# Silver Fox Tax Campaign 2026 > [!medium] Campanha de espionagem via phishing fiscal — grupo Silver Fox (China) > A **Silver Fox Tax Campaign 2026** é uma campanha de ciberespionagem atribuída ao grupo chinês **Silver Fox**, utilizando iscas de declarações fiscais e notificações governamentais para comprometer organizações financeiras e tecnológicas em países de língua chinesa. O vetor principal é spearphishing com documentos fiscais falsos que entregam o **ValleyRAT**, um RAT modular de origem chinesa com capacidades de espionagem corporativa avançadas. ## Visão Geral O grupo **Silver Fox** (também rastreado como Void Arachne pela Trend Micro) é um agente de ameaça de origem chinesa focado em espionagem corporativa e coleta de inteligência contra organizações em zonas geográficas de interesse estratégico para a China — principalmente China continental, Hong Kong, Taiwan e a diáspora chinesa global. A campanha fiscal de 2026 representa a continuação e evolução de campanhas documentadas desde 2024, onde o grupo abusa do período de declaração de impostos para maximizar a taxa de abertura de iscas. O vetor de entrega é spearphishing com documentos imitando comúnicações oficiais de autoridades fiscais — declarações de imposto de renda, notificações de auditoria, formulários de reembolso e relatórios de conformidade. Os documentos maliciosos exploram a execução de usuário ([[t1204-user-execution|T1204]]) para entregar o **ValleyRAT**, um RAT modular que suporta plugins carregados dinâmicamente para espionagem, captura de tela, keylogging e exfiltração de documentos. Em algumas variantes, o instalador também entrega **Purple Fox**, um rootkit de modo kernel para persistência avançada. Do ponto de vista da relevância global, a Silver Fox Tax Campaign é um modelo de como grupos de espionagem econômica aproveitam calendários regulatórios previsíveis (períodos fiscais, auditorias anuais) para aumentar a taxa de sucesso de campanhas de phishing. A lição se aplica ao Brasil, onde o período da Declaração do Imposto de Renda Pessoa Física (DIRPF) da Receita Federal cria um vetor análogo de engenharia social — campanhas similares de grupos locais já foram documentadas durante os meses de março-maio. ## TTPs Utilizadas | Tática | Técnica | ID | Observação | |--------|---------|-----|------------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos fiscais falsos com macros ou exploits embutidos | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vítima abre o documento achando ser notificação fiscal legítima | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | ValleyRAT com camadas de ofuscação; shellcode em memória | | Defense Evasion | Process Injection | [[t1055-process-injection\|T1055]] | Injeção em processos legítimos para evasão de EDR | | Command and Control | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS com domínios imitando serviços legítimos | | Collection | Screen Capture | [[t1113-screen-capture\|T1113]] | Plugin de captura de tela do ValleyRAT | | Collection | Input Capture | [[t1056-input-capture\|T1056]] | Keylogging via plugin modular | ## Malware e Ferramentas - **ValleyRAT** — RAT modular chinês com arquitetura de plugins; capacidades: screen capture, keylogging, upload/download de arquivos, shell remoto, carregamento de plugins dinâmicos; atribuído ao grupo Silver Fox - **Purple Fox** — rootkit de modo kernel; usado para persistência avançada em algumas variantes da campanha; capacidade de sobreviver a reinicializações via driver de kernel malicioso ## Defesa e Detecção - Verificar autenticidade de comúnicações fiscais diretamente nos portais oficiais (nunca via links em email) - Monitorar criação de processos filhos por aplicações Office e Adobe Reader - Implementar controles de execução de macros em documentos Office recebidos por email - Monitorar injeção de processos em executáveis do sistema (svchost, explorer, etc.) - Treinar equipes durante períodos de declaração fiscal sobre iscas de engenharia social ## Referências - [1](https://www.trendmicro.com/en_us/research/24/e/void-arachne-uses-deepfakes-for-campaigns-targeting-chinese-speakers.html) Trend Micro — Void Arachne Uses Deepfakes for Campaigns Targeting Chinese Speakers (2024) - [2](https://unit42.paloaltonetworks.com/valleyrat-targets-chinese-speakers/) Unit 42 — ValleyRAT Targets Chinese Speakers with Financial Lures (2024) - [3](https://attack.mitre.org/software/S1135/) MITRE ATT&CK — ValleyRAT