استخبارات الخصم

شركة Silver Fox تستهدف الهند باستخدام خدع التصيد الاحتيالي ذات الطابع الضريبي

يكشف TRIAD من CloudSek عن حملة حاسمة من قبل شركة «Silver Fox» الصينية APT تستهدف الكيانات الهندية بإغراءات الاحتيال المتعلقة بضريبة الدخل ذات المظهر الأصيل. على الرغم من أنه نُسب خطأ سابقًا إلى SideWinder، إلا أن هذا الهجوم المتطور يستفيد من سلسلة القتل المعقدة التي تتضمن اختطاف DLL و Valley RAT المعياري لضمان الثبات. اكتشف التفاصيل الفنية الكاملة ولماذا يعد الإسناد الدقيق ضروريًا للدفاع الفعال.

December 24, 2025

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

اكتشفت TRIAD من CloudSek حملة بواسطة سيلفر فوكس APT استهداف الهند بإغراءات التصيد الاحتيالي تحت عنوان ضريبة الدخل. هذا الإغراء مطابق بصريًا لتلك التي اكتشفها بائعون آخرون، ومع ذلك، لم تُنسب هذه الحملة إلى جهة تهديد محددة قبل هذا التقرير. تعد دقة الإسناد أمرًا بالغ الأهمية في استخبارات التهديدات؛ فهي تمكن المدافعين من التنبؤ بسلوك الخصم ونشر التدابير المضادة المستهدفة. ينتشر الإسناد الخاطئ من مصادر موثوقة من خلال خلاصات التهديدات وأنظمة الكشف، مما يدفع المؤسسات إلى التركيز على التهديد الخاطئ بينما يعمل الخصم الفعلي دون أن يتم اكتشافه. إن عزو هذه الحملة إلى SideWinder APT (المنحازة للهند) يتناقض مع علم الضحايا الأساسي ويخلق ارتباكًا منهجيًا. يهدف استخدام تقريرنا إلى تسليط الضوء على سلسلة القتل المعقدة من قبل مجموعة APT الصينية، ويشرح الأساس المنطقي وراء إسناد CloudSek.

‍كيل تشين

ناقل الوصول الأولي

وجدنا بريدًا إلكترونيًا مثيرًا للاهتمام تم تحميله من الهند مع مرفق فقط يسمى «TOPSOE الهند الخاصة المحدودة». بدا ملف pdf وكأنه مستند رسمي لإدارة ضريبة الدخل. عند النقر على ملف pdf، يتم فتح «ggwk [.] cc» على المتصفح ويتم تنزيل ملف مضغوط يسمى «tax affairs.exe».

التحليل الفني

المرحلة - 1: ضريبة Affairs.zip

باستخدام التحليل الثابت، نرى أن ملف PE المحدد هو ثنائي واجهة المستخدم الرسومية 32 بت. والأهم من ذلك، تم تعريف الملف كمثبت لنظام تثبيت Nullsoft Scriptable (NSIS). يقوم مُثبتو NSIS بتضمين البرنامج النصي للتثبيت والحمولات المضغوطة وما إلى ذلك داخل الملف الثنائي نفسه ويمكننا المضي قدمًا لتحليله كحمولة مرحلية مدفوعة بالمثبِّت.

يبدأ مثبت NSIS بحل دليل مؤقت قابل للكتابة باستخدام GetTemppatha.
في حالة فشل العملية، فإنها تعود إلى C:\Windows\Temp، مما يضمن موثوقية التنفيذ. بمجرد تحديد موقع صالح، يقوم المثبت بإنشاء دليل عمل خاص بـ NSIS (~nsu.tmp) ويقوم بتبديل الدليل إليه.

عند التحليل، وجدنا أن ملفين فقط يستخدموننا، Thunder.exe و libexpat.dll. ملف Thunder.exe عبارة عن ملف قابل للتنفيذ شرعي وموقع رقميًا تم تطويره بواسطة Xunlei ()، ويتم توزيعه بشكل شائع كجزء من النظام البيئي لمدير تنزيل Thunder. في سلسلة العدوى هذه، لا يكون الملف الثنائي نفسه ضارًا ولكن يتم إساءة استخدامه كمضيف لاختطاف DLL. عند تنفيذه من الدليل المؤقت لبرنامج التثبيت، يقوم Thunder.exe بتحميل libexpat.dll من مساره المحلي بسبب ترتيب بحث DLL الافتراضي. يمكننا تأكيد ذلك في x64dbg.

