حملة “الثعلب الفضي” الجديدة تخفي “فالي رات” بداخل مثبت حزمة تلغرام صينية مزيفة

كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين، بقيادة مجموعة Silver Fox APT، والتي تستخدم مثبت حزمة لغة مزيف لتطبيق تليجرام لنشر برمجيات التجسس ValleyRAT. تعد هذه التقنية الجديدة تطوراً مقلقاً في أساليب التهديدات السيبرانية التي تستهدف الشرق الأوسط.

تم رصد الملف الخبيث، الذي يظهر كملف تثبيت MSI تقليدي، على منصة MalwareBazaar في الثامن من أبريل 2026، وفقاً لما ذكره الباحث الأمني CNGaoLing. تمكنت فرق التحليل من ربط هذه الحملة الحديثة بممارسات وأساليب مجموعة Silver Fox المعروفة.

استراتيجيات مجموعة Silver Fox في حملتها الجديدة

تُعرف مجموعة Silver Fox، التي يشار إليها أيضاً بأسماء مثل SwimSnake و UTG-Q-1000 و Void Arachne، بكونها مجموعة سيبرانية ذات أصول صينية، ولديها تاريخ طويل في انتحال شخصية البرامج الشائعة ذات الاستخدام الواسع باللغة الصينية لخداع الضحايا. واتبعت المجموعة في حملاتها السابقة أساليب مشابهة، حيث استخدمت مثبتات مزيفة لتطبيقات مثل Teams و Zoom و Signal، وحتى أدوات ضريبية تايوانية.

تتبع هذه العملية الأحدث نفس النهج، ولكنها تخفي البرمجيات الخبيثة داخل ما يبدو أنه ملف تكوين لغة لتليجرام. يعتبر هذا النوع من الحزم أمراً طبيعياً لكثير من المستخدمين الناطقين بالصينية، مما يجعلهم يثقون به ويقومون بتثبيته دون تردد.

سلسلة العدوى المكونة من ست مراحل

قام محللون من Breakglass Intelligence بتحديد هذه الحملة، مشيرين إلى أنها تتضمن سلسلة عدوى مكونة من ست مراحل صممت خصيصاً لتفادي برامج مكافحة الفيروسات الصينية الشهيرة، بما في ذلك Qihoo 360 و Tencent PC Manager و Huorong. وتم التأكيد على أن الأدوات المستخدمة والبنية التحتية وسلوكيات المشغلين تتطابق بشكل كبير مع مجموعة التهديدات Silver Fox.

يستخدم الملف الخبيث، وهو ملف MSI يسمى داخلياً IssueAccentRequest، وتم بناؤه في 24 مارس 2026، إطار عمل WiX Toolset، وهو مصمم ليبقى مخفياً من قائمة “إضافة/إزالة البرامج” في نظام ويندوز. وبمجرد اكتمال التنفيذ، تبدأ برمجية ValleyRAT الخبيثة في التواصل مع خادم القيادة والسيطرة (C2) على عنوان IP 118.107.43.65 عبر المنفذ 5040. ويتم استضافة هذا الخادم في هونغ كونغ بواسطة CTG Server Ltd، وهي شركة تقدم خدمات استضافة مقاومة للبرمجيات الخبيثة، وقد ظهرت في العديد من عمليات Silver Fox السابقة.

يُعتقد أن الأضرار المحتملة كبيرة. فالمكون الثانوي، وهو ملف DesignAccent.exe، يتم نشره كجدول مهمة مجدول، ويُعتقد أنه يحمل قدرات لالتقاط لقطات الشاشة أو الاتصال التقاني. كما يتم تحميل برمجية wnBios kernel rootkit، باستخدام تقنية “أحضر تعريفك الهش” (Bring Your Own Vulnerable Driver)، مما يمنح المهاجم وصولاً مباشراً للقراءة والكتابة إلى الذاكرة الفعلية. هذا يتيح لهم تعطيل أدوات الأمان على مستوى النواة وإخفاء وجود البرمجيات الخبيثة عن نظام التشغيل.

التصدي لبرمجيات التجسس ValleyRAT

الجزء الأكثر تعقيداً من الناحية التقنية في هذه الحملة هو عملية العدوى المكونة من ست خطوات، والتي تنتقل من ملف MSI يبدو غير ضار إلى اختراق كامل للنظام. عندما يقوم الضحية بتشغيل ملف a.msi، يقوم إجراء مخصص لـ VBScript بالتشغيل فوراً بعد استخراج الملف، وينفذ بصلاحيات النظام الكاملة (SYSTEM).

يقوم النص البرمجي بنشر نسخة شرعية وموقعة من أداة الأرشفة zpaqfranz v60-v63.2، والتي تم تغيير اسمها إلى KhDzetMjQMsAGYw.exe، كـ “Binary Living-off-the-Land” لفك ضغط أرشيفين ZPAQ متداخلين. الأرشيف الخارجي لا يتطلب كلمة مرور، بينما الأرشيف الداخلي محمي بكلمة المرور 1427aafwqYOGGlOahjE. ثم يتم تطبيق خطوة فك تشفير XOR أخيرة باستخدام المفتاح 0x38، والتي يتم تطبيقها كل 56 بايت، للكشف عن الحمولة النهائية. يجب على فرق الأمان تمييز أي عملية zpaqfranz خارج بيئات التطوير المخصصة أو النسخ الاحتياطي كحدث ذي أولوية قصوى.

بعد فك الضغط، تتكيف السلسلة مع أي منتج لمكافحة الفيروسات تكتشفه على النظام. إذا تم اكتشاف Qihoo 360 أو Tencent PC Manager قيد التشغيل عبر استعلام WMI، يتحول المثبت إلى تحميل DLL جانبي عبر SodaMusicLauncher.exe، وهو ملف ثنائي شرعي وموقع من ByteDance. يتم وضع نسخ خبيثة من powrprof.dll و wsc.dll بجانبه، مما يزرع الشفرة داخل عملية موثوقة موقعة، والتي تسمح بها منتجات الأمان في السوق الصينية تقريباً دائماً. في حال عدم اكتشاف أي برامج مكافحة فيروسات رئيسية، يتم تنفيذ الحمولة مباشرة من محرك الأقراص C.

يُنصح فرق الأمان بحظر عنوان IP 118.107.43.65 وشبكة CTG Server الأوسع 118.107.40.0/21 على حدود الشبكة. يجب إصدار تنبيهات حول تثبيتات MSI التي تقوم فيها إجراءات VBScript المخصصة من النوع 7238 بتشغيل PowerShell، والبحث عن أسماء العمليات GjdLUhqZIJJB.exe و SingMusice.exe و DesignAccent.exe. يجب التعامل مع تنفيذ zpaqfranz على محطات العمل القياسية على أنه أمر مشبوه. يجب مراقبة AppShellElevationService المسجل بمسارات ثنائية غير قياسية، والبحث عن أحداث تحميل مشغل النواة التي تتطابق مع توقيع wnBios PDB. ننصح المستخدمين الناطقين بالصينية بتوخي الحذر عند تنزيل حزم اللغة أو ملفات التكوين من أي مصدر خارج القنوات الرسمية للتطبيق.