Sammi De Blas | Knowledge Base

Silver Fox - ABCDoor Backdoor

Se lee en 5 min

Silver Fox - ABCDoor Backdoor (Kaspersky Securelist)

Fuente: Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India Publicado: 30 Abril 2026

Resumen Ejecutivo

Silver Fox (APT) despliega una campana de phishing fiscal contra organizaciones en Rusia e India, entregando ValleyRAT y un nuevo backdoor Python llamado ABCDoor. Mas de 1.600 correos maliciosos registrados entre enero y febrero 2026.

Campana de Phishing

  • Diciembre 2025: Ola contra India - emails suplantando el Indian Tax Service (ITD/GST)
  • Enero 2026: Ola contra Rusia - emails suplantando el Servicio Federal de Impuestos (FNS)
  • Metodo: PDF con enlaces a archivos ZIP que contienen loaders, o adjuntos RAR con ejecutablesdisfrazados

IOCs de distribucion:

  • abc.haijing88[.]com - servidor de distribucion de PDFs y archivos
  • Dominio de C2: mcagov[.]cc, roldco[.]com

Cadena de Ataque

Email phishing → PDF con enlace → ZIP/RAR → RustSL Loader → Shellcode → ValleyRAT Online Module → Login Module → Plugins → ABCDoor

Silver Fox RustSL Loader

  • Version modificada del loader publico RustSL (GitHub, descripcion en chino)
  • 8 metodos de cifrado de payload, 13 metodos de allocacion, 12 detecciones de sandbox/VM, 13 metodos de ejecucion
  • Modulo steganography.rs: desencriptacion custom XOR-based del payload
  • Modulo guard.rs: geofencing por pais (India, Indonesia, Sudfrica, Rusia, Camboya, Japon)
  • Phantom Persistence: tecnica que intercepta senal de apagado y fuerza reinicio para persistencia
  • Verifica pais via: ip-api.com, ipwho.is, ipinfo.io, ipapi.co, www.geoplugin.net

Formato de payload cifrado:

  • Marcadores <RSL_START> / <RSL_END>
  • SHA256 hash del payload, XOR multi-paso con clave RSL_STEG_2025_KEY
  • Codificaciones: Base64, Base32, Hex, urlsafe_base64

ValleyRAT (Winos 4.0)

  • C2: 207.56.138[.]28:6666
  • Configuracion en registro: HKCU:\Console\0 (x86), HKCU:\Console\1 (x64)
  • Plugins custom 保86.dll / 保86.dll_bin descargan y ejecutan ABCDoor
  • PDB path: C:\Users\Administrator\Desktop\bat\Release\winos4.0测试插件.pdb (“test plugin”)

ABCDoor Backdoor (Nuevo)

Backdoor Python previamente no documentado, compilado con Cython 3.0.7.

Persistencia:

  • Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient
  • Task Scheduler: tarea “AppClient” ejecutandose cada minuto
  • Se instala en C:\ProgramData\Tailscale (disfrazado como VPN Tailscale)

Comunicaciones:

  • asyncio + Socket.IO sobre HTTPS
  • C2 addresses con subdominio abc. caracteristico

Clases principales:

  • MainManager: conexion C2 y autorizacion
  • MessageManager: registro y ejecucion de handlers
  • AutoStartManager: persistencia
  • ClientManager: actualizacion y eliminacion
  • SystemInfoManager: recopilacion de datos, screenshots
  • RemoteControlManager: control remoto (raton/teclado via pynput), grabacion de pantalla (ffmpeg + DDA API)
  • FileManager: operaciones filesystem
  • ClipboardManager: exfiltracion de portapapeles
  • CryptoManager: cifrado DPAPI (funciones asimetricas sin implementar)

Sin shell remota ni ejecucion arbitraria de comandos. Alternativas:

  • Emulacion de doble clic + broadcast de pantalla
  • os.startfile para ejecutar archivos con handler por defecto

Artefactos detectables:

  • HKCU\Software\CarEmu:FirstInstallTime - timestamp de instalacion
  • %LOCALAPPDATA%\applogs\device.log - ID de victima
  • %LOCALAPPDATA%\applogs\exception_logs.zip - logs de excepciones
  • %TEMP%\tmpXXXXXXXX\update.zip - actualizaciones
  • Named object: python(<pid>): AppClientABC

Versiones de ABCDoor:

VersionFecha (UTC)Cambios clave
1212024-12-19Funcionalidad minima, GDI en ffmpeg, persistencia en registro
1432025-02-04Task scheduler, OOP, portapapeles, gestion de procesos, cifrado asimetrico
1522025-04-01DPAPI, subida de archivos por chunks
1542025-05-09Canales de instalacion, emulacion de combinaciones de teclas
1562025-08-11Log de tiempo de instalacion en registro
1572025-08-28DDA source en ffmpeg para multi-monitor
1572025-09-23Compilado con Cython 3.0.7 (antes 3.0.12)