‍

‍المرحلة - 2: libexpat.dll

ملف libexpat.dll الذي تم إسقاطه يفعل ذلك عدم تصدير أي وظائف ذات معنى وهو لم يتم استدعاؤها صراحة بواسطة Thunder.exe.the.dll يعتمد على وظيفة محمل ويندوز ويستدعي DLLMain. تم استدعاء رد الاتصال هذا دون قيد أو شرط، بغض النظر عما إذا كان DLL يصدر أي وظائف أو يتم استخدامه بشكل نشط من قبل العملية المضيفة.

دعونا نلقي نظرة على عمل DLL.

‍

تبدأ الوظيفة الرئيسية بالعديد من تقنيات مكافحة التصحيح ووضع الحماية. يقوم DLL بإجراء تعداد العمليات ومسح قائمة العمليات للتحليل المشترك وأدوات الحماية. أيضًا استعلامات DLL لموارد النظام للتحقق من استيفاء الحد الأدنى من المتطلبات أم لا. بالإضافة إلى ذلك، إذا اكتشف أي بيئة حماية، فإنه ينهي البرامج الضارة.

‍

بمجرد أن يكمل DLL فحوصات مكافحة التحليل، فإنه يدخل منطق التنفيذ الأساسي. يقوم أولاً بتعطيل خدمة Windows Update (wuauserv) ثم يقوم بتحميل حمولة مشفرة من القرص. يتم حل الحمولة بشكل ديناميكي وتحميل ملف box.ini من الدليل المؤقت. تتم قراءة الملف بالكامل في الذاكرة، ويتم فك تشفيره باستخدام ثوابت التشفير المضمنة ويتم تنفيذه لاحقًا كرمز shellcode.

‍

يتم تنفيذ كود shellcode باستخدام تقنية كلاسيكية تسمى Process Injection. يبدأ الروتين بالتحقق من وجود explorer.exe، والذي يتم استخدامه لاحقًا كعملية مستهدفة. يتم تشغيل الملف الثنائي في حالة التعليق ويسترد البرنامج الضار سياق الخيط الأولي. علاوة على ذلك، فإنه يخصص الذاكرة القابلة للتنفيذ داخل العملية البعيدة عبر VirtualAlloceX ويكتب الحمولة عبر WriteProcessMemory.

تقوم وظيفة LogStatus بتنفيذ آلية تسجيل داخلية مستخدمة في جميع أنحاء DLL لتسجيل تقدم التنفيذ وحالات الخطأ. تقوم الوظيفة بتنسيق رسالة سجل ذات طابع زمني وإلحاقها بملف محلي (C:\data.db) وتطبيق تشويش مخصص خفيف قبل كتابتها على القرص.

المرحلة - 3: دونوتلودر

يمكن تفريغ الحمولة المحقونة عن طريق إرفاق مصحح أخطاء بعملية explorer.exe المجوفة ومراقبة منطقة الذاكرة المخصصة عبر VirtualAlloceX. بمجرد كتابة الحمولة باستخدام WriteProcessMemory وإعادة توجيه التنفيذ، يمكن تفريغ المنطقة المخصصة مباشرة من الذاكرة، مما ينتج عنه حمولة المرحلة التالية للتحليل.

بالنظر إلى الحمولة التي تم فك تشفيرها، نجد أن الحمولة النهائية هي كود الغلاف الذي تم إنشاؤه بواسطة Donut. في هذا الإعداد، يتم استخدام Donut لتغليف الحمولة المُدارة في كود الغلاف الخام، مما يسمح بتنفيذها بالكامل من الذاكرة دون لمس القرص.

يمكننا تفريغ حمولة Donut باستخدام أدوات مثل أوندونت أو دونت ديكريبتور .

المرحلة - 4: فالي رات

بعد أن تقوم أداة تحميل Donut بحقن الحمولة النهائية بنجاح في عملية explorer.exe المجوفة، تقوم Valley RAT بتهيئة النظام الفرعي لإدارة التكوين المتطور. يبدأ من خلال تعيين إجراءات مكافحة التحليل ثم يستدعي وظيفة sub_405e40 () لتهيئة تكوينها ثم إنشاء مؤشر ترابط لاتصال C2 لاحقًا.

تقوم الوظيفة بتنفيذ آلية تحميل ذات مرحلتين. يستخرج 22 معلمة تكوين مميزة من خلال وظيفة التحليل.

