🔍 Contexte

Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures.

🎯 Acteur et ciblage

Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise.

🔗 Chaîne d’infection

  1. Leurre : Email de phishing en japonais imitant une facture Rakuten (numéro GH-58420391, 12 000 yens, daté du 16 avril 2026)
  2. Livraison : Lien vers missallanahstarr.com servant une archive Electronic12862330415.zip
  3. Exécution : La victime extrait et lance MaxxAudioControl64.exe, un binaire légitime signé Dell/Waves Audio
  4. Sideloading : Le binaire charge MaxxAudioAPOShell64.dll (malveillante, 104 KB) depuis le même répertoire via DLL search order hijacking, exploitant la clé de registre ExternalModule et LoadLibraryA
  5. C2 : Le payload chiffré balise vers 137.220.153.175:886 via un protocole binaire custom (non-TLS)

🧩 Caractéristiques techniques

  • Config strings en chinois par défaut : 默认备注 (default remark) et 默认分组 (default group) — valeurs stock des panels Gh0st RAT / ValleyRAT
  • Chemin de staging : C:\Users\Public\Documents\94a3c123872341ef93a035e8534a1b8a
  • Chiffrement : AES-256 + XOR (standard ValleyRAT)
  • Évasion : détection VM/sandbox, vérification du nombre de fichiers dans %TEMP%, terminaison de processus AV
  • Persistance : tâches planifiées, clés de registre Run, DLL search order hijacking

🏗️ Infrastructure

Rôle IP ASN Localisation
C2 137.220.153.175 AS4907 BGPNET PTE. LTD. Hong Kong
Livraison 103.115.56.66 AS55933 Cloudie Limited Hong Kong

Le domaine missallanahstarr.com a été enregistré avec l’email lugai665@163.com (NetEase, fournisseur chinois), une adresse WHOIS contradictoire « Kyoto, Saitama, JP » (deux préfectures distincts = fabrication), et mis à jour le 15 avril 2026, la veille du lancement de la campagne.

🎯 Attribution

Confiance : HAUTE (95/100). Les éléments convergents incluent : sideloading MaxxAudio (TTP documenté Silver Fox), strings de config en chinois, infrastructure BGPNET, email registrant 163.com, leurre ciblant le Japon. Hypothèses alternatives (Sainbox RAT, opérateur Gh0st générique, Winnti) écartées.

📋 Type d’article

Analyse technique approfondie à visée CTI, incluant chaîne d’infection complète, pivots d’infrastructure, mapping MITRE ATT&CK, table d’IOCs et analyse d’attribution.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.001 — DLL Search Order Hijacking (Persistence)
  • T1574.002 — DLL Side-Loading (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1218 — Signed Binary Proxy Execution (Defense Evasion)
  • T1571 — Non-Standard Port (Command and Control)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1560 — Archive Collected Data (Collection)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1583.004 — Acquire Infrastructure: Server (Resource Development)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)

IOC

  • IPv4 : 137.220.153.175AbuseIPDB · VT · ThreatFox
  • IPv4 : 103.115.56.66AbuseIPDB · VT · ThreatFox
  • Domaines : missallanahstarr.comVT · URLhaus · ThreatFox
  • Domaines : a8.share-dns.comVT · URLhaus · ThreatFox
  • Domaines : b8.share-dns.netVT · URLhaus · ThreatFox
  • URLs : http://missallanahstarr.com/URLhaus
  • SHA256 : f0fc5a9aead0bed9f97e4a007bf712aef4ab95e1abaf6150fee7f51602d57347VT · MalwareBazaar
  • SHA256 : 610d48ae96a2494ebfd760d4ff6647bb95f57fac92f4bc8513329f1337d6c7f2VT · MalwareBazaar
  • SHA256 : 17d6415df0d336e255df7689ae90039e48fd6e95d43fbbc34d5b4875ea9af47dVT · MalwareBazaar
  • MD5 : 0fbd311b2551001f2bb3af8aefc0b69dVT · MalwareBazaar
  • MD5 : 40d4cff737d4cdf0f272ff5c4013de05VT · MalwareBazaar
  • MD5 : 42ec4254a8a6255fd8a18de89d9cb42dVT · MalwareBazaar
  • Emails : lugai665@163.com
  • Fichiers : Electronic12862330415.zip
  • Fichiers : MaxxAudioControl64.exe
  • Fichiers : MaxxAudioAPOShell64.dll
  • Chemins : C:\Users\Public\Documents\94a3c123872341ef93a035e8534a1b8a

Malware / Outils

  • ValleyRAT (rat)
  • Winos 4.0 (rat)
  • Gh0st RAT (rat)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ⬜ intel.breakglass.tech — source non référencée (0pts)
  • ✅ 14901 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 17 IOCs dont des hashes (15pts)
  • ✅ 3/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Silver Fox (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 137.220.153.175 (ip) → VT (7/94 détections) + ThreatFox (ValleyRAT)
  • 17d6415df0d336e2… (sha256) → VT (3/77 détections)
  • missallanahstarr.com (domain) → VT (3/94 détections)

🔗 Source originale : https://intel.breakglass.tech/post/silver-fox-valleyrat-japan-rakuten-lure