Silver Fox adalah kelompok penjahat siber asal Tiongkok yang mulai agresif banget sejak tahun 2022 dengan motif yang campur aduk, mulai dari spionase sampai urusan finansial. Kelompok ini dikenal lewat kemampuannya menyebarkan ValleyRAT, sebuah Remote Access Trojan (RAT) modular yang sangat berbahaya karena bisa mengontrol perangkat kalian dari jarak jauh tanpa terdeteksi dengan mudahnya.
Kelompok ini, yang juga punya nama lain kayak SwimSnake atau Void Arachne, belakangan ini lagi gencar-gencarnya menyerang organisasi di India dengan kedok email perpajakan. Skemanya begitunya rapi, mereka nggak cuma mengincar individu tapi juga sektor medis sampai teknologi. Sebenarnya, inti dari serangan mereka itu adalah buat naruh ValleyRAT di komputer target supaya mereka bisa bebas ngambil data apa saja.
Kira-kiranya begini langkah-langkah teknis gimana serangan Silver Fox ini bekerja lewat kampanye phishing mereka:
- Penyebaran Email Phishing dengan Umpan Dokumen Pajak
Pelaku bakal ngirim email yang kelihatannya resmi banget dari departemen pajak. Di dalamnya ada lampiran PDF yang sebenernya cuma umpan. Begitu kalian klik, kalian bakal diarahkan buat download file ZIP yang isinya program jahat. - Eksekusi Installer NSIS yang Menipu
Di dalam file ZIP tadi, ada installer bernama “tax affairs.exe”. Ini bukan sembarang file, tapi installer NSIS yang bakal ngejalanin file asli yang legal (biasanya punya aplikasi Thunder) buat nipu sistem keamanan komputer supaya nggak curiga. - Teknik DLL Hijacking untuk Menyusup
File legal tadi bakal dipaksa buat baca file DLL palsu bernama libexpat.dll. Di sinilah letak bahayanya, karena DLL ini bakal otomatis matiin layanan Windows Update dan ngecek apakah sistem kalian itu lingkungan simulasi (sandbox) atau bukan. Kayaknya mereka sebegitu niatnya biar nggak ketahuan sama analis keamanan. - Injeksi Malware ValleyRAT lewat Explorer
Setelah lolos dari pengecekan, loader bakal nyuntikin muatan akhir yaitu ValleyRAT ke dalam proses explorer.exe yang lagi jalan. Karena masuk ke proses sistem yang sah, keberadaannya jadi susah banget dideteksi sama orang awam. - Aktivasi Arsitektur Modular dan Plugin
ValleyRAT ini sifatnya modular. Artinya, si hacker bisa nambahin fitur-fitur baru kapan saja kayak keylogging (nyatet ketikan keyboard), nyolong credential login, sampai memantau layar secara real-time. Mereka juga pake sistem registry-resident supaya malware-nya tetep aktif biarpun komputer kalian sudah di-restart.
Selain lewat email, Silver Fox juga jago banget mainan SEO poisoning. Mereka bikin website palsu yang tampil di halaman atas Google buat aplikasi populer kayak Microsoft Teams, Telegram, atau WPS Office. Jadi, pas kalian niatnya mau download aplikasi asli, malah dapet installer yang sudah disusupi ValleyRAT. Data menunjukkan kalau korbannya sudah menyebar sampai ke Asia-Pasifik dan Amerika Utara, nggak cuma di Tiongkok saja.
Rasanya kita harus makin waspada karena kelompok ini pinter banget gonta-ganti identitas, bahkan kadang mereka pura-pura jadi hacker Rusia buat ngecoh analisis. Buat jaga-jaga, kalian sebaiknya selalu cek ulang URL tempat download aplikasi dan jangan gampang percaya sama email bertema pajak yang minta download file aneh-aneh. Pastikan juga antivirus kalian selalu update dan jangan pernah matiin fitur keamanan sistem cuma gara-gara mau install aplikasi “gratisan” dari internet yang nggak jelas sumbernya.
Kuranglebihnya begitulah cara kerja Silver Fox yang sebegitu licinnya. Tetap hati-hati saat berselancar di internet dan jangan asal klik tautan yang mencurigakan. Terimakasih sudah membaca sampai selesai ya, rekan-rekanita. Semoga informasi ini bisa bikin kita makin melek sama keamanan digital.