المرحلة 1

البنية التحتية للقيادة والتحكم (9 معايير):

p1:, p2:, p3: - عناوين خادم C2 ثلاثية المستويات (ترتبط بـ b [.] yuxuanow [.] الأكثر تحديدًا في تحليل الشبكة)
o1:, o2:, o3: - أرقام المنافذ المقابلة لكل طبقة C2
t1:، t2:، t3: - علامات نوع الاتصال (1 = HTTP/HTTPS، 0 = مقبس TCP الخام)

المعلمات التشغيلية (5 معايير):

dd: - تأخير النوم الأولي (بالثواني) قبل أول اتصال بـ C2
cl: - فترة رد الاتصال (بالثواني) بين محاولات التنبيه
bb: - معرف إصدار البناء/الروبوت (تمت ملاحظته: 1.0)
bz: - عنوان C2 الاحتياطي
fz: - معلمة غير معروفة

علامات الميزات (8 معايير منطقية):

kl: - كيلوجر (1 = ممكّن، 0 = معطل)
sh: - الوصول إلى الغلاف عن بُعد (1 = ممكّن، 0 = معطل)
السرير: - وضع الباب الخلفي الكامل (1 = ممكّن، 0 = معطل)
دل: - إمكانية التنزيل/نقل الملفات
jp:, sx:, bh:, ll: - مفاتيح تبديل الميزات الإضافية

المرحلة 2

بعد تحميل التكوين المضمن، يستعلم Valley RAT عن سجل Windows للبنية التحتية C2 المحدثة:

إذا كانت قيمة التسجيل موجودة وتجاوزت 10 بايت، فإن Valley RAT يستبدل بالكامل تكوينه المضمن، ثم يعيد تحليل معاملات C2 الحرجة فقط (من p1 إلى t3). يسمح هذا لمشغلي Silver Fox بدفع عناوين C2 المحدثة دون نشر ثنائيات جديدة أو استعادة تنفيذ التعليمات البرمجية.

بعد تحميل التكوين. ينتج Valley RAT مؤشر ترابط الحمولة (startAddress) الذي ينفذ حلقة اتصال C2 من 3 مستويات.

تقوم حلقة الاتصال بتنفيذ عمليات تجاوز الأعطال متعددة المستويات بالتناوب بين الخوادم الأساسية (p1) والثانوية (p2) C2، والتحول إلى المستوى الثالث (p3) بعد 200 فشل. وهو يدعم كلاً من HTTP/HTTPS وبروتوكولات TCP الأولية، ويستخدم فترات إشارات قابلة للتكوين (cl:) لتقليل الاكتشاف، ويؤخر الاتصال الأولي (dd:) لتجنب صناديق الحماية.

عند الاتصال الناجح، يرسل Valley RAT منارة «جاهزة» (معرف الأمر: 4)، ويمكّن تسجيل المفاتيح في حالة تكوينه (kl: flag)، وينتظر أوامر C2. تحدد هذه البنية البنية التحتية المكتشفة: b [.] yuxuanow [.] top (103.20.195 [.] 147) كرمز غلاف أساسي C2، مع تدوير المستويات الثانوية/الثالثة عبر نطاقات مثل itdd [.] club و gov-a [.] work و xzghjec [.] com.

يطبق Valley RAT بنية المكونات الإضافية المعيارية التي تتيح تمديد القدرات الديناميكية من خلال الثبات القائم على التسجيل. تقوم البرامج الضارة بتخزين المكونات الإضافية التي تم تنزيلها في HKCU\ وحدة التحكم\ 0\ d33f351a4aeea5e608853d1a56661059 (اسم قيمة التسجيل) بما يتفق مع بصمة Valley RAT الراسخة، وفقًا لاتفاقية تسمية التجزئة MD5 التي تمت ملاحظتها عبر حملات Valley RAT المتعددة. يعمل مدير المكونات الإضافية في وضعين: إما أنه يتلقى وحدات من خادم C2، ويخصص ذاكرة قابلة للتنفيذ بأذونات PAGE_EXECUTE_READWRITE، ويستمر في تكوين 2628 بايت بالإضافة إلى رمز الحمولة إلى السجل كبيانات REG_BINARY، أو يسترد المكونات الإضافية المخزنة مسبقًا من السجل، ويتحقق من صحتها مقابل توقيع مشفر، وينتج سلاسل التنفيذ.

يتضمن كل مكون إضافي واقي البايت السحري (0xC9) لمنع التنفيذ المزدوج. تسمح هذه البنية لمشغلي Silver Fox بنشر إمكانات متخصصة مثل تسجيل المفاتيح المتقدم أو تجميع بيانات الاعتماد أو وحدات الحركة الجانبية عند الطلب للأنظمة المخترقة، مع الثبات التلقائي عبر عمليات إعادة التشغيل من خلال تخزين السجل.

