Исследователи сообщили о новой кампании, нацеленной на японские компании, прежде всего на бизнес-структуры, где сотрудники в этот период действительно ждут письма о налоговой отчётности, пересмотре зарплат и кадровых изменениях. Именно под такие рабочие процессы и маскируются сообщения: тема письма выглядит как обычное внутреннее уведомление или деловая рассылка. Для сотрудника бухгалтерии, HR или администрации такое письмо выглядит как часть обычной сезонной рутины.
Читайте также:
Фишинговые ZIP-файлы снова в игре
Злоумышленники не ограничиваются массовой рассылкой «вслепую». В ряде случаев они заранее собирают данные о компании, используют её название в теме письма, а также подставляют имена реальных сотрудников или руководителей, чтобы письмо выглядело как внутреннее. Это повышает шансы, что адресат откроет вложение или перейдёт по ссылке.
Письмо содержит либо вредоносное вложение, либо ссылку на страницу, где жертве предлагают скачать файл. В качестве площадок для доставки файлов могут использоваться известные сервисы хранения и передачи данных вроде WeTransfer или gofile, что делает атаку визуально ещё более правдоподобной. Архивы нередко упакованы в ZIP или RAR, чтобы содержимое не бросалось в глаза.
В мартовской японской волне исследователи связывают атаку с вредоносом ValleyRAT. Это троян удалённого доступа, или RAT — от английского Remote Access Trojan, то есть программа, которая после установки даёт злоумышленнику удалённый контроль над компьютером. Такой инструмент может использоваться для кражи данных, наблюдения за действиями пользователя, закрепления в системе и дальнейшего продвижения по сети компании.
При этом более широкие исследования Silver Fox показывают, что инструментарий группы меняется. По данным Sekoia, в 2025–2026 годах группа эволюционировала: в одних волнах применялся ValleyRAT, в других — удалённые инструменты администрирования, а затем и Python-стилер, замаскированный под приложение WhatsApp backup.
Sekoia указывает, что география активности Silver Fox за последний год расширялась. Помимо Тайваня и материкового Китая, в отчётах фигурируют Япония, Малайзия, Индия, Индонезия, Сингапур, Таиланд и Филиппины. Отдельно Kaspersky в марте 2026 года сообщала и о волне писем от имени «налоговой», направленной уже против российских организаций, где использовались другие загрузчики и Python-бэкдор.
Несмотря на локализацию писем, в японских приманках иногда встречаются неестественные формулировки. Причина проста — операторы не являются носителями японского языка.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