Evolucion de Distribucion

  • Feb-Mar 2025: Stagers en C++ y Go
  • Mayo-Agosto 2025: TinyURL redirects + URLs con canales (channel=jiqi_0819, whatsapp_0826, dianhua-0903)
  • Noviembre 2025: JS loader entregado via SFX archives dentro de ZIPs
  • SFX instala NodeJS 22.19.0 si no esta presente, ejecuta run.deobfuscated.obf.js
  • Log en chino en cada paso

Victims

  • Sectores: industrial, consulting, retail, transporte
  • Paises target: India, Rusia, Indonesia, Sudfrica, Camboya, Japon
  • Mayor numero de ataques: India, Rusia, Indonesia

Indicadores de Compromiso (IOCs)

C2 de ABCDoor:

  • 45.118.133[.]203:5000
  • abc.fetish-friends[.]com
  • abc.3mkorealtd[.]com
  • abc.sudsmama[.]com
  • abc.woopami[.]com
  • abc.ilptour[.]com
  • abc.petitechanson[.]com
  • abc.doublemobile[.]com

C2 de loader ABCDoor: mcagov[.]cc, roldco[.]com C2 de VNC malicioso: vnc.kcii2[.]com Servidor de distribucion: abc.haijing88[.]com

ValleyRAT C2: 108.187.37[.]85, 108.187.42[.]63, 207.56.138[.]28

IPs adicionales: 108.187.41[.]221, 154.82.81[.]192, 139.180.128[.]251, 192.229.115[.]229, 207.56.119[.]216, 192.163.167[.]14, 45.192.219[.]60, 192.238.205[.]47, 45.32.108[.]178, 57.133.212[.]106, 154.82.81[.]205

Deteccion Blue Team

Reglas de deteccion sugeridas:

  1. Monitorear cmd.exe ejecutando descarga e instalacion silenciosa de Node.js (nodejs_dist_url_amsi)
  2. Alertar sobre accesos a servicios de deteccion de IP desde procesos no-navegador (access_to_ip_detection_services_from_nonbrowsers)
  3. Detectar modificacion de UserInitMprLogonScript en HKCU\Environment (persistence_via_environment)
  4. Buscar tareas programadas “AppClient” con ejecucion cada minuto
  5. Buscar pythonw.exe -m appclient en procesos
  6. Verificar HKCU\Software\CarEmu para marcas de instalacion de ABCDoor
  7. Alertar sobre %LOCALAPPDATA%\applogs\device.log como artefacto
  8. Monitorear conexiones a dominios con subdominio abc. y puertos 5000

Analisis Forense - Puntos Clave

  1. Phishing fiscal como vector: explotan la urgencia percibida de comunicaciones de autoridades fiscales
  2. PDF con enlace para evadir gateways de email (sin codigo malicioso en el adjunto)
  3. Cadena multi-stage: loader → shellcode → RAT → backdoor, con segmentacion de infraestructura
  4. Living off the land: usa pythonw.exe, ffmpeg.exe, schtasks, reg add, PowerShell
  5. TTPs consistentes con APT chino: geofencing, multi-VM evasion, cifrado custom, PDB paths en chino
  6. Evolucion continua: ABCDoor paso de v121 (dic 2024) a v157 (sep 2025) con mejoras iterativas

Anexo: Prompt para BMO

Actua como un analista de ciberseguridad formando a un candidato CySA+. Desgrana la nota forense "Silver Fox - ABCDoor Backdoor" de forma escalonada y accesible:

1. CONCEPTO BASE: Explica cada componente de la cadena de ataque (RustSL, ValleyRAT, ABCDoor) en una sola frase cada uno, sin jerga innecesaria. Usa analogias si ayuda.

2. CADENA DE ATAQUE PASO A PASO: Recorre el kill chain completo (desde el email hasta la exfiltracion) explicando QUE hace cada paso y POR QUE el atacante lo hace asi. No asumas conocimiento previo.

3. CYSA+: Identifica cuales objetivos del examen CySA+ se cubren en este caso (dominios, subdominios, tareas concretas) y formula 3-5 preguntas tipo examen con su respuesta.

4. DETECCION PRACTICA: Para cada artefacto forense y IOC de la nota, explica donde se encuentra, como se busca en un entorno real (comandos, herramientas, ubicaciones), y que significaria encontrarlo. Organiza por tipo: registro, filesystem, red, procesos.

5. PROFUNDIZACION: Sugiere 3-4 areas que merece la pena estudiar mas a fondo tras leer este caso, con recurso o tema concreto para cada una.

Usa espanol. No uses emojis. Formato markdown claro con secciones numeradas y listas.

Vista Gráfica