Um grupo hacker chinês rastreado como Silver Fox conduziu ao menos três ondas de ataque contra organizações no Sul da Ásia entre 2025 e 2026, combinando operações de espionagem com crimes financeiros oportunistas. Os detalhes foram documentados pela empresa de segurança Sekoia em um relatório de inteligência de ameaças.O que chama atenção não é a sofisticação técnica isolada, mas a dualidade do modelo operacional. O grupo opera campanhas de espionagem estilo APT em paralelo com ataques de cibercrime comuns, às vezes usando a mesma infraestrutura.A isca que não mudaEm todas as três ondas, o Silver Fox usou o mesmo ponto de entrada, um phishing temático fiscal. Emails que imitam autoridades tributárias nacionais, direcionados a funcionários de finanças e contabilidade.O layout imita com precisão a identidade visual da Direktorat Jenderal Pajak. O número de protocolo no canto superior direito é o tipo de detalhe que faz o destinatário não questionar. Imagem: Sekoia.A abordagem não é sofisticada por acidente. Comunicados de receitas federais geram senso de urgência, envolvem obrigações legais e chegam a departamentos com acesso a sistemas financeiros críticos. É um vetor de entrada setor-agnóstico, que funciona independentemente do país alvo.Na primeira onda, em janeiro de 2025, o grupo foi além. Sincronizou o disparo das campanhas com um comunicado real do Ministério das Finanças de Taiwan anunciando o início do período de auditorias fiscais. O PDF malicioso imitava a lista oficial de empresas selecionadas para auditoria.ValleyRAT e o que ele permite fazerO payload da primeira onda era o ValleyRAT, também chamado de Winos. Trata-se de um backdoor modular, o que significa que ele funciona como uma plataforma. Após a infecção inicial, o atacante pode carregar plugins adicionais para executar funções específicas, como captura de teclado, exfiltração de arquivos ou controle remoto do sistema.O remetente aparece como "Receita Federal Nacional", mas o endereço pertence à Universidade Nacional Tsing Hua. Imagem: Sekoia.O builder do ValleyRAT vazou em 2023, mas o Silver Fox continuou usando a ferramenta. Em agosto de 2025, o CheckPoint identificou o grupo explorando um driver legítimo assinado pela Microsoft para contornar proteções do sistema operacional.É o uso de um componente confiável para executar código malicioso sem disparar alertas, uma técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver).Esse nível de desenvolvimento de plugins sugere recursos e objetivos além do cibercrime convencional.O Silver Fox não precisou explorar falhas de sistema. A porta de entrada foi um PDF que o próprio destinatário abriu.A virada para ferramentas mais simplesNa segunda onda, em dezembro de 2025, o grupo abandonou os anexos diretos nos emails e passou a usar sites falsos de autoridades fiscais para distribuir o payload. O arquivo baixado era uma ferramenta legítima chinesa de acesso remoto, conhecida como RMM (Remote Monitoring and Management), digitalmente assinada pela empresa SyncFutureTec.O grupo explorou uma falha de configuração na ferramenta para embutir o endereço do servidor de controle diretamente no nome do arquivo executável.O formato seguia o padrão [endereço IP]ClientSetup.exe. Isso permitia controle remoto da máquina sem alterar o arquivo em si, preservando a assinatura digital e reduzindo a chance de detecção por antivírus. Essa onda atingiu Malásia, Filipinas, Tailândia, Indonésia, Singapura e Índia.Credenciais coletadas pelo stealer da terceira onda abrem caminho para BEC e acesso a sistemas financeiros corporativos.O stealer disfarçado de WhatsAppEm fevereiro de 2026, o payload mudou novamente. O site de phishing passou a distribuir um stealer escrito em Python, compilado em executável e disfarçado de aplicativo do WhatsApp.Um stealer é um tipo de malware focado em coleta. Ele não persiste no sistema nem instala backdoors. Seu objetivo é extrair o máximo de informação possível em uma única sessão, incluindo credenciais salvas no navegador, arquivos sensíveis, tokens de autenticação.O código deixava rastros específicos no sistema infectado, como o arquivo C:\WhatsAppBackup\WhatsAppData.zip e um arquivo de lock na pasta temporária do Windows. O servidor de controle imitava a interface de login do WhatsApp Web.A campanha começou em Taiwan e China. Em menos de um ano, cobria oito países — todos com o mesmo vetor de entrada. Imagem: Sekoia.Esse tipo de acesso abre caminho para Business Email Compromise (BEC), em que o atacante usa credenciais legítimas para se passar por um funcionário em comunicações financeiras, além de revenda de dados e acesso a sistemas corporativos.Espionagem, crime ou os doisA Sekoia levanta uma hipótese concreta sobre o modelo de negócio do Silver Fox. O grupo pode estar atuando como intermediário de acesso, comprometendo sistemas e vendendo esse acesso a grupos de espionagem patrocinados pelo Estado chinês. Tudo enquanto conduz operações financeiras por conta própria com a mesma infraestrutura.Esse modelo se chama initial access broker. É uma divisão de trabalho no ecossistema de ameaças em que um grupo especializado em invasão vende o ponto de entrada para outros atores com objetivos distintos.O timing da primeira onda, durante tensões geopolíticas elevadas sobre Taiwan e coincidindo com o período real de auditorias fiscais no país, é o principal argumento para a hipótese de alinhamento com objetivos de inteligência. A mesma infraestrutura foi adaptada para oito idiomas e oito autoridades fiscais diferentes.As ondas seguintes, mais dispersas geograficamente e com ferramentas mais simples, apontam para operações puramente financeiras.A distinção entre as duas motivações está ficando cada vez mais difícil de traçar. E essa ambiguidade, segundo os pesquisadores, é parte da estratégia.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.