Sammi De Blas | Knowledge Base

Silver Fox - ABCDoor Backdoor + GLM5.1

Se lee en 10 min

Silver Fox - ABCDoor Backdoor (Kaspersky Securelist)

Fuente: Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India Publicado: 30 Abril 2026

Resumen Ejecutivo

Silver Fox (APT) despliega una campana de phishing fiscal contra organizaciones en Rusia e India, entregando ValleyRAT y un nuevo backdoor Python llamado ABCDoor. Mas de 1.600 correos maliciosos registrados entre enero y febrero 2026.

Campana de Phishing

  • Diciembre 2025: Ola contra India - emails suplantando el Indian Tax Service (ITD/GST)
  • Enero 2026: Ola contra Rusia - emails suplantando el Servicio Federal de Impuestos (FNS)
  • Metodo: PDF con enlaces a archivos ZIP que contienen loaders, o adjuntos RAR con ejecutablesdisfrazados

IOCs de distribucion:

  • abc.haijing88[.]com - servidor de distribucion de PDFs y archivos
  • Dominio de C2: mcagov[.]cc, roldco[.]com

Cadena de Ataque

Email phishing → PDF con enlace → ZIP/RAR → RustSL Loader → Shellcode → ValleyRAT Online Module → Login Module → Plugins → ABCDoor

Silver Fox RustSL Loader

  • Version modificada del loader publico RustSL (GitHub, descripcion en chino)
  • 8 metodos de cifrado de payload, 13 metodos de allocacion, 12 detecciones de sandbox/VM, 13 metodos de ejecucion
  • Modulo steganography.rs: desencriptacion custom XOR-based del payload
  • Modulo guard.rs: geofencing por pais (India, Indonesia, Sudfrica, Rusia, Camboya, Japon)
  • Phantom Persistence: tecnica que intercepta senal de apagado y fuerza reinicio para persistencia
  • Verifica pais via: ip-api.com, ipwho.is, ipinfo.io, ipapi.co, www.geoplugin.net

Formato de payload cifrado:

  • Marcadores <RSL_START> / <RSL_END>
  • SHA256 hash del payload, XOR multi-paso con clave RSL_STEG_2025_KEY
  • Codificaciones: Base64, Base32, Hex, urlsafe_base64

ValleyRAT (Winos 4.0)

  • C2: 207.56.138[.]28:6666
  • Configuracion en registro: HKCU:\Console\0 (x86), HKCU:\Console\1 (x64)
  • Plugins custom 保86.dll / 保86.dll_bin descargan y ejecutan ABCDoor
  • PDB path: C:\Users\Administrator\Desktop\bat\Release\winos4.0测试插件.pdb (“test plugin”)

ABCDoor Backdoor (Nuevo)

Backdoor Python previamente no documentado, compilado con Cython 3.0.7.

Persistencia:

  • Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient
  • Task Scheduler: tarea “AppClient” ejecutandose cada minuto
  • Se instala en C:\ProgramData\Tailscale (disfrazado como VPN Tailscale)

Comunicaciones:

  • asyncio + Socket.IO sobre HTTPS
  • C2 addresses con subdominio abc. caracteristico

Clases principales:

  • MainManager: conexion C2 y autorizacion
  • MessageManager: registro y ejecucion de handlers
  • AutoStartManager: persistencia
  • ClientManager: actualizacion y eliminacion
  • SystemInfoManager: recopilacion de datos, screenshots
  • RemoteControlManager: control remoto (raton/teclado via pynput), grabacion de pantalla (ffmpeg + DDA API)
  • FileManager: operaciones filesystem
  • ClipboardManager: exfiltracion de portapapeles
  • CryptoManager: cifrado DPAPI (funciones asimetricas sin implementar)

Sin shell remota ni ejecucion arbitraria de comandos. Alternativas:

  • Emulacion de doble clic + broadcast de pantalla
  • os.startfile para ejecutar archivos con handler por defecto

Artefactos detectables:

  • HKCU\Software\CarEmu:FirstInstallTime - timestamp de instalacion
  • %LOCALAPPDATA%\applogs\device.log - ID de victima
  • %LOCALAPPDATA%\applogs\exception_logs.zip - logs de excepciones
  • %TEMP%\tmpXXXXXXXX\update.zip - actualizaciones
  • Named object: python(<pid>): AppClientABC

Versiones de ABCDoor:

VersionFecha (UTC)Cambios clave
1212024-12-19Funcionalidad minima, GDI en ffmpeg, persistencia en registro
1432025-02-04Task scheduler, OOP, portapapeles, gestion de procesos, cifrado asimetrico
1522025-04-01DPAPI, subida de archivos por chunks
1542025-05-09Canales de instalacion, emulacion de combinaciones de teclas
1562025-08-11Log de tiempo de instalacion en registro
1572025-08-28DDA source en ffmpeg para multi-monitor
1572025-09-23Compilado con Cython 3.0.7 (antes 3.0.12)

Evolucion de Distribucion

  • Feb-Mar 2025: Stagers en C++ y Go
  • Mayo-Agosto 2025: TinyURL redirects + URLs con canales (channel=jiqi_0819, whatsapp_0826, dianhua-0903)
  • Noviembre 2025: JS loader entregado via SFX archives dentro de ZIPs
  • SFX instala NodeJS 22.19.0 si no esta presente, ejecuta run.deobfuscated.obf.js
  • Log en chino en cada paso

Victims

  • Sectores: industrial, consulting, retail, transporte
  • Paises target: India, Rusia, Indonesia, Sudfrica, Camboya, Japon
  • Mayor numero de ataques: India, Rusia, Indonesia

Indicadores de Compromiso (IOCs)

C2 de ABCDoor:

  • 45.118.133[.]203:5000
  • abc.fetish-friends[.]com
  • abc.3mkorealtd[.]com
  • abc.sudsmama[.]com
  • abc.woopami[.]com
  • abc.ilptour[.]com
  • abc.petitechanson[.]com
  • abc.doublemobile[.]com

C2 de loader ABCDoor: mcagov[.]cc, roldco[.]com C2 de VNC malicioso: vnc.kcii2[.]com Servidor de distribucion: abc.haijing88[.]com

ValleyRAT C2: 108.187.37[.]85, 108.187.42[.]63, 207.56.138[.]28

IPs adicionales: 108.187.41[.]221, 154.82.81[.]192, 139.180.128[.]251, 192.229.115[.]229, 207.56.119[.]216, 192.163.167[.]14, 45.192.219[.]60, 192.238.205[.]47, 45.32.108[.]178, 57.133.212[.]106, 154.82.81[.]205

Deteccion Blue Team

Reglas de deteccion sugeridas:

  1. Monitorear cmd.exe ejecutando descarga e instalacion silenciosa de Node.js (nodejs_dist_url_amsi)
  2. Alertar sobre accesos a servicios de deteccion de IP desde procesos no-navegador (access_to_ip_detection_services_from_nonbrowsers)
  3. Detectar modificacion de UserInitMprLogonScript en HKCU\Environment (persistence_via_environment)
  4. Buscar tareas programadas “AppClient” con ejecucion cada minuto
  5. Buscar pythonw.exe -m appclient en procesos
  6. Verificar HKCU\Software\CarEmu para marcas de instalacion de ABCDoor
  7. Alertar sobre %LOCALAPPDATA%\applogs\device.log como artefacto
  8. Monitorear conexiones a dominios con subdominio abc. y puertos 5000

Analisis Forense - Puntos Clave

  1. Phishing fiscal como vector: explotan la urgencia percibida de comunicaciones de autoridades fiscales
  2. PDF con enlace para evadir gateways de email (sin codigo malicioso en el adjunto)
  3. Cadena multi-stage: loader → shellcode → RAT → backdoor, con segmentacion de infraestructura
  4. Living off the land: usa pythonw.exe, ffmpeg.exe, schtasks, reg add, PowerShell
  5. TTPs consistentes con APT chino: geofencing, multi-VM evasion, cifrado custom, PDB paths en chino
  6. Evolucion continua: ABCDoor paso de v121 (dic 2024) a v157 (sep 2025) con mejoras iterativas

Anexo: Prompt para BMO

Actua como un analista de ciberseguridad formando a un candidato CySA+. Desgrana la nota forense "Silver Fox - ABCDoor Backdoor" de forma escalonada y accesible:

1. CONCEPTO BASE: Explica cada componente de la cadena de ataque (RustSL, ValleyRAT, ABCDoor) en una sola frase cada uno, sin jerga innecesaria. Usa analogias si ayuda.

2. CADENA DE ATAQUE PASO A PASO: Recorre el kill chain completo (desde el email hasta la exfiltracion) explicando QUE hace cada paso y POR QUE el atacante lo hace asi. No asumas conocimiento previo.

3. CYSA+: Identifica cuales objetivos del examen CySA+ se cubren en este caso (dominios, subdominios, tareas concretas) y formula 3-5 preguntas tipo examen con su respuesta.

4. DETECCION PRACTICA: Para cada artefacto forense y IOC de la nota, explica donde se encuentra, como se busca en un entorno real (comandos, herramientas, ubicaciones), y que significaria encontrarlo. Organiza por tipo: registro, filesystem, red, procesos.

5. PROFUNDIZACION: Sugiere 3-4 areas que merece la pena estudiar mas a fondo tras leer este caso, con recurso o tema concreto para cada una.

Usa espanol. No uses emojis. Formato markdown claro con secciones numeradas y listas.

Anexo: Resultado de Referencia (GLM-5.1 via API)

Ejecucion del prompt anterior con GLM-5.1 como referencia de calidad para evaluar candidatos locales.

1. Concepto Base

RustSL Loader: Es un programa “lanzador” cuya unica funcion es descargar y ejecutar codigo malicioso de forma oculta, actuando como el vehiculo de transporte que deja entrar al verdadero agresor.

ValleyRAT: Es una herramienta de control remoto que permite a los atacantes manipular el equipo infectado como si estuvieran sentados frente a el, gestionando la descarga de modulos adicionales segun necesiten.

ABCDoor: Es un backdoor (puerta trasera) programado en Python que proporciona acceso silencioso y persistente al sistema, capaz de robar informacion, grabar la pantalla y controlar el teclado y raton sin que la victima lo note.

Analogia completa: Imagina un robo a una casa. RustSL es el furgon de mudanzas falsificado que permite acceder al garaje sin levantar sospechas. ValleyRAT es el coordinador que entra primero y abre todas las puertas internas. ABCDoor es el ladron que se queda escondido en el armario, robando documentos y fotografiando todo durante semanas.

2. Cadena de Ataque Paso a Paso

Fase 1: Reconocimiento y Preparacion

  • Seleccionan victimas en sectores especificos (industrial, consulting, retail, transporte)
  • Crean dominios que suplantan autoridades fiscales legitimas
  • Preparan mas de 1.600 correos maliciosos entre enero y febrero 2026

Fase 2: Acceso Inicial (Phishing)

  • Correos que suplantan el Servicio Federal de Impuestos ruso (FNS) o el Indian Tax Service (ITD/GST)
  • Los correos contienen PDFs con enlaces externos, no codigo malicioso directo
  • Alternativamente, adjuntan archivos RAR con ejecutables disfrazados

Fase 3: Distribucion del Payload

  • El enlace del PDF dirige a abc.haijing88[.]com
  • Descargan un archivo ZIP que contiene el RustSL Loader
  • Usan tecnicas de esteganografia para ocultar el payload dentro de archivos aparentemente normales

Fase 4: Evasion y Verificacion (RustSL Loader)

  • El loader verifica el pais de la victima mediante servicios como ip-api.com o ipinfo.io
  • Detecta si corre en maquinas virtuales o sandboxes (12 metodos diferentes)
  • Si detecta un entorno de analisis, no ejecuta el payload malicioso

Fase 5: Ejecucion y Establecimiento (ValleyRAT)

  • RustSL descifra y ejecuta shellcode en memoria
  • El shellcode carga el modulo online de ValleyRAT
  • ValleyRAT contacta su servidor C2 en 207.56.138[.]28:6666
  • Descarga plugins adicionales, incluyendo el que instala ABCDoor

Fase 6: Persistencia (ABCDoor)

  • Instalan ABCDoor en C:\ProgramData\Tailscale (disfraza como software VPN legitimo)
  • Crean una tarea programada llamada “AppClient” que ejecuta cada minuto
  • Anaden una entrada en el registro para ejecutarse al inicio
  • Guardan un timestamp de instalacion en HKCU\Software\CarEmu:FirstInstallTime

Fase 7: Comando y Control

  • ABCDoor se conecta via HTTPS con Socket.IO a servidores con subdominio abc.
  • Los C2 identificados incluyen abc.fetish-friends[.]com, abc.3mkorealtd[.]com, entre otros
  • Usa el puerto 5000 para comunicaciones

Fase 8: Acciones sobre Objetivos

  • Recopilan informacion del sistema (SystemInfoManager)
  • Capturan pantallazos y graban la pantalla con ffmpeg
  • Roban contenido del portapapeles
  • Controlan remotamente teclado y raton
  • Exfiltran archivos por chunks (trozos)

3. Objetivos CySA+ Cubiertos

Dominio 1: Threat and Vulnerability Management

  • 1.1: Importancia de la inteligencia de amenazas
  • 1.2: Analisis de datos de vulnerabilidades
  • 1.4: Interpretacion de resultados de analisis de vulnerabilidades

Dominio 2: Software and Systems Security

  • 2.1: Aplicar soluciones de seguridad a arquitecturas empresariales
  • 2.2: Implementar resiliencia de software y sistemas

Dominio 3: Security Operations and Monitoring

  • 3.1: Analizar datos como parte de monitoreo de seguridad
  • 3.2: Implementar configuracion de herramientas de seguridad
  • 3.3: Propositos de actividades de respuesta a incidentes

Dominio 4: Incident Response

  • 4.1: Usar herramientas forenses apropiadas
  • 4.2: Analizar hallazgos comunes para determinar tipo de incidente
  • 4.3: Preparar un toolkit de respuesta a incidentes

Preguntas tipo examen:

P1: Un analista encuentra HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient + tarea programada “AppClient” cada minuto. Que tipo de actividad indica esto?

