Silver Fox 3年換3套武器庫

2025年1月，臺灣財政部剛公布"113年度營利事業所得稅查核選案"名單，釣魚郵件就跟著來了。發件人欄寫著"財政部臺灣省北區國稅局"，附件是一份PDF。打開后彈出的不是稅單，而是ValleyRAT——一款模塊化后門，能讓攻擊者像操作自家電腦一樣翻看你的文件。

這是Silver Fox的第一波攻勢。這個至少從2022年開始活躍的中國黑客組織，過去三年靠SEO投毒和稅務偽裝，把東南亞變成了實驗場。Sekoia的分析師跟蹤發現，他們在18個月內完成了三次武器迭代：從遠程控制木馬，到合法工具濫用，再到純Python編寫的竊密程序。每一次切換都踩準了當地稅務部門的公告節奏。

第一波：PDF里的隱藏按鈕

臺灣納稅人收到的郵件看起來毫無破綻。PDF文件本身沒有惡意代碼，但藏了一個"注釋"（Annotation）——一種可以綁定點擊動作的文檔元素。用戶用Adobe Reader打開后，只要鼠標劃過特定區域，就會自動跳轉到外部鏈接，下載一個ZIP壓縮包。

壓縮包里躺著兩個文件：python311.dll和一個可執行程序。這是典型的DLL側加載（Side-loading）手法——讓合法程序加載惡意動態鏈接庫，繞過殺毒軟件的行為檢測。最終落地的ValleyRAT支持模塊化擴展，攻擊者可以按需加載鍵盤記錄、屏幕截圖或文件竊取組件。

Sekoia的報告提到一個細節：這波郵件的發送時間緊貼著臺灣財政部1月15日的正式公告。攻擊者顯然訂閱了政府新聞稿，把"時效性"做成了釣魚的催化劑。對中小企業主來說，查稅通知的緊迫感壓過了對附件的警惕。

第二波：把C2地址寫進文件名

2025年12月中旬，Silver Fox擴大了目標范圍。日本、馬來西亞、印度、印尼、新加坡、泰國、菲律賓的稅務從業者都收到了類似郵件。但手法變了——不再附件PDF，而是直接放鏈接，指向一個偽造的各國稅務門戶網站。

點擊下載得到的是一個RMM工具（遠程監控與管理軟件），簽名方顯示為"SyncFutureTec Company Limited"。這類工具原本是給IT管理員遠程維護電腦用的，本身有合法數字簽名，被殺毒軟件放行是常態。

Silver Fox的騷操作在于配置篡改。他們把命令控制服務器（C2）的IP地址直接寫進了文件名，格式是[IPv4]ClientSetup.exe。程序運行時讀取自身文件名提取地址，既保留了原文件的數字簽名有效性，又實現了隱蔽通信。安全軟件掃描文件內容時，看到的只是配置"失誤"的合法工具，而非明顯惡意特征。

這種手法在2024年的APT報告中已有先例，但Silver Fox把它做成了流水線——針對不同國家復制同一套模板，只換網站皮膚和目標RMM工具。

第三波：WhatsApp備份的偽裝術

2026年2月，Python竊密程序登場。這次的目標頁面改用馬來語編寫，暗示馬來西亞成為階段性重點。下載的壓縮包解壓后是一個PE32+可執行文件，運行后釋放的卻是另一套東西。

程序在后臺偽裝成WhatsApp備份工具，網絡請求時使用的User-Agent是WhatsAppBackup/1.0。通信目標xqwmwru[.]top的頁面設計也模仿了WhatsApp Web的風格，流量混在正常的即時通訊數據里難以分辨。

感染痕跡留在兩個位置：C盤根目錄的C:\WhatsAppBackup\WhatsAppData.zip，以及臨時文件夾里的鎖文件。前者是打包好的竊取數據，后者防止重復感染。和前兩波不同，這個Python程序不追求長期駐留，而是快速搜刮瀏覽器密碼、Cookie和本地文檔，上傳后清理現場。

從RMM工具到Python腳本，攻擊者的技術棧在降級——開發成本更低，定制化程度更高，暴露后的溯源難度反而上升。編譯后的Python可執行文件剝離符號信息后，靜態分析能拿到的情報大幅減少。

稅務釣魚的"季節性"生意

Silver Fox的 campaigns 有個固定節奏：每年1-3月各國企業所得稅申報期，以及年中預繳稅截止日前后，釣魚郵件量明顯上升。他們收集目標國家稅務部門的公告模板、專用術語甚至PDF版式，把"社會工程學"做成了本地化工程。

臺灣第一波用的是"查核選案通知"，馬來西亞第三波用的是"稅務申報系統升級"。郵件主題行往往包含具體年份和文號，比如"財政部113年度第XXXX號"，讓收件人覺得漏看會惹麻煩。

這種策略的轉化率遠高于泛化的"中獎通知"或"包裹異常"。Sekoia沒有披露具體的點擊率數據，但提到"多個受害實體"在第一波中中招——考慮到臺灣中小企業數量，實際影響范圍可能以千計。

更值得注意是工具鏈的演變方向。早期ValleyRAT需要持續維護C2基礎設施，成本高、暴露風險大；中期濫用RMM工具依賴第三方簽名的有效期；最新的Python竊密程序則完全自主可控，甚至可以根據目標環境動態調整竊取范圍。這種"輕量化"趨勢和勒索軟件組織的演進路徑類似：不求長期控制，只求快速變現。

Sekoia的分析師在報告中指出，Silver Fox的地理擴張和工具迭代是同步發生的。2022年主要活動在中國大陸周邊，2024年開始試探東南亞，2025年覆蓋整個東亞和南亞主要經濟體。每次進入新市場，都會先投放已驗證的舊工具，再根據本地安全產品的檢出率決定是否升級。

臺灣第一波使用的ValleyRAT，實際上是2023年就已經被多家安全廠商標記的"老面孔"。但配合精準的時機和逼真的誘餌，老武器依然有效。等到目標國家的防御體系更新特征庫，攻擊者已經換到了下一階段。

這種"測試-迭代-撤退"的循環，讓傳統的威脅情報共享機制顯得滯后。等分析報告發布時，攻擊者往往已經完成了兩到三次戰術調整。

對于企業安全團隊來說，Silver Fox的案例提出了一個尷尬的問題：當攻擊者比你更熟悉本國稅務日歷，防御的重心應該放在終端檢測還是員工培訓？臺灣第一波中，PDF注釋跳轉的手法并不新穎，Adobe Reader的安全設置里甚至可以禁用外部鏈接——但默認配置不會這么做，而大多數用戶從未打開過"編輯-首選項-信任管理器"。

第三波的Python竊密程序則暴露了另一個盲區。WhatsApp在東南亞的普及率極高，"備份工具"的請求看起來合理，網絡流量又混在正常通信協議里。如果沒有行為層面的監控（比如監測短時間內大量文件讀取操作），很難在數據外泄前攔截。

Silver Fox的演進還在繼續。從2022年的SEO投毒，到2025年的稅務釣魚，再到2026年的Python定制工具，他們的技術選擇越來越務實，攻擊窗口越來越短。下一次他們會用什么身份出現？海關稽查？社保核查？還是緊跟某國剛推出的電子發票系統？