Neue Silver Fox-Kampagne nutzt gefälschte Steuerprüfungs-Warnungen und Software-Updates zur Verbreitung von Malware

Was als finanziell motivierte Angriffe gegen Benutzer in China begann, hat sich nun zu einem zweckmäßigen Betrieb erweitert, der gleichzeitig Spionage- und gewinngetriebene Kampagnen durchführt.

Die Gruppe verlagerte ihren Fokus allmählich auf Taiwan und Japan, bevor sie 2025 weiter nach Südostasien vordrang und Benutzer in Malaysia, Indonesien, Singapur, Thailand und die Philippinen ins Visier nahm.

S2W-Analysten und -Forscher identifizierten die aktualisierten Taktiken der Gruppe in einem detaillierten Threat Group Profile, das im April 2026 veröffentlicht wurde, und stellten fest, dass Silver Fox seine Phishing-Methoden erheblich weiterentwickelt hatte, um lokale Steuerperioden und regionale Softwaregewohnheiten zu berücksichtigen.

Der Bericht hob hervor, wie die

Der Bericht hob hervor, wie die Gruppe das Nationale Finanzamt nachahmte, um auf Taiwan ansässige Benutzer anzusprechen, und ihre Phishing-E-Mails so getaktet wurden, dass sie mit der lokalen Steuerprüfungsperiode zusammenfielen, um sie überzeugender und dringlicher erscheinen zu lassen. Die Angreifer verlassen sich nicht auf einen einzigen Trick.

Silver Fox baut seine Kampagnen um sorgfältig erstellte E-Mails auf, die wie offizielle Steuerprüfungsmitteilungen oder routinemäßige Software-Update-Erinnerungen aussehen.

Öffnet ein Ziel die E-Mail, könnte es auf eine getarnte Verknickung oder ein Office-Dokument mit versteckten Makros stoßen, beides darauf ausgelegt, leise einen Malware-Download auszulösen, ohne dass der Benutzer es merkt.

Moegliche Anwendungen

Die Kampagne wurde auch dabei beobachtet, zweiteilige Nutzlasten aus Cloud-Speichereinfrastrukturen zu liefern, gefolgt , das ist, was es den Angreifern ermöglicht, dauerhaften Zugriff zu behalten und Daten aus dem Netzwerk zu ziehen.

Die Ziele sind nicht länger auf alltägliche Benutzer beschränkt. Silver Fox hat seinen Fokus auf medizinische Einrichtungen, Finanzunternehmen und Unternehmensumgebungen ausgeweitet, was dies zu einer ernsthaften Bedrohung für Organisationen macht, die täglich mit sensiblen Daten umgehen.

Infektionskette und Persistenz-Taktiken Die vollständige Infektionskette, die , zeigt, wie viel Aufwand die Gruppe betreibt, um verborgen zu bleiben und langfristigen Zugang zu erhalten.

Moegliche Anwendungen

Nachdem sie über Phishing einen ersten Zugang erlangt haben, setzen die Angreifer eine Reihe , darunter ValleyRAT, AtlasCross RAT und den Catena Loader. Diese Tools arbeiten zusammen, um Persistenz zu etablieren, mit entfernten Servern zu kommunizieren und sich lateral innerhalb des kompromittierten Netzwerks zu bewegen.

Eine der besorgniserregendsten Techniken, die , ist die Methode des Bring Your Own Vulnerable Driver (BYOVD).

Silver Fox lädt ältere, legitim signierte Windows-Treiber, die bekannte Sicherheitslücken enthalten, und nutzt diese Lücken dann aus, um Antiviren- und Endpoint Detection and Response (EDR)-Tools auf der Zielmaschine zu deaktivieren.

Durch die Arbeit auf Kernel-Ebene blenden

Durch die Arbeit auf Kernel-Ebene blenden diese Angriffe standardmäßige Sicherheitssoftware effektiv aus und ermöglichen es der Malware, ohne Alarm auszulösen zu ausgeführt werden. Dieser Ansatz spiegelt tiefgreifende technische Fähigkeiten wider und zeigt, dass die Gruppe mit klarer Planung und Absicht agiert.

Nach Februar 2026 bestätigten Forscher außerdem, dass die Gruppe einen auf Python basierenden Informationsdieb eingesetzt hat, der sensible Dateien sammelte und sie auf.

Die Malware hinterließ Spuren in WhatsApp-Backup-Ordnern und kommunizierte mit remote gehosteten Upload-Skripten, was auf einen gezielten und überlegten Versuch hindeutet, sowohl persönliche als auch organisationale Daten zu sammeln.

Organisationen, die mit dieser Bedrohung konfrontiert

Organisationen, die mit dieser Bedrohung konfrontiert sind, werden dringend aufgefordert, die Kontrollen bei der E-Mail-Filterung und der Domain-Überwachung zu verschärfen, um gefälschte Adressen frühzeitig zu erkennen.

Sicherheitsteams sollten Richtlinien durchsetzen, die das Laden anfälliger Windows-Treiber blockieren, während gleichzeitig sichergestellt wird, dass EDR-Tools Kernel-Level-Schutz bieten. Die Anwendung , zu begrenzen, welche Programme auf Endpunkten ausgeführt werden können.

Mitarbeiter in den Bereichen Finanzen, Gesundheitswesen und Unternehmensumgebungen sollten regelmäßig Schulungen zum Phishing-Bewusstsein absolvieren, insbesondere während der Steuererklärungszeit, wenn diese Angriffe tendenziell zunehmen.

Sie uns auf