https://cyberveille.ch/tags/gh0st-rat/ Recent content in Gh0st RAT on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-silver-fox-apt-cible-le-japon-via-un-leurre-rakuten-et-sideloading-dll-maxxaudio-pour-deployer-valleyrat/ Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-silver-fox-apt-cible-le-japon-via-un-leurre-rakuten-et-sideloading-dll-maxxaudio-pour-deployer-valleyrat/ <h2 id="-contexte">🔍 Contexte</h2> <p>Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L&rsquo;analyse fait suite à la détection d&rsquo;un <strong>pull de configuration malveillante en direct</strong> le 16 avril 2026, pointant vers un serveur C2 à <code>137.220.153.175:886</code>. L&rsquo;investigation a permis de reconstituer l&rsquo;intégralité de la chaîne d&rsquo;infection en quelques heures.</p> <h2 id="-acteur-et-ciblage">🎯 Acteur et ciblage</h2> <p><strong>Silver Fox APT</strong> (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de <strong>ValleyRAT</strong> (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au <strong>Japon, à la Malaisie et à l&rsquo;Asie du Sud-Est</strong> depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un <strong>leurre de facture Rakuten en langue japonaise</strong>.</p>