Una nueva campaña de malware atribuida con confianza media al grupo chino Silver Fox —también conocido como Void Arachne— ha sido descubierta por Netskope Threat Labs. Esta operación utiliza sitios web falsos que imitan portales legítimos de software popular como WPS Office, Sogou y DeepSeek para distribuir una combinación peligrosa: el Sainbox RAT, una variante de Gh0stRAT, y un rootkit basado en el proyecto open-source Hidden.
La infección comienza cuando la víctima accede a un sitio web de phishing completamente en chino, diseñado para parecerse al portal oficial de una aplicación conocida. Al hacer clic en el botón de descarga, el usuario obtiene un archivo MSI que aparenta ser un instalador legítimo. Este archivo ejecuta un binario real llamado Shine.exe, que a su vez carga lateralmente una DLL maliciosa (libcef.dll) mediante la técnica de DLL sideloading. Mientras tanto, el instalador legítimo también se ejecuta, reforzando la ilusión de autenticidad.
El instalador también deja caer un archivo 1.txt en el sistema, que contiene shellcode y un payload embebido. El shellcode, basado en la técnica sRDI (Shellcode Reflective DLL Injection), carga en memoria una DLL llamada Install.dll y ejecuta su función exportada Shellex, que inicia el malware. Este componente es el Sainbox RAT, una herramienta de acceso remoto que permite al atacante robar datos, ejecutar otros payloads, mantener persistencia y controlar completamente el sistema comprometido.
Dentro de la sección .data del RAT se encuentra un segundo binario: un driver rootkit basado en el proyecto Hidden. Este rootkit se instala como un servicio llamado Sainbox y se carga mediante la función NtLoadDriver. Su objetivo es ocultar procesos, archivos y claves del registro, proteger el malware de la terminación y evadir herramientas de monitoreo. También ofrece una interfaz de control mediante comandos IOCTL, lo que permite al atacante operar con un alto nivel de sigilo.
El uso de herramientas open-source como Gh0stRAT y Hidden demuestra una estrategia de bajo costo y alta efectividad. Al aprovechar componentes conocidos y técnicas como DLL sideloading y shellcode modular, Silver Fox logra evadir soluciones de seguridad tradicionales sin necesidad de desarrollar malware desde cero. Aunque la campaña se dirige principalmente a usuarios de habla china, la sofisticación técnica y la modularidad del ataque representan una amenaza global, especialmente para organizaciones que permiten la instalación de software sin validación estricta.
Netskope atribuye esta campaña a Silver Fox con base en los TTPs observados, el uso de RATs conocidos, la infraestructura de phishing y el enfoque en software popular entre usuarios chinos. Aunque la atribución en el ciberespacio siempre conlleva incertidumbre, los patrones coinciden con operaciones anteriores del mismo grupo.
https://www.netskope.com/blog/deepseek-deception-sainbox-rat-hidden-rootkit-delivery