  • A) Actualizacion legitima
  • B) Mecanismo de persistencia de malware (correcta)
  • C) Error de configuracion
  • D) Instalacion de software de productividad

P2: Conexiones HTTPS salientes a abc.fetish-friends[.]com:5000 y abc.3mkorealtd[.]com:5000. Que patron investigar?

  • A) El puerto 5000
  • B) El subdominio “abc” comun a ambos (correcta)
  • C) El protocolo HTTPS
  • D) La resolucion DNS inversa

P3: Usuario abrio PDF de correo suplantando impuestos, descargo ZIP pero no lo ejecuto. En que fase del Kill Chain?

  • A) Reconocimiento
  • B) Acceso inicial (correcta)
  • C) Ejecucion
  • D) Instalacion

P4: Malware que verifica pais consultando multiples servicios de geolocalizacion IP antes de ejecutar payload. Proposito?

  • A) Determinar idioma
  • B) Implementar geofencing para evitar paises no objetivo (correcta)
  • C) Verificar conexion a internet
  • D) Calcular zona horaria

P5: Que artefacto indicaria el momento exacto de infeccion inicial de ABCDoor?

  • A) Tarea programada “AppClient”
  • B) device.log en %LOCALAPPDATA%\applogs\
  • C) HKCU\Software\CarEmu:FirstInstallTime (correcta)
  • D) Archivos en C:\ProgramData\Tailscale\

4. Deteccion Practica

Artefactos de Registro:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient — persistencia Run
  • HKCU\Software\CarEmu:FirstInstallTime — timestamp de infeccion
  • HKCU\Console\0 (x86) y HKCU\Console\1 (x64) — configuracion de ValleyRAT

Artefactos de Filesystem:

  • C:\ProgramData\Tailscale\ — directorio de instalacion (disfrazado como VPN)
  • %LOCALAPPDATA%\applogs\device.log — ID unico de victima
  • %LOCALAPPDATA%\applogs\exception_logs.zip — registros de errores del malware
  • %TEMP%\tmpXXXXXXXX\update.zip — actualizaciones del malware

Artefactos de Red:

  • Dominios C2: abc.fetish-friends[.]com, abc.3mkorealtd[.]com, abc.sudsmama[.]com, abc.woopami[.]com, abc.ilptour[.]com, abc.petitechanson[.]com, abc.doublemobile[.]com
  • IP C2: 45.118.133[.]203:5000
  • C2 ValleyRAT: 207.56.138[.]28:6666, 108.187.37[.]85, 108.187.42[.]63
  • Buscar: netstat -ano | findstr ":5000", ipconfig /displaydns | findstr "abc."

Artefactos de Procesos:

  • pythonw.exe -m appclient — proceso principal de ABCDoor
  • ffmpeg.exe hijo de pythonw — grabacion de pantalla
  • Named object: python(<pid>): AppClientABC
  • schtasks /query /tn "AppClient" /v /fo list

Comandos de hunting rapidos:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /s | findstr /i appclient
reg query "HKCU\Software\CarEmu" /s
schtasks /query /tn "AppClient" /v /fo list 2>nul
wmic process where "commandline like '%appclient%'" get processid,commandline
netstat -ano | findstr ":5000"
dir /s /b "C:\ProgramData\Tailscale" 2>nul
dir /s /b "%LOCALAPPDATA%\applogs" 2>nul

5. Profundizacion Recomendada

  1. Analisis de Malware en Python Compilado — ABCDoor usa Cython. Estudiar diferencias entre PyInstaller y Cython, herramientas uncompyle6/decompyle3/pycdc, tecnicas de analisis dinamico para Python.

  2. Tecnicas de Evasion y Anti-Analisis — RustSL implementa 12 metodos de deteccion de VM/sandbox y geofencing. Estudiar deteccion de VMware/VirtualBox/Hyper-V, sandboxes Cuckoo/Joe/ANY.RUN, tecnicas de timing.

  3. Persistencia en Ecosistema Windows — ABCDoor usa multiples mecanismos (registro + tareas programadas). Estudiar las 15+ ubicaciones de persistencia, WMI, BITS, Servicios, y uso de Autoruns. MITRE ATT&CK TA0003.

  4. Analisis de Trafico C2 — ABCDoor usa Socket.IO sobre HTTPS. Estudiar deteccion de C2 sobre canales encriptados, JA3/JA3S fingerprints, beaconing patterns, y uso de Zeek para analisis de red.

Vista Gráfica