Il gruppo di cybercriminali noto come Silver Fox è recentemente salito all’attenzione della comunità di sicurezza informatica per aver sfruttato un driver vulnerabile firmato da Microsoft, associato a WatchDog Anti-malware, in una sofisticata campagna Bring Your Own Vulnerable Driver (BYOVD). L’obiettivo di questa operazione è stato quello di disabilitare le soluzioni di sicurezza presenti sui sistemi Windows compromessi, facilitando così la diffusione di ValleyRAT, un pericoloso malware per l’accesso remoto.

Driver vulnerabile e strategia di attacco

Il driver coinvolto, “amsdk.sys” versione 1.0.600, è stato realizzato partendo dal framework Zemana Anti-Malware SDK e, nonostante fosse firmato da Microsoft, non era presente nella blocklist ufficiale delle vulnerabilità di driver e nemmeno nei principali database di sicurezza come LOLDrivers. Silver Fox ha adottato una strategia a doppio driver: per i sistemi Windows 7 è stato utilizzato un noto driver Zemana vulnerabile, mentre per Windows 10 e 11 si è scelto il driver di WatchDog, fino ad allora sconosciuto agli strumenti di rilevamento.

Vulnerabilità e impatti sulla sicurezza

Le vulnerabilità del driver WatchDog Anti-malware sono molteplici. In particolare, consente la terminazione arbitraria di processi senza verificare se siano protetti e permette l’escalation locale dei privilegi, offrendo agli attaccanti un accesso illimitato al dispositivo e la possibilità di eludere le protezioni degli endpoint. La campagna, individuata per la prima volta a maggio 2025, mira in modo preciso a neutralizzare i prodotti di protezione per consentire l’installazione e la persistenza del malware ValleyRAT senza essere rilevati.

Funzionamento del malware ValleyRAT

Il payload finale, ValleyRAT (noto anche come Winos 4.0), garantisce accesso e controllo remoto al gruppo criminale. Interessante anche la presenza di un loader all-in-one che include funzioni anti-analisi, due driver incorporati, un modulo per terminare gli antivirus e il downloader della DLL di ValleyRAT. Il malware esegue diversi controlli per rilevare ambienti virtuali o sandbox, interrompendo l’esecuzione se viene identificato uno di questi ambienti.

Risposta e adattamento degli attaccanti

In seguito alla divulgazione responsabile, WatchDog ha rilasciato una patch per mitigare i problemi di escalation dei privilegi, ma Silver Fox è riuscito ad adattarsi velocemente modificando un solo byte nel driver, senza invalidare la firma Microsoft, riuscendo così ad aggirare le blocklist basate su hash.

Attività e organizzazione di Silver Fox

Silver Fox, noto anche come SwimSnake o UTG-Q-1000, è attivo dal 2022 e prende di mira utenti e aziende di lingua cinese tramite siti web falsi, software open source trojanizzati e campagne di phishing. Il gruppo si suddivide in vari sottogruppi, tra cui il Finance Group, specializzato in frodi finanziarie, furto di dati bancari e diffusione di trojan attraverso tecniche di social engineering e l’uso di servizi cloud legittimi.