Um grupo hacker chinês rastreado como Silver Fox conduziu ao menos três ondas de ataque contra organizações no Sul da Ásia entre 2025 e 2026, combinando operações de espionagem com crimes financeiros oportunistas. Os detalhes foram documentados pela empresa de segurança Sekoia em um relatório de inteligência de ameaças.
O que chama atenção não é a sofisticação técnica isolada, mas a dualidade do modelo operacional. O grupo opera campanhas de espionagem estilo APT em paralelo com ataques de cibercrime comuns, às vezes usando a mesma infraestrutura.
smart_display
Nossos vídeos em destaque
A isca que não muda
Em todas as três ondas, o Silver Fox usou o mesmo ponto de entrada, um phishing temático fiscal. Emails que imitam autoridades tributárias nacionais, direcionados a funcionários de finanças e contabilidade.
A abordagem não é sofisticada por acidente. Comunicados de receitas federais geram senso de urgência, envolvem obrigações legais e chegam a departamentos com acesso a sistemas financeiros críticos. É um vetor de entrada setor-agnóstico, que funciona independentemente do país alvo.
Na primeira onda, em janeiro de 2025, o grupo foi além. Sincronizou o disparo das campanhas com um comunicado real do Ministério das Finanças de Taiwan anunciando o início do período de auditorias fiscais. O PDF malicioso imitava a lista oficial de empresas selecionadas para auditoria.
ValleyRAT e o que ele permite fazer
O payload da primeira onda era o ValleyRAT, também chamado de Winos. Trata-se de um backdoor modular, o que significa que ele funciona como uma plataforma. Após a infecção inicial, o atacante pode carregar plugins adicionais para executar funções específicas, como captura de teclado, exfiltração de arquivos ou controle remoto do sistema.
)
O builder do ValleyRAT vazou em 2023, mas o Silver Fox continuou usando a ferramenta. Em agosto de 2025, o CheckPoint identificou o grupo explorando um driver legítimo assinado pela Microsoft para contornar proteções do sistema operacional.
É o uso de um componente confiável para executar código malicioso sem disparar alertas, uma técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver).
Esse nível de desenvolvimento de plugins sugere recursos e objetivos além do cibercrime convencional.
)
A virada para ferramentas mais simples
Na segunda onda, em dezembro de 2025, o grupo abandonou os anexos diretos nos emails e passou a usar sites falsos de autoridades fiscais para distribuir o payload. O arquivo baixado era uma ferramenta legítima chinesa de acesso remoto, conhecida como RMM (Remote Monitoring and Management), digitalmente assinada pela empresa SyncFutureTec.
O grupo explorou uma falha de configuração na ferramenta para embutir o endereço do servidor de controle diretamente no nome do arquivo executável.
O formato seguia o padrão [endereço IP]ClientSetup.exe. Isso permitia controle remoto da máquina sem alterar o arquivo em si, preservando a assinatura digital e reduzindo a chance de detecção por antivírus. Essa onda atingiu Malásia, Filipinas, Tailândia, Indonésia, Singapura e Índia.
)
O stealer disfarçado de WhatsApp
Em fevereiro de 2026, o payload mudou novamente. O site de phishing passou a distribuir um stealer escrito em Python, compilado em executável e disfarçado de aplicativo do WhatsApp.
Um stealer é um tipo de malware focado em coleta. Ele não persiste no sistema nem instala backdoors. Seu objetivo é extrair o máximo de informação possível em uma única sessão, incluindo credenciais salvas no navegador, arquivos sensíveis, tokens de autenticação.
O código deixava rastros específicos no sistema infectado, como o arquivo C:\WhatsAppBackup\WhatsAppData.zip e um arquivo de lock na pasta temporária do Windows. O servidor de controle imitava a interface de login do WhatsApp Web.
)
Esse tipo de acesso abre caminho para Business Email Compromise (BEC), em que o atacante usa credenciais legítimas para se passar por um funcionário em comunicações financeiras, além de revenda de dados e acesso a sistemas corporativos.
Espionagem, crime ou os dois
A Sekoia levanta uma hipótese concreta sobre o modelo de negócio do Silver Fox. O grupo pode estar atuando como intermediário de acesso, comprometendo sistemas e vendendo esse acesso a grupos de espionagem patrocinados pelo Estado chinês. Tudo enquanto conduz operações financeiras por conta própria com a mesma infraestrutura.
Esse modelo se chama initial access broker. É uma divisão de trabalho no ecossistema de ameaças em que um grupo especializado em invasão vende o ponto de entrada para outros atores com objetivos distintos.
O timing da primeira onda, durante tensões geopolíticas elevadas sobre Taiwan e coincidindo com o período real de auditorias fiscais no país, é o principal argumento para a hipótese de alinhamento com objetivos de inteligência.
)
As ondas seguintes, mais dispersas geograficamente e com ferramentas mais simples, apontam para operações puramente financeiras.
A distinção entre as duas motivações está ficando cada vez mais difícil de traçar. E essa ambiguidade, segundo os pesquisadores, é parte da estratégia.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
