silver-fox - RunkIntel

# Silver Fox > [!warning] Silver Fox é um grupo APT atribuído à China, ativo desde 2023, com motivações mistas de espionagem e ganho financeiro. Em março de 2026, o ESET confirmou expansão das operações para **Brasil**, Reino Unido e Austrália além dos alvos históricos na Ásia. ## Visão Geral **Silver Fox** (também conhecido como **Void Arachne**) é um grupo de ameaça persistente avançada (APT) atribuído à China, operando desde pelo menos 2023. O grupo combina motivações de espionagem estatal com atividades de cibercrime financeiramente motivado, o que dificulta a atribuição definitiva a uma unidade específica do Estado chinês. Pesquisadores da **Sekoia** e **ESET** documentaram extensivamente as operações do grupo. O Silver Fox é notório por campanhas de phishing fiscais altamente direcionadas, inicialmente focadas em Taiwan durante os períodos de declaração de impostos. O grupo utiliza lures temáticos de auditorias tributárias e conformidade fiscal para enganar funcionários financeiros e executivos de empresas. Em 2025-2026, o grupo expandiu dramaticamente seu escopo geográfico para alcançar organizações em toda a Ásia e, mais recentemente, **Brasil**, Reino Unido e Austrália. Em março de 2026, o **ESET** confirmou que o Silver Fox está ativamente operando no **Brasil** - representando uma ameaça concreta para organizações financeiras, de saúde e tecnologia brasileiras que podem receber phishing com lures de auditoria fiscal ou documentos corporativos maliciosos. O Brasil, com seu complexo ambiente regulatório fiscal (Receita Federal, SPED), oferece ao Silver Fox material abundante para construção de lures convincentes. ## Attack Flow ```mermaid graph TB A[Email Phishing\nTema Fiscal/Tributário] --> B[Anexo PDF Malicioso\nou Link WhatsApp Falso] B --> C[DLL Side-loading\nValleyRAT/Winos 4.0] C --> D[Módulo Keylogger\n+ Security Bypass] D --> E[Python Stealer\nColeta Credenciais] E --> F[Exfiltração C2\nxqwmwru top] style A fill:#c0392b,color:#fff style F fill:#8e44ad,color:#fff ``` ## TTPs Principais | Tática | Técnica | ID ATT&CK | Descrição | |--------|---------|-----------|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails com tema fiscal, PDFs maliciosos | | Execution | DLL Side-loading | [[t1574-002-dll-side-loading\|T1574.002]] | Carregamento de DLL maliciosa via executáveis legítimos | | Execution | Python | [[t1059-006-python\|T1059.006]] | Python stealer camuflado como WhatsApp Backup | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados para evasão de AV | | Credential Access | Credentials from Stores | [[t1555-credentials-from-password-stores\|T1555]] | Coleta credenciais de navegadores e aplicações | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via C2 customizado com User-Agent "WhatsAppBackup/1.0" | ## Arsenal de Malware ### ValleyRAT (Winos 4.0) RAT modular com plugins para: - Keylogging e monitoramento de tela - Bypass de produtos de segurança - Execução de comandos remotos - Exfiltração de arquivos ### Python Stealer (Fase 3 - 2026) Stealer compilado camuflado como aplicação "WhatsApp Backup": - Coleta artefatos de navegadores e aplicações - Upload para C2: `xqwmwru[.]top` - User-Agent customizado: "WhatsAppBackup/1.0" - Representa evolução do kit em busca de melhor evasão ## Evolução Tática (3 Ondas) | Fase | Período | Método | Alvo | |------|---------|--------|------| | **Wave 1** | 2023-2024 | PDFs maliciosos + ValleyRAT via DLL sideloading | Taiwan | | **Wave 2** | 2025 | Abuso de ferramenta RMM legítima chinesa | Ásia ampliada | | **Wave 3** | 2025-2026 | Python stealer camuflado como WhatsApp Backup | Global (inclui Brasil) | ## Relevância LATAM / Brasil Em março de 2026, o **ESET** confirmou atividade do Silver Fox no Brasil. O vetor de phishing fiscal é especialmente ameaçador no contexto brasileiro pelos seguintes motivos: - **Complexidade tributária brasileira**: SPED, eSocial, DCTF e múltiplas obrigações acessórias oferecem material abundante para lures convincentes - **Receita Federal lures**: Phishing impersonando notificações da Receita Federal têm alta taxa de sucesso no Brasil - **Setor financeiro exposto**: Funcionários de bancos, corretoras e fintechs são alvos naturais para phishing de conformidade fiscal - **Setor de saúde**: O Silver Fox demonstrou interesse em dados de saúde - ANVISA e planos de saúde são potenciais lures ## Referências - [ESET - A cunning predator: How Silver Fox preys on Japanese firms](https://www.welivesecurity.com/en/business-security/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season/) - [Sekoia - Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware](https://blog.sekoia.io/silver-fox-the-only-tax-audit-where-the-fine-print-installs-malware/) - [Infosecurity Magazine - Silver Fox Cyber Campaigns Show Shift Toward Dual Espionage](https://www.infosecurity-magazine.com/news/silver-fox-cyber-dual-espionage/) - [GBHackers - Silver Fox Tax Audit Phishing Campaign Shifts from RATs to Python Stealers](https://gbhackers.com/silver-fox-tax-audit/)