بعد تنزيل المكونات الإضافية من خادم C2، يقوم Valley RAT بحقنها في tracerpt.exe، وهي أداة مساعدة شرعية موقعة من Microsoft، باستخدام نفس عملية التفريغ. تقوم البرامج الضارة بإنشاء العملية في حالة تعليق، وتحقن شفرة المكون الإضافي في ذاكرتها، وتعيد توجيه التنفيذ إلى الحمولة الضارة. قبل الحقن، يقوم بتصحيح المكون الإضافي بنفس التكوين 4768 بايت الذي يحتوي على عناوين C2 وعلامات الميزات التي تم تحليلها مسبقًا.

التمحور

لنبدأ بـ C2 المضمن في مستند الخداع «ggwk [.] cc».

يحتوي C2 على عنوانين مختلفين بمرور الوقت، وكلها تتماشى مع إغراء التصيد الاحتيالي المرتبط بضريبة الدخل، وكلاهما من نفس ASN. ومع ذلك، هناك قاسم مشترك - الأيقونة المفضلة.

نحن وجد أكثر من 10 نطاقات تشترك في نفس الأيقونة المفضلة. إذا نظرنا إلى عناوين استجابة http، يمكننا أن نرى أن جميع العناوين ذات طابع ضريبة الدخل. يمكن التحقق من صحة النتائج مقابل VT لاكتشاف عينات إضافية من هذه الحملة. راجع قسم IOCs أدناه.

نموذج الماس

‍

التأثير

مرتفع خطر التسوية طويلة الأجل غير المكتشفة: تسمح المكونات الإضافية الموجودة في السجل والإشارات المتأخرة لـ RAT بالبقاء على قيد الحياة في عمليات إعادة التشغيل مع الحفاظ على مستوى منخفض من الضوضاء.
تطور التهديد الديناميكي بعد الإصابة: يمكن للمهاجمين ترقية القدرات (تسجيل المفاتيح وسرقة بيانات الاعتماد والحركة الجانبية) دون الوصول الأولي مرة أخرى أو إعادة نشر البرامج الضارة.
الحجب المستند إلى البنية التحتية هش: يقلل تجاوز فشل C2 المتدرج وتبديل البروتوكول من فعالية حظر IP/المجال الثابت.
انخفاض مستوى الرؤية للاستجابة للحوادث: يؤدي التنفيذ داخل الذاكرة جنبًا إلى جنب مع الثبات المستند إلى التسجيل إلى تعقيد إعادة بناء الجدول الزمني والقضاء على البرامج الضارة.
مخاطر أمان البيانات المرتفعة: يتيح تسليم الوحدة عند الطلب جمع بيانات الاعتماد المستهدفة والمراقبة المصممة خصيصًا لدور الضحية وقيمتها.

التوصيات

مراقبة إساءة استخدام السجل كطبقة دائمة:
تنبيه بشأن نقاط REG_BINARY القابلة للتنفيذ والقيم الشاذة ضمن المسارات غير القياسية مثل HKCU\ Console\ *، خاصة تلك المكتوبة بواسطة عمليات المستخدم.
اكتشف منطق C2 متعدد المستويات، وليس فقط المجالات:
قم بإنشاء اكتشافات للاتصالات الخارجية ذات عمليات إعادة المحاولة الثقيلة، وتبديل البروتوكولات (HTTP ↔ raw TCP)، والإشارة الأولى المتأخرة، وحالات الفشل المتكررة التي يتبعها سلوك احتياطي.
الحالات الشاذة في أذونات ذاكرة الجهاز:
تنبيه بشأن العمليات التي تخصص ذاكرة PAGE_EXECUTE_READWRITE متبوعة بإنشاء مؤشر ترابط، خاصة داخل explorer.exe.
ابحث عن أنماط تحميل DLL الثنائية والمحلية الموقعة:
التنفيذ المترابط للثنائيات الموقعة من الأدلة المؤقتة مع أحمال DLL غير الموقعة وإنشاء مؤشر ترابط فرعي فوري.‍
تعامل مع تمكين ميزة RAT كإشارة تنبيه: راقب التنشيط المفاجئ لواجهات برمجة تطبيقات تسجيل المفاتيح أو سلوك الغلاف التفاعلي أو عمليات نقل الملفات ضمن عمليات طويلة الأمد وهادئة سابقًا.

الملحق

IOC

Indicator Type	Indicator	Comments
Sha256 Hash	77ea62ff74a66f61a511eb6b6edac20be9822fa9cc1e7354a8cd6379c7b9d2d2	Stage 1
Sha256 Hash	fa388a6cdd28ad5dd83acd674483828251f21cbefaa801e839ba39af24a6ac19	Stage 2
Sha256 Hash	f74017b406e993bea5212615febe23198b09ecd73ab79411a9f6571ba1f94cfa	Stage 3
Sha256 Hash	068e49e734c2c7be4fb3f01a40bb8beb2d5f4677872fabbced7741245a7ea97c	Stage 4
Domain	ggwk[.]cc	Embedded Domain Within Decoy Attachment
Domain	b[.]yuxuanow[.]top	Shellcode C2
IP	45.207.231[.]94	Resolution from ggwk[.]cc
IP	103.20.195[.]147	Resolution from b[.]yuxuanow[.]top

‍

‍تم العثور على البنية التحتية لشركة Silver Fox بعد التمحور

Indicator Type	Indicator	IP Address
Domain	itdd[.]club	45.207.231[.]107
Domain	xzghjec[.]com	8.217.9[.]165
Domain	gov-a[.]work	160.124.9[.]103
Domain	gov-a[.]fit	160.124.9[.]103
Domain	gvo-b[.]club	160.124.9[.]103
Domain	gov-c[.]club	160.124.9[.]103
Domain	gov-a[.]club	160.124.9[.]103
Domain	govk[.]club	160.124.9[.]103
Domain	dingtalki[.]cn	47.239.225[.]43
Domain	hhiioo[.]cn	43.100.22[.]158
Domain	kkyui[.]club	43.100.22[.]158
Domain	hhimm[.]work	43.100.22[.]158
Domain	swjc2025bjkb[.]cn	43.100.123[.]207
Domain	2025swmm[.]cn	43.100.123[.]207
Domain	hhiioo[.]work	43.100.63[.]145

‍

‍رسم خرائط MITRE

ATT&CK Tactic	Technique ID	Technique Name	Evidence from Report
Initial Access	T1566.001	Phishing: Spearphishing Attachment	Income-tax themed PDF delivered via email
Initial Access	T1204.002	User Execution: Malicious File	User opens PDF leading to payload download
Execution	T1059	Command and Scripting Interpreter	NSIS installer-driven execution logic
Execution	T1106	Native API	Use of GetTempPathA, VirtualAllocEx, WriteProcessMemory
Execution	T1129	Shared Modules	Signed Thunder.exe loads malicious DLL
Execution	T1620	Reflective Code Loading	Donut-generated shellcode executed entirely from memory
Persistence	T1547.001	Registry Run Keys / Startup Folder	Registry-stored plugins persist across reboots
Persistence	T1112	Modify Registry	Configuration and plugins stored as REG_BINARY values
Defense Evasion	T1574.001	DLL Search Order Hijacking	Malicious libexpat.dll loaded from writable directory
Defense Evasion	T1218	Signed Binary Proxy Execution	Abuse of digitally signed third-party binary
Defense Evasion	T1027	Obfuscated Files or Information	Encrypted payload (box.ini) decrypted at runtime
Defense Evasion	T1497	Virtualization/Sandbox Evasion	Anti-debugging, resource checks, sandbox detection
Defense Evasion	T1562.001	Disable or Modify Tools	Stops Windows Update service (wuauserv)
Discovery	T1057	Process Discovery	Enumerates processes to detect analysis tools
Discovery	T1082	System Information Discovery	System resource and environment checks
Command and Control	T1071.001	Web Protocols	HTTP/HTTPS C2 communication
Command and Control	T1095	Non-Application Layer Protocol	Raw TCP socket C2 supported via t* flags
Command and Control	T1105	Ingress Tool Transfer	Plugins and modules delivered from C2
Command and Control	T1573	Encrypted Channel	Encrypted configuration and payloads
Command and Control	T1008	Fallback Channels	Three-tier C2 with failover after connection failures
Command and Control	T1041	Exfiltration Over C2 Channel	Keylogging and command responses sent over C2
Collection	T1056.001	Input Capture: Keylogging	Keylogger enabled via kl feature flag
Impact	T1489	Service Stop	Windows Update service disabled

المراجع

‍

براجوال أواستي

Prajwal هو محلل البرامج الضارة في Cloudsek، وهو متخصص في الهندسة العكسية وذكاء التهديدات. يركز على الكشف عن التهديدات الجديدة من خلال أبحاث البرامج الضارة، مع خلفية في Offensive Security و Windows Internals.

كوشيك بالم

Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.