Grupo Chinês Usa Isca Fiscal Para Espionagem e Roubo de Dados na Ásia
Caíque Andrade
A Arte da Enganação: O Imposto de Renda Como Porta de Entrada
A segurança digital é um campo de batalha constante, e grupos mal-intencionados estão sempre buscando novas formas de explorar vulnerabilidades. Recentemente, pesquisadores da Sekoia desvendaram uma operação orquestrada por um grupo hacker chinês, apelidado de Silver Fox, que utilizou uma tática particularmente astuta: o imposto de renda. Ao longo de três ondas de ataque entre 2025 e 2026, o grupo mirou em organizações em oito países asiáticos, demonstrando uma evolução notável em suas ferramentas e métodos.
O que torna essa campanha especialmente intrigante é a combinação de espionagem de alto nível, similar às operações de Advanced Persistent Threats (APTs), com crimes financeiros mais comuns. Essa dualidade no modelo operacional levanta questões sobre os verdadeiros objetivos e a estrutura do Silver Fox. Eles operam como um canivete suíço digital, capazes de realizar desde invasões sofisticadas até roubos mais diretos.
O Vício na Isca Fiscal: Uma Abordagem Consistente
Em todas as três fases documentadas, o Silver Fox demonstrou uma preferência notável pelo mesmo ponto de entrada: um ataque de phishing temático fiscal. Os e-mails eram meticulosamente elaborados para imitar autoridades tributárias nacionais, direcionados especificamente a funcionários dos departamentos de finanças e contabilidade. A precisão no layout, incluindo a identidade visual e até mesmo números de protocolo, visava eliminar qualquer suspeita por parte do destinatário.
Essa escolha não é aleatória. Comunicados relacionados a receitas federais e obrigações fiscais geram um senso de urgência e importância. Além disso, esses e-mails frequentemente chegam a departamentos com acesso a sistemas financeiros críticos, tornando-os alvos de alto valor. É um vetor de entrada eficaz e, aparentemente, "setor-agnóstico", funcionando independentemente do país ou da indústria específica.
A primeira onda, em janeiro de 2025, foi particularmente sincronizada. O Silver Fox disparou suas campanhas aproveitando um comunicado oficial do Ministério das Finanças de Taiwan sobre o início do período de auditorias fiscais. O documento PDF malicioso simulava uma lista oficial de empresas selecionadas para auditoria, aumentando a credibilidade e a probabilidade de cliques maliciosos.
ValleyRAT e a Evolução das Ferramentas de Invasão
O payload inicial utilizado na primeira onda foi o ValleyRAT, também conhecido como Winos. Este backdoor modular funciona como uma plataforma versátil, permitindo que os atacantes expandam suas capacidades após a infecção. Plugins adicionais podem ser carregados para executar funções específicas, como keylogging (captura de teclas digitadas), exfiltração de arquivos sensíveis ou controle remoto total do sistema comprometido.
Curiosamente, o builder do ValleyRAT havia vazado em 2023, mas o Silver Fox continuou a utilizá-lo, adaptando-o às suas necessidades. Em agosto de 2025, o grupo foi observado explorando um driver legítimo assinado pela Microsoft. Essa técnica, conhecida como BYOVD (Bring Your Own Vulnerable Driver), permite que código malicioso seja executado sem disparar alertas de segurança, pois utiliza um componente confiável do sistema operacional.
Esse nível de sofisticação no desenvolvimento e uso de plugins sugere que os objetivos do Silver Fox vão além do cibercrime convencional. A capacidade de explorar drivers assinados e a dependência de um simples PDF como porta de entrada demonstram um planejamento e recursos consideráveis.
A Virada para Ferramentas Mais Simples e a Ambição Financeira
Na segunda onda de ataques, em dezembro de 2025, o grupo mudou sua tática. Em vez de anexos diretos, passaram a utilizar sites falsos que simulavam portais de autoridades fiscais para distribuir o payload. O arquivo baixado, surpreendentemente, era uma ferramenta legítima chinesa de acesso remoto (RMM - Remote Monitoring and Management), assinada digitalmente pela empresa SyncFutureTec.
O Silver Fox explorou uma falha de configuração nessa ferramenta para embutir o endereço do servidor de controle diretamente no nome do arquivo executável, no formato `[endereço IP]ClientSetup.exe`. Essa manobra permitiu o controle remoto das máquinas comprometidas sem a necessidade de modificar o arquivo em si, preservando sua assinatura digital e diminuindo as chances de detecção por softwares antivírus. Essa campanha atingiu um número significativo de países: Malásia, Filipinas, Tailândia, Indonésia, Singapura e Índia.
A terceira onda, em fevereiro de 2026, trouxe uma nova ferramenta: um stealer escrito em Python, compilado em um executável e disfarçado de aplicativo do WhatsApp. Stealers são malwares focados em extrair o máximo de informações possível em uma única sessão, como credenciais salvas em navegadores, arquivos sensíveis e tokens de autenticação. O código malicioso deixava rastros específicos, como o arquivo `C:\WhatsAppBackup\WhatsAppData.zip` e um arquivo de lock na pasta temporária do Windows.
O servidor de controle dessa operação imitava a interface de login do WhatsApp Web, adicionando uma camada extra de disfarce. A campanha, iniciada em Taiwan e China, rapidamente se espalhou, cobrindo os mesmos oito países em menos de um ano, sempre utilizando o mesmo vetor de entrada fiscal. As credenciais coletadas por esse stealer abrem caminho para ataques de Business Email Compromise (BEC) e acesso a sistemas financeiros corporativos.
Espionagem, Crime ou a Mistura Perfeita?
A Sekoia levanta uma hipótese intrigante sobre o modelo de negócio do Silver Fox: o grupo pode estar atuando como um "initial access broker" (IAB). Nesse modelo, um grupo especializado em obter acesso inicial a sistemas vende essa entrada para outros atores, que podem ter objetivos distintos, incluindo grupos de espionagem patrocinados pelo Estado chinês. Tudo isso enquanto o próprio Silver Fox conduz operações financeiras independentes usando a mesma infraestrutura.
O timing da primeira onda, coincidindo com tensões geopolíticas sobre Taiwan e o período real de auditorias fiscais, reforça a hipótese de alinhamento com objetivos de inteligência estatais. A adaptação da infraestrutura para oito idiomas e autoridades fiscais diferentes demonstra uma capacidade de escalonamento impressionante.
As ondas seguintes, com ferramentas mais simples e geograficamente dispersas, sugerem um foco crescente em operações puramente financeiras. No entanto, a linha entre espionagem e crime financeiro está cada vez mais tênue. Essa ambiguidade, segundo os pesquisadores, pode ser uma estratégia deliberada do grupo para confundir a atribuição e diversificar suas fontes de receita.
A capacidade do Silver Fox de adaptar suas táticas, desde backdoors sofisticados até stealers disfarçados, e de usar consistentemente o tema fiscal como isca, representa um desafio significativo para a cibersegurança na Ásia. A comunidade de segurança agora precisa estar vigilante e preparada para identificar e neutralizar essas ameaças multifacetadas. O que você acha dessa estratégia de ataque híbrida? Compartilhe sua opinião nos comentários!