کمیته رکن چهارم– گروه تهدید سایبری معروف به Silver Fox با استفاده از نسخه جعلی نرمافزار Microsoft Teams و تکنیک مسمومسازی موتور جستجو، در حال انتشار بدافزار ValleyRAT در چین است. این کارزار از نوامبر ۲۰۲۵ آغاز شده و کاربران چینیزبان، بهویژه کارمندان سازمانهای غربی در چین را هدف قرار داده است.
به گزارش کمیته رکن چهارم، مهاجمان با هدایت کاربران به وبسایت جعلی و ارائه فایل نصب آلودهای با نام MSTчamsSetup.zip، نسخهای آلوده از Teams را با ظاهری معتبر ارائه میدهند. این فایل شامل نصبکنندهای است که پس از اجرا، تنظیمات امنیتی سیستم قربانی را دستکاری کرده، نسخهای دستکاریشده از Teams را اجرا و چندین فایل مخرب را در مسیرهای پنهان ویندوز ذخیره میکند. در مرحله بعد، DLL بدافزار در حافظه سیستم تزریق شده و ارتباط با سرور کنترلکننده برای اجرای دستورها و انتقال دادههای حساس برقرار میشود.
بدافزار ValleyRAT نسخهای پیشرفته از Gh0st RAT است که با قابلیت کنترل از راه دور، اجرای دستورات، سرقت اطلاعات و پایداری در شبکه، تهدیدی جدی برای امنیت سایبری محسوب میشود. حمله جدید Silver Fox برخلاف نمونههای قبلی که از برنامههایی مانند Chrome و Telegram استفاده میکردند، از Teams بهره گرفته تا تشخیص و شناسایی حمله دشوارتر شود.
در حملهای مشابه، نسخه جعلی نصبکننده Telegram نیز بهکار گرفته شده که با تکنیک BYOVD و بارگذاری درایور آسیبپذیر NSecKrnl64.sys، دفاعهای امنیتی را خنثی میکند. فایلهای اجرایی مرحله دوم با نامهای men.exe و NVIDIA.exe وظیفه فعالسازی و تثبیت بدافزار را بر عهده دارند.
این حملات با هدف سرقت اطلاعات، سودجویی مالی و جمعآوری دادههای حساس برای مقاصد ژئوپلیتیکی انجام میشوند و کاربران در معرض خطر جدی نشت داده، آسیب مالی و تخریب سیستم قرار دارند.
