gh0st RAT. Además, en febrero de 2025, los analistas de Morphisec descubrieron otra campaña en un sitio web falso que distribuía ValleyRAT (también conocido como Winos 4.0) y otra versión de Gh0st RAT

Según informa Netskope, esta vez, malware Los instaladores MSI descargados de sitios falsos están diseñados para ejecutar un archivo ejecutable legítimo llamado shine.exe, que carga la DLL maliciosa libcef.dll mediante una técnica de carga lateral. La función principal de esta DLL es extraer y ejecutar el código shell del archivo de texto 1.txt presente en el instalador, lo que finalmente conduce a la ejecución de otra carga útil de DLL: el troyano de acceso remoto Sainbox. El archivo incrustado es un controlador de rootkit basado en el proyecto de código abierto Hidden«

El troyano Sainbox mencionado anteriormente tiene la capacidad de descargar cargas útiles adicionales y robar datos, mientras que Hidden ofrece a los atacantes un conjunto de capacidades para ocultar procesos y claves relacionados con malware en el registro de Windows en los hosts comprometidos.

El objetivo principal del rootkit es ocultar procesos, archivos, claves de registro y valores. Según explican los investigadores, utiliza un minifiltro y devoluciones de llamadas del kernel para lograrlo. Hidden también puede protegerse a sí mismo y a procesos específicos, y contiene una interfaz de usuario accesible a través de IOCTL.

«El uso de variantes comerciales de RAT (como Gh0st RAT) y rootkits de código abierto (como Hidden) ofrece a los atacantes control y sigilo sin necesidad de un gran desarrollo personalizado», afirma Netskope.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Articoli in evidenza

Un hacker filtra datos sensibles de políticos españoles. También está implicado el presidente del Gobierno, Pedro Sánchez.

Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...

Ciberseguridad: Italia encabeza el podio con cuatro jóvenes. Leonardo también es protagonista en el RHC CTF.

La primera edición de la Olimpiada Internacional de Ciberseguridad finalizó en Singapur con un excelente resultado para Italia. Cuatro estudiantes italianos subieron al podio, ganando medall...

¡Llega Skynet: el malware que ataca a la Inteligencia Artificial!

Se ha descubierto un ejemplo inusual de código malicioso en un entorno informático real. Por primera vez, se registró un intento de atacar no los mecanismos de defensa clásicos, si...

Los Padres Fundadores de la Comunidad Hacker. ¡Hackear es un viaje, no un destino!

Fue en el Tech Model Railroad Club donde todo empezó, del que hablamos en un artículo anterior, ese famoso Club del Instituto Tecnológico de Massachusetts (MIT) donde nació la cult...

Nueva campaña de malware Silver Fox: propaga RAT y rootkits a través de sitios web falsos

Expertos han descubierto una nueva campaña de malware llamada Silver Fox (también conocida como Void Arachne) que utiliza sitios web falsos. Supuestamente, estos recursos distribuyen softwar...