Chinese users targeted with fake WPS Office

المجموعة الصينية Silver Fox تستخدم مواقع مزيفة لنشر Sainbox RAT وRootkit مخفي

نظرة عامة على الحملة الخبيثة

اكتُشفت حملة جديدة تستخدم مواقع ويب مزيفة تروّج لبرمجيات شهيرة مثل WPS Office وSogou وDeepSeek بهدف تحميل البرمجيات الخبيثة Sainbox RAT وrootkit مفتوح المصدر يسمى Hidden.

الجهة المنفذة

نسبت Netskope Threat Labs الحملة بثقة متوسطة إلى مجموعة قرصنة صينية تعرف بـ «Silver Fox» أو «Void Arachne»، استنادًا إلى تشابه تقنياتهم مع حملات سابقة.

استهداف المستخدمين الصينيين

• استخدمت الحملة مواقع مزيفة باللغة الصينية (مثل "wpsice[.]com") لتحميل ملفات MSI خبيثة.
• الملفات موجهة لمستخدمي نظام Windows المتحدثين بالصينية.

آلية العمل – Sainbox + Hidden

• يقوم المثبت الخبيث بتشغيل ملف shine.exe الشرعي الذي يستخدم تقنية Side‑loading لتحميل مكتبة libcef.dll المزيفة.
• تقوم libcef.dll باستخراج الشيفرة الخبيثة من ملف نصي ("1.txt") وتشغيلها، مما يؤدي إلى تنفيذ RAT يُعرف بـ Sainbox.
• تحوي البيانات أيضًا rootkit خفي مبني على مشروع Hidden مفتوح المصدر.

قدرات البرمجيات الخبيثة

• Sainbox RAT: يسمح بالتحكم عن بُعد، كشف وتثبيت أدوات إضافية، وسرقة بيانات.
• Hidden rootkit: يتيح إخفاء العمليات والمفاتيح في سجل الويندوز بشكل خفي.

تاريخ في استخدام نفس التكتيكات

• يوليو 2024: حملة تستهدف المستخدمين الصينيين بمواقع مزيفة لترويج Google Chrome، وتحميل Gh0st RAT (أبلغت عنها eSentire).
• فبراير 2025: Hجوم بمواقع مزيفة أخرى ليتم تنزيل ValleyRAT (المعروفة أيضًا Winos 4.0)، حسب تقرير Morphisec.
• سبتمبر 2023: وثّقت Proofpoint أول ظهور لـ ValleyRAT ضمن حملة استهدفت المستخدمين الصينيين مستخدمة Sainbox وPurple Fox.

خلاصة واستنتاج

تثبت هذه الحملة أن مجموعة Silver Fox تعتمد على أدوات جاهزة مفتوحة المصدر وتقنيات Side‑loading لتقليل الجهد في التطوير وتحقيق عمليات سيطرة متقدمة وخفية على الأجهزة المستهدفة.