✅ レポートタイトル:脅威グループプロファイリング:「Silver Fox(シルバー・フォックス)」
✅ レポートの要約:
📌 「Silver Fox(シルバー・フォックス)」グループとはどのような組織ですか?
- 「Silver Fox」は少なくとも2022年から活動している中国拠点の脅威グループであり、初期には金銭的目的でキャンペーンを実施していました。
- 2024年以降は、収益性の高い広範な機会主義的活動とスパイ活動を同時に実行するデュアルトラック(Dual-track)作戦モデルへと進化しました。初期段階では中国をターゲットとしていましたが、その後、作戦範囲を台湾と日本へ拡大しました。
- 特に台湾を対象に国家税務局を装い、現地の税務監査期間に合わせたカスタマイズされたフィッシングキャンペーンを実施し、現地のソフトウェア嗜好を反映したタイポスクワッティング手法も使用しました。
- その後、2025年には強化されたValleyRATを中心に、「Silver Fox」はマレーシア、インドネシア、シンガポール、タイ、フィリピンなど東南アジア全域へ攻撃範囲を大幅に拡大しました。ターゲット産業も一般個人ユーザーから医療、金融、企業環境へと拡大しました。
📌 「Silver Fox」グループの攻撃ツール
- マルウェア・ツール
「Silver Fox」が使用したマルウェア・ツール
| 番号 | マルウェア・ツール | タイプ | オペレーター |
|---|---|---|---|
| 1 | ValleyRAT (Winos) | RAT | 「Silver Fox」 |
| 2 | Nidhogg | Rootkit | 「Silver Fox」 |
| 3 | HoldingHands | RAT | 「Silver Fox」 |
| 4 | CleverSoar | Installer | 「Silver Fox」 |
| 5 | AtlasCross RAT | RAT | 「Silver Fox」 |
| 6 | Gh0stCringe | RAT | 「Silver Fox」 |
| 7 | PNGPlug | Loader | 「Silver Fox」 |
| 8 | Catena | Loader | 「Silver Fox」 |
| 9 | Gh0st RAT | RAT | 「Silver Fox」 |
- 脆弱性
「Silver Fox」が使用する脆弱性は公開されていません
📌 戦術・技術・手順(Tactics, Techniques, and Procedures)
- 「Silver Fox」のTTPsは、初期侵入時の心理的操作とシステム権限取得後の技術的回避を効果的に組み合わせています。主な攻撃手法にはPhishing、Impersonation、BYOVDがあります。
1. フィッシング(Phishing)
- 「Silver Fox」グループは初期侵入のために高度にカスタマイズされたスピアフィッシング(Spearphishing)を主に使用し、ターゲット国の季節的なイシューや業務特性に合わせた精巧で多様な攻撃シナリオを展開しています。
- SekoiaやKnownsec404など複数の脅威インテリジェンスは、「Silver Fox」の国別フィッシング手法について共通した分析を提示しています。これらの観測によると、「Silver Fox」は税務調査通知や汎用財務管理ソフトウェアのアップデート通知を装ったメールを継続的に作成・配布しています。特に、受信者がメールを開封しても単なるリンクだけでなく、偽装されたショートカットファイル(LNK)やマクロ付きのOffice文書を開かせる二重トラップを設計し、ユーザーに気付かれないままローダーやドロッパーをダウンロードさせるよう誘導しています。
- その結果、「Silver Fox」はターゲットユーザーの業務コンテキストと心理的な弱点を深く理解し、フィッシング戦術を高度化・精密化していると評価されています。
- 最近のキャンペーンでは、フィッシングメール内のPDFをクリックするとmyqcloudバケットインフラから第2段階ペイロードがダウンロードされ、「SyncFutureTec Company Limited」により署名された正規のRMMツールをインストールし、内部ネットワーク内で継続的なリモート制御とデータ流出の拠点を確保する動きが確認されています。また、2026年2月以降にはPythonベースのstealerが配布され、C:\WhatsAppBackup\WhatsAppData.zipアーティファクトを残し、upload_large.phpおよびupload_status.phpへ収集データをアップロードした痕跡も確認されています。これは「Silver Fox」のフィッシングキャンペーンがRATやRMMツールのインストールにとどまらず、目的に応じて直接的な情報流出段階へ移行する可能性があることを示しています。
2. なりすまし(Impersonation)
- 「Silver Fox」グループは、ターゲットユーザーが日常的に使用する信頼性の高いソフトウェアや業務文書を精巧に装い、内部システムへ侵入するなりすまし手法を積極的に展開しています。
- 一般的なアプリケーションのインストールファイルから業界特化文書まで幅広い対象を装い、マルウェアを配布しています。
- Hexastrikeの脅威インテリジェンスレポートによると、「Silver Fox」はユーザーに広く利用されているグローバルブランドソフトウェアのドメインをタイポスクワッティングし、精巧な偽サイトネットワークを構築しました。
- 特にセキュリティとプライバシーを重視するユーザーをターゲットに、SurfsharkなどのVPNクライアント、SignalやTelegramなどの暗号化メッセンジャー、ZoomやMicrosoft Teamsなどのビデオ会議ツールを精巧に偽装しました。注目すべき点は、単なる類似ドメインの作成にとどまらず、SEOポイズニング手法を積極的に悪用したことです。
- 脅威アクターは検索エンジン結果の上位に偽のダウンロードページを継続的に表示させることで、ユーザーが正規ソフトウェアを検索してクリックする自然な過程の中で、AtlasCross RATをダウンロードさせる攻撃チェーンを構築しました。
- AtlasCross RATは内部ネットワーク拡散のためにRDPセッションハイジャック(tscon.exe)機能を持ち、WeChatアプリケーションに悪性DLLをインジェクションすることで社内の信頼関係を悪用し、他アカウントへの拡散を試みます。
3. BYOVD(Bring Your Own Vulnerable Driver)
- 「Silver Fox」グループは、事前に署名された正規の脆弱ドライバを悪用するBYOVD手法を用いて、AVやEDRなどの最新エンドポイントセキュリティを無効化します。この手法は非常に精巧かつ執拗に実行されています。
- 初期侵入後、カーネル権限で動作するセキュリティプロセスを直接終了させるために、正規のデジタル署名を持つ古いドライバや、サードパーティのセキュリティロジックに欠陥があるあまり知られていないドライバを攻撃ツールとして使用します。
📌 最近のイシュー
- 「Silver Fox」に関連する2023年から現在までの主なイシューについては、以下のリンクよりお問い合わせください。
✅ 脅威検知の推奨事項と対策方法:
- 初期侵入経路(メール、偽装ドメイン)の管理を強化し、BYOVDに対応するためWindowsの脆弱ドライバブロックポリシーを有効化し、EDRのカーネルレベル防御(PPL保護)を点検し、ホワイトリストベースのアプリケーション制御を適用してマルウェア実行環境を最小化する多層防御が必要です。
🧑💻 レポート作成者: S2W 「TALON」
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。