ValleyRAT

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...