# ValleyRAT > [!warning] RAT modular chinês utilizado pelo Silver Fox em campanhas de phishing fiscal > Principal payload de acesso inicial do grupo [[silver-fox|Silver Fox]], entregue via DLL side-loading em campanhas com temática tributária contra alvos na Ásia-Pacífico e Brasil. ## Visão Geral **ValleyRAT** é um trojan de acesso remoto (RAT) modular desenvolvido e operado pelo grupo [[silver-fox|Silver Fox]] (também rastreado como Void Arachne), ativo desde pelo menos 2023. Funciona como implante de primeiro estágio nas campanhas do grupo, estabelecendo persistência e canal de comando e controle para entrega de payloads secundários como o [[winos-40|Winos 4.0]]. O ValleyRAT é entregue predominantemente via campanhas de spearphishing com lures de auditorias fiscais e conformidade tributária, utilizando DLL side-loading ([[t1574-002-dll-side-loading|T1574.002]]) em aplicações legítimas assinadas para evadir detecção. Em 2026, a ESET confirmou que o Silver Fox expandiu a entrega do ValleyRAT para incluir um Python stealer compilado camuflado como aplicativo "WhatsApp Backup", que coleta credenciais de navegadores e exfiltra para infraestrutura C2. **Relevância LATAM/Brasil:** A ESET confirmou em março de 2026 que o Silver Fox está ativamente operando no Brasil, explorando a complexidade tributária brasileira (SPED, eSocial, DCTF, IRPF) para criar lures de phishing convincentes. Funcionários de departamentos financeiros, contabilidade e RH em organizações dos setores [[financial|financeiro]], [[healthcare|saúde]] e [[technology|tecnologia]] são os alvos primários. ## Detecção e Defesa - Bloquear e-mails com temática fiscal de domínios desconhecidos, especialmente durante períodos de declaração - Monitorar execuções de DLL side-loading em aplicações assinadas - Verificar execuções de Python em endpoints corporativos - Monitorar conexões para domínios C2 conhecidos do Silver Fox ## Referências - [ESET Research — Silver Fox Targeting Brazil](https://www.welivesecurity.com/en/research/) - [Fortinet — ValleyRAT Analysis](https://www.fortinet.com/blog/threat-research) - [Zscaler ThreatLabz — ValleyRAT](https://www.zscaler.com/blogs/security-research)