O ValleyRAT virou sinônimo de um dos ataques de espionagem mais sofisticados de 2025, já que o grupo Silver Fox, com forte atribuição à China, passou a usar um falso instalador do Microsoft Teams para infectar vítimas com o malware ValleyRAT. A campanha combina SEO Poisoning, engenharia social, carregamento lateral de DLLs, técnicas de evasão e até BYOVD, criando uma cadeia de infecção altamente furtiva que explora ferramentas legítimas para comprometer empresas, governos e usuários avançados.
Neste artigo, vamos detalhar como o ataque funciona, por que o ValleyRAT representa uma ameaça tão séria e o que você precisa fazer para se proteger contra campanhas semelhantes.
A isca digital: a campanha de envenenamento de SEO e o falso Teams
A ofensiva do Silver Fox começa com uma estratégia clássica de manipulação de resultados de busca, conhecida como SEO Poisoning, que consiste em empurrar páginas maliciosas para o topo do Google. Nessas páginas, usuários que procuram baixar o Microsoft Teams encontram um falso instalador distribuído em um arquivo ZIP identificado como “MSTчamsSetup.zip”, no qual o caractere cirílico “ч” é utilizado para simular a letra “e”. Essa tática cria uma sutil estratégia de falsa bandeira, já que a grafia lembra escrita russa, confundindo analistas e dificultando atribuições rápidas.
Ao clicar no link, o usuário baixa o pacote malicioso acreditando estar obtendo a versão legítima do Teams. Esse ponto de entrada, baseado em confiança e reconhecimento da marca Microsoft, é o que torna o ataque particularmente perigoso. O componente inicial da cadeia de infecção é um arquivo Setup.exe trojanizado, que inicia uma sequência estruturada para aprofundar o comprometimento.
Valleyrat: o cavalo de troia e a cadeia de infecção
O coração do ataque é o ValleyRAT, um Remote Access Trojan avançado que deriva funcionalmente de famílias como o Gh0st RAT. Ele permite ao atacante controlar o sistema remotamente, exfiltrar dados, executar comandos, registrar teclas, coletar captura de tela e instalar cargas adicionais.
Ao executar o falso Setup.exe, duas ações importantes acontecem. Primeiro, o malware verifica se há a presença do 360 Total Security, um antivírus muito popular na China, ajustando seu comportamento caso detecte o software. Em seguida, ele tenta configurar exceções no Microsoft Defender, garantindo que seus componentes não sejam escaneados. Essa movimentação inicial abre espaço para o drop de uma DLL maliciosa que será carregada usando mecanismos legítimos do Windows.
Evasão e persistência, o uso de rundll32.exe e componentes ocultos
Para garantir persistência sem levantar alertas, o Silver Fox recorre ao carregamento lateral de DLLs, também conhecido como DLL side-loading, abusando de executáveis assinados e confiáveis para carregar bibliotecas maliciosas. No caso do ataque ValleyRAT Teams, o processo rundll32.exe é utilizado para iniciar a DLL infectada sem que o usuário perceba, já que esse processo faz parte do Windows e não costuma gerar suspeitas.
Após o carregamento, o ValleyRAT estabelece comunicação com o servidor de comando e controle (C&C), permitindo que o Silver Fox inicie suas atividades de vigilância e espionagem. Além disso, componentes adicionais permanecem ocultos no sistema para retomar a conexão mesmo após reinicializações e para abrir portas a ataques posteriores.
O salto de sofisticação: a técnica Bring Your Own Vulnerable Driver (BYOVD)
Em versões mais avançadas da campanha, pesquisadores identificaram o uso da técnica BYOVD, Bring Your Own Vulnerable Driver. Essa técnica consiste em introduzir no sistema um driver vulnerável que os atacantes sabem manipular para desativar proteções de segurança, como o Microsoft Defender, sistemas EDR e bloqueios de kernel.
No caso do ataque do Silver Fox, o driver NSecKrnl64.sys é carregado juntamente ao binário men.exe, possibilitando que o ator de ameaça modifique o kernel e execute código privilegiado sem detecção imediata. Com o BYOVD, o atacante alcança uma posição praticamente invisível dentro do sistema, já que opera usando falhas existentes em drivers assinados. Isso transforma o ValleyRAT em um componente ainda mais perigoso, capaz de operar abaixo do radar de monitorações modernas.
Violação de UAC, o papel do bypass.exe
Outra peça usada pelo grupo foi o utilitário bypass.exe, responsável por violar o UAC (User Account Control) e elevar privilégios silenciosamente. Com essa elevação, o ValleyRAT consegue instalar seus drivers, modificar o sistema e criar mecanismos de persistência em nível administrativo, eliminando a necessidade de interação do usuário e ampliando drasticamente o impacto potencial do ataque.
Como se proteger contra RATs e ataques de SEO Poisoning
Ataques como o ValleyRAT Teams mostram que mesmo profissionais experientes podem ser enganados quando táticas avançadas se combinam com engenharia social. Veja medidas essenciais para se proteger:
- Nunca baixe softwares de fontes não oficiais. Sempre utilize páginas verificadas da Microsoft ou lojas oficiais.
- Verifique URLs cuidadosamente. Pequenas variações com caracteres especiais, como no caso de MSTчamsSetup.zip, podem indicar fraude.
- Implemente soluções de segurança robustas. Mantenha EDR, antivírus e Microsoft Defender atualizados para detectar comportamentos suspeitos.
- Ative políticas de aplicação restrita. Regras de execução podem bloquear arquivos baixados da internet ou impedir execução de DLLs desconhecidas.
- Fique atento a drivers vulneráveis. Mantenha todo o sistema atualizado e aplique patches regularmente para evitar ataques BYOVD.
- Eduque sua equipe sobre engenharia social. Usuários bem informados reduzem drasticamente a taxa de sucesso de campanhas como as do Silver Fox.
- Audite o ambiente frequentemente. Monitoramento de tráfego, processos, serviços e drivers é essencial para identificar indícios de RATs.
Conclusão, a guerra de atribuição e o futuro da cibersegurança
A campanha do Silver Fox envolvendo o ValleyRAT no Microsoft Teams demonstra um nível crescente de sofisticação nos ataques globais, exibindo uma combinação rara de técnicas, desde SEO Poisoning até manipulação de drivers vulneráveis. A mistura de malware avançado, engenharia social, disfarce de bandeira e evasão coloca esse ataque entre os mais preocupantes do cenário atual.
Em um momento em que soluções corporativas como o Microsoft Teams são usadas por milhões de empresas, golpes baseados em instaladores falsos representam um risco enorme para dados corporativos, infraestrutura crítica e privacidade de usuários.
Conscientizar profissionais e usuários avançados é fundamental, portanto compartilhe este artigo e ajude a ampliar o debate sobre a importância da segurança de endpoint e das boas práticas digitais. A defesa começa pela informação.
