Grupo Chinês Manipula Imposto de Renda para Espionagem e Furto de Dados

Pesquisadores da Sekoia documentaram três ondas de ataque entre 2025 e 2026, com alvos em oito países asiáticos e ferramentas que evoluíram do ValleyRAT a um stealer disfarçado de WhatsApp.

Um grupo hacker chinês conhecido como Silver Fox realizou ao menos três ondas de ataque em organizações do Sul da Ásia durante 2025 e 2026, combinando espionagem com crimes financeiros. Os detalhes foram analisados pela empresa de segurança Sekoia em um relatório de inteligência sobre ameaças.

O que se destaca não é apenas a sofisticação técnica do grupo, mas a dualidade em seu modelo operacional. Eles conduzem campanhas de espionagem em estilo APT, juntamente com ataques de cibercrime, frequentemente utilizando a mesma infraestrutura em ambas as atividades.

A isca que se repete

Nas três ondas de ataque, o Silver Fox utilizou o mesmo método inicial: e-mails de phishing com temas fiscais. Essas mensagens imitam órgãos tributários e são direcionadas a funcionários de finanças e contabilidade.

O layout dos e-mails imita a identidade visual das autoridades tributárias, aumentando a credibilidade. Imagem: Sekoia.

Essa abordagem é eficaz porque os comunicados de receitas federais geram um senso de urgência, envolvendo obrigações legais e alcançando departamentos que têm acesso a sistemas financeiros críticos. É um vetor de ataque que pode ser aplicado em diferentes setores, independentemente do país.

A primeira onda e a estratégia de ataque

Na primeira onda, em janeiro de 2025, o grupo aproveitou um comunicado real do Ministério das Finanças de Taiwan sobre início do período de auditorias fiscais, sincronizando sua campanha de phishing com esse evento. O PDF enviado era uma falsificação da lista oficial de empresas que seriam auditadas.

ValleyRAT e suas funcionalidades

A primