تستغل حملة برمجيات خبيثة منظمة، تُعرف باسم “Silver Fox”، موسم الضرائب في اليابان لاستهداف الشركات بعمليات تصيد احتيالي متطورة. تستغل هذه المجموعة الفترة التي تشهد إجراءات نهاية السنة المالية، وتسعى لخداع الموظفين عبر رسائل بريد إلكتروني تبدو وكأنها اتصالات داخلية رسمية.
تستهدف الحملة حاليًا قطاع التصنيع والشركات المختلفة في اليابان، مستفيدة من التوقعات الطبيعية لدى الموظفين بتلقي مراسلات متعلقة بالشؤون المالية والموارد البشرية خلال هذه الفترة.
حملة “Silver Fox” تستهدف الشركات اليابانية
تنشط مجموعة “Silver Fox” في مجال التهديدات السيبرانية منذ عام 2023 على الأقل. بدأت المجموعة تركيزها في البداية على أهداف ناطقة بالصينية، ثم وسعت نطاق عملياتها لتشمل جنوب شرق آسيا واليابان، مع احتمالية توسعها إلى أمريكا الشمالية، حيث تقوم بتكييف حملاتها لتناسب اللغة المحلية لكل منطقة.
على مر السنين، استهدفت المجموعة مجموعة واسعة من القطاعات، بما في ذلك التمويل والرعاية الصحية والتعليم والألعاب والحكومة، وحتى قطاع الأمن السيبراني نفسه. هذا الانتشار الواسع يشير إلى أن “Silver Fox” ليست مجرد جهة تهديد محدودة؛ بل هي قادرة على تكييف تكتيكاتها لتناسب البيئات والمواسم المختلفة.
تشكل هذه الحملة الحالية ضد اليابان استمرارية لنمط ملاحظ في نفس الفترة من العام الماضي. وهذا يؤكد أن المجموعة تتعمد توقيت هجماتها بما يتزامن مع الدورات التجارية المتوقعة.
آلية عمل الهجوم
يقوم المهاجمون بإجراء استطلاع مسبق لكل هدف. يجمعون أسماء الموظفين الحقيقية وحتى هويات المديرين التنفيذيين لاستخدامها كمرسلين مزيفين. هذا المستوى من البحث المسبق يميز “Silver Fox” عن الجهات التهديدية الأقل تطوراً، ويجعل حملاتها أكثر صعوبة في الاكتشاف.
تتضمن رسائل البريد الإلكتروني اسم الشركة المستهدفة مباشرة في سطر الموضوع، مما يجعل الرسالة تبدو وكأنها إشعار داخلي شرعي. غالبًا ما تتناول سطور الموضوع مواضيع مثل انتهاكات الامتثال الضريبي، تعديلات الرواتب، تغييرات خطط ملكية أسهم الموظفين، وتحديثات شؤون الموظفين، وهي بالضبط نوع الرسائل التي يتوقعها الموظفون ويثقون بها خلال هذه الفترة المزدحمة.
تحمل رسائل البريد الإلكتروني هذه إما مرفقات خبيثة أو روابط تؤدي إلى صفحات تطلب من الضحايا تنزيل ملف. هذه هي أمثلة على رسائل التصيد الاحتيالي التي تم توزيعها في 11 و 12 مارس 2026، بالإضافة إلى صفحة ويب خادعة متعلقة بالضرائب تستخدم لدفع التنزيل الخبيث.
عند فتح أي من هذه الملفات، يتم تثبيت برنامج ValleyRAT على جهاز الضحية. ValleyRAT هو حصان طروادة وصول عن بعد (RAT) تكتشفه منتجات ESET باسم Win64/Valley. بمجرد التثبيت، يمنح ValleyRAT المهاجم سيطرة كاملة عن بعد على النظام المخترق. هذا يسمح لهم بسرقة البيانات الحساسة، ومراقبة نشاط المستخدم، والتوغل بشكل أعمق في الشبكة لإعداد مراحل أخرى من الهجوم.
تفاصيل تقنية وتوصيات أمنية
تتسم سلسلة الإصابة وراء هذه الحملة المحددة بالبساطة ولكن فعاليتها. بعد أن يفتح الضحية الملف الخبيث، الذي غالبًا ما يكون مموهًا كإشعار راتب أو وثيقة موارد بشرية، يستقر ValleyRAT بصمت على النظام. يحتفظ حصان الطروادة هذا بالثبات في البيئة، مما يعني أنه يستمر في العمل حتى بعد إعادة التشغيل، مما يحافظ على وصول المهاجم بمرور الوقت.
عادةً ما يتم تسليم الملفات عبر خدمات استضافة الملفات المتاحة للجمهور مثل gofile[.]io أو WeTransfer، مما يضيف طبقة أخرى من الخداع حيث أن هذه منصات معروفة. غالبًا ما تستخدم الأرشيفات بصيغة RAR أو ZIP لتعبئة الحمولة، مما يجعلها أقل وضوحًا للمستلم في البداية.
للحد من مخاطر الوقوع ضحية لهذه الحملة، يوصي الباحثون الموظفين بالتحقق من أي بريد إلكتروني يتعلق بتغييرات الرواتب أو العقوبات الضريبية أو تحديثات شؤون الموظفين عبر قناة منفصلة، مثل مكالمة هاتفية أو رسالة مباشرة، قبل اتخاذ أي إجراء. يجب على المتلقين أيضًا التحقق مما إذا كان عنوان البريد الإلكتروني للمرسل يطابق الاسم المعروض بالفعل، حيث أن عدم التطابق علامة شائعة على الانتحال.
يجب على الموظفين أيضًا توخي الحذر إذا كانت اللغة في البريد الإلكتروني تبدو رسمية أو صارمة بشكل غير عادي، نظرًا لأن مشغلي Silver Fox ليسوا متحدثين أصليين باللغة اليابانية، وغالبًا ما تظهر أخطاء دقيقة في الصياغة في الرسائل. تُنصح المؤسسات أيضًا بالحفاظ على تحديث برامج الأمان الخاصة بها، والإبلاغ الفوري عن أي بريد إلكتروني مشبوه إلى فريق تكنولوجيا المعلومات أو الأمن، حتى عندما يبدو البريد الإلكتروني روتينيًا للوهلة الأولى.