كشفت تقارير حديثة عن تطور كبير في أساليب مجموعة Silver Fox، وهي جهة فاعلة مقرها الصين، حيث تحولت من استخدام برامج التروجان للوصول عن بعد إلى نشر أدوات سرقة بيانات مخصصة بلغة بايثون في جنوب آسيا، مستغلة فخاخ الانتحال الضريبي.
تنشط هذه المجموعة منذ عام 2022، وقد لفتت الانتباه في البداية من خلال حملات عدوى واسعة النطاق استخدمت تسميم محركات البحث (SEO poisoning) لنشر برنامج ValleyRAT، وهو باب خلفي معيار يعرف أيضاً باسم Winos. يعكس هذا التحول الأخير توسيع Silver Fox المستمر لنطاقها الجغرافي وأدواتها، مع الاستمرار في استخدام إغراءات مقنعة لانتحال صفة السلطات الضريبية لتحقيق الدخول الأولي.
تطور حملات Silver Fox الاحتيالية
شهدت الحملة ثلاث موجات رئيسية بين عامي 2025 و 2026، مستهدفة كيانات في تايوان واليابان وماليزيا والهند وإندونيسيا وسنغافورة وتايلاند والفلبين. بدأت الموجة الأولى في يناير 2025، حيث أرسلت Silver Fox رسائل تصيد احتيالي تنتحل صفة هيئة الضرائب الوطنية التايوانية.
تضمنت كل رسالة ملف PDF خبيث، والذي عند فتحه، كان يحفز تنزيل أرشيف ZIP. احتوى هذا الأرشيف على ملفين — python311.dll وملف تنفيذي — يعملان معًا على تحميل ValleyRAT. تم توقيت هذه الحملة بشكل متعمد حول إعلان حقيقي من وزارة المالية التايوانية بخصوص اختيارات التدقيق الضريبي لعام 113، مما منح الإغراء مظهراً مقنعاً.
الموجة الثانية: استخدام أدوات RMM
في منتصف ديسمبر 2025، وسعت المجموعة نطاق استهدافها وراجعت طريقة التسليم. بدلاً من إرفاق ملف PDF، احتوت رسائل التصيد الاحتيالي الآن على رابط لموقع ضريبي وهمي مصمم خصيصاً لبلد الضحية. أنتج التنزيل من هذا الموقع أرشيفاً يحتوي على أداة صينية شرعية ولكنها خاطئة التكوين للإدارة والمراقبة عن بعد (RMM)، تم توقيعها بواسطة “SyncFutureTec Company Limited”.
استغلت Silver Fox خللاً في تكوين الأداة عن طريق تضمين عنوان الخادم والتحكم (C2) مباشرة في اسم الملف، متبعة النمط [IPv4]ClientSetup.exe. أبقى هذا التكتيك على التوقيع الرقمي للملف سليماً وتجاوز الفحوصات الأمنية الفورية.
الموجة الثالثة: تحول إلى Python Stealer
بحلول فبراير 2026، استبدلت Silver Fox أداة RMM ببرنامج سرقة بيانات مجمع بلغة بايثون، مما يمثل الموجة الثالثة. تمت كتابة موقع التصيد الاحتيالي باللغة الماليزية، مما يشير إلى أن ماليزيا كانت الهدف الأساسي في هذه المرحلة. تم تشغيل برنامج السرقة متخفياً في هيئة تطبيق نسخ احتياطي لتطبيق واتساب، مستخدماً وكيل المستخدم WhatsAppBackup/1.0 أثناء الاتصال بخادم C2 على xqwmwru[.]top.
على الأجهزة المصابة، خلفت المجموعة ملف C:WhatsAppBackupWhatsAppData.zip وملف قفل في دليل %TEMP%. تم تصميم بنية C2 لتبدو مشابهة لخادم واتساب ويب شرعي، مما يزيد من خداع الضحايا.
سلسلة عدوى Python Stealer
تبدأ سلسلة عدوى Python stealer عندما يفتح الضحية رسالة تصيد احتيالي وينقر على رابط مضمن، ليصل إلى موقع ويب ذي طابع ضريبي يعكس بوابة حكومية موثوقة. بعد ذلك، يُطالب الضحية بتنزيل أرشيف — إما ملف ZIP أو RAR — والذي يفك ضغطه إلى ملف تنفيذي واحد من نوع PE32+.
ينفذ تشغيل هذا الملف برنامج السرقة متخفياً كوحدة نسخ احتياطي لواتساب. بعد ذلك، يبدأ في جمع بيانات الاعتماد، وبيانات المتصفح، والتخزين، ومواد حساسة أخرى من الجهاز المصاب. يتم ضغط البيانات المجمعة وإرسالها إلى خادم C2 عبر نقطتي نهاية مخصصتين: https://xqwmwru[.]top/upload_large.php لعملية الاستخراج، و https://xqwmwru[.]top/upload_status.php لتأكيد عمليات النقل. ويعرض لوحة C2 واجهة خلفية منظمة مبنية لإدارة المعلومات المسروقة عبر ضحايا متعددين على نطاق واسع.
توصيات أمنية
يجب على المؤسسات في جنوب آسيا التعامل مع رسائل البريد الإلكتروني غير المرغوب فيها المتعلقة بالضرائب بحذر، خاصة تلك التي تحتوي على مرفقات أو روابط لتنزيل الملفات. يجب تدريب فرق الشؤون المالية على كيفية انتحال المهاجمين لصفة الوكالات الضريبية الحكومية في حملات التصيد الاحتيالي.
يجب على فرق الأمن حظر النطاقات الخبيثة وعناوين C2 المعروفة، بما في ذلك xqwmwru[.]top وعناوين IP لأدوات RMM المنشورة في تقارير استخبارات التهديدات. يجب تنبيه أدوات مراقبة نقطة النهاية عند إنشاء أدلة WhatsAppBackup وملف whatsapp_backup.lock، حيث يعمل كلاهما كمؤشرات واضحة للاختراق على مستوى المضيف.
يمكن أن يساعد فحص الاتصالات الصادرة إلى النطاقات المسجلة حديثًا ذات نطاقات المستوى العلوي غير الشائعة في تحديد الاختراقات المماثلة قبل مغادرة البيانات للشبكة. هذه الإجراءات الوقائية ضرورية لمكافحة تكتيكات Bamboozled Tax Audit المتطورة.