卡巴斯基发现一个针对印度和印度尼西亚企业的最新SilverFox（银狐）攻击行动

此次APT攻击活动会将恶意文件伪装成与税务违规相关的文件。一旦设备感染，攻击者便可远程访问受影响的设备，并窃取组织内部的敏感数据。

卡巴斯基全球研究与分析团队（GReAT）分析了自2025年12月以来观察到的SilverFox（银狐）组织发起的几波最新网络攻击。这些攻击活动针对印度、印度尼西亚、南非和俄罗斯的公司，涉及工业、咨询、贸易以及交通运输等行业领域。

这些钓鱼邮件经过精心设计，伪装成官方税务审计通知，或诱导收件人下载一个据称包含“税务违规清单”的压缩包。通过利用来自税务机构通信中所表现出的权威性与紧迫感，威胁行为者试图说服受害者下载该文件，从而启动攻击链。仅在1月至2月期间，就记录到了超过1,600封恶意邮件。

该威胁行为者扩大了其工具集，通过此前攻击中使用的已知后门 ValleyRAT，部署了一个基于Python的新后门，代号为ABCDoor。ABCDoor自2024年底起便存在于该APT组织的攻击工具库中，并在整个2025年被用于各类攻击。该后门使攻击者能够上传和下载文件，并且还能通过近实时方式同时向外“串流”多名受害者的屏幕，实现远程控制受感染系统、读取剪贴板内容，并可自我更新。此外，攻击者还使用了一个经过修改且此前未被公开的 RustSL 版本来投递 ValleyRAT。该 RustSL 最初由威胁行为者在 2025 年 12 月下旬首次部署。

“社交工程手段在这起攻击活动中扮演了关键角色。该组织利用了用户倾向于信任来自税务机关等官方机构的通信这一心理。与此同时，SilverFox （银狐）对主要恶意载荷采用了多阶段的投递方式，并使用了多个邮箱地址和域名。这会提高这类攻击所带来的总体风险，因为它有助于降低在整个攻击链条中被发现和被中断的可能性，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Anton Kargin表示。

卡巴斯基大中华区总经理郑启良表示，当下 APT 攻击愈发擅长借税务官方场景实施社工欺诈，威胁组织不断迭代恶意工具、采用多阶段投递模式隐匿攻击链路。这类针对性攻击横跨多行业跨国蔓延，隐蔽性与持续性大幅提升。企业既要筑牢邮件与终端技术防线，更要常态化开展员工安全意识培训，依托威胁情报与专业安全方案，构建全链路主动防御体系。

此前，SilverFox（银狐）组织的攻击目标主要为亚洲企业，涉及电信、能源、物流和金融等行业。

有关这次APT攻击的最新详情及其使用的工具集，请参阅Securelist.com上的完整报告。

为了确保安全，卡巴斯基建议组织：

·定期提升员工的数字素养水平。可通过专门课程或培训项目实现，例如卡巴斯基自动化安全意识平台。

·使用能够自动拦截可疑邮件、扫描受密码保护的压缩包并应用CDR技术的解决方案，例如卡巴斯基邮件服务器安全。

·为网络安全专业人员提供网络威胁情报访问权限，例如通过威胁情报服务，使其能够及时掌握攻击者的最新技术、战术和流程。

·使用卡巴斯基Next产品线的解决方案，为企业基础设施提供针对广泛威胁的保护，该产品线具备实时防护、威胁可视化、调查及高级响应能力。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 35名以上专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。