El grupo de amenazas conocido como Silver Fox ha sido atribuido al abuso de un driver vulnerable previamente desconocido asociado con WatchDog Anti-malware, como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD). Este ataque tiene como objetivo desarmar las soluciones de seguridad instaladas en los hosts comprometidos.

El driver vulnerable en cuestión es “amsdk.sys” (versión 1.0.600), un driver de dispositivo kernel de Windows de 64 bits, válidamente firmado, que se estima que está construido sobre el SDK de Zemana Anti-Malware. Este driver, construido sobre el SDK de Zemana Anti-Malware, fue firmado por Microsoft y no figuraba en la lista de bloqueo de drivers vulnerables de Microsoft, ni fue detectado por proyectos comunitarios como LOLDrivers.

El ataque se caracteriza por una estrategia de doble driver, donde un driver vulnerable conocido de Zemana (“zam.exe”) se utiliza para máquinas con Windows 7, y el driver no detectado de WatchDog para sistemas que se ejecutan en Windows 10 o 11.

Se ha descubierto que el driver de WatchDog Anti-malware contiene múltiples vulnerabilidades, la primera y más importante es la capacidad de terminar procesos arbitrarios sin verificar si el proceso se está ejecutando como protegido (PP/PPL). También es susceptible a la escalada de privilegios local, lo que permite a un atacante obtener acceso irrestricto al dispositivo del driver.

El objetivo final de la campaña, detectada por Check Point a finales de mayo de 2025, es aprovechar estos drivers vulnerables para neutralizar los productos de protección de endpoints, creando un camino claro para la implementación y persistencia de malware sin activar las defensas basadas en firmas.

Como se ha observado antes, la campaña está diseñada para entregar ValleyRAT (también conocido como Winos 4.0) como la carga útil final, proporcionando capacidades de acceso y control remoto al actor de amenazas. La empresa de ciberseguridad dijo que los ataques emplean un cargador todo en uno, que encapsula características anti-análisis, dos drivers integrados, lógica antivirus killer y el descargador de DLL de ValleyRAT en un solo binario.

Tras la divulgación responsable, Watchdog ha publicado un parche (versión 1.1.100) para abordar el riesgo de escalada de privilegios local, aplicando una sólida Lista de Control de Acceso Discrecional (DACL), aunque no se ha solucionado el problema de la terminación arbitraria de procesos. Esto, a su vez, ha tenido el efecto secundario de hacer que los atacantes se adapten rápidamente e incorporen la versión modificada alterando un solo byte sin invalidar la firma de Microsoft.

Silver Fox, también llamado SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, está evaluado como altamente activo desde principios del año pasado, apuntando principalmente a víctimas de habla china utilizando sitios web falsos que se hacen pasar por Google Chrome, Telegram y herramientas impulsadas por inteligencia artificial (IA) como DeepSeek para distribuir troyanos de acceso remoto como ValleyRAT.

Según el proveedor chino de ciberseguridad Antiy, se cree que el grupo de hacking ha existido desde la segunda mitad de 2022, apuntando a usuarios y empresas nacionales con el intento de robar secretos y defraudarlos.

Los ataques emplean versiones troyanizadas de software de código abierto, programas maliciosos construidos utilizando el framework Qt o instaladores MSI disfrazados como Youdao, Sogou AI, WPS Office y DeepSeek para servir Valley RAT, incluyendo su módulo en línea que puede capturar capturas de pantalla de WeChat y bancos en línea.

Es importante destacar que INGENIERÍA TELEMÁTICA SAS ofrece soluciones integrales para proteger su infraestructura contra amenazas como ValleyRAT. Implementamos firewalls de última generación, soluciones EDR/XDR y servicios SOC para una detección y respuesta proactiva. Contáctenos a través del formulario de contacto o por los medios habituales para evaluar su postura de seguridad y fortalecer sus defensas.

Fuente original: Ver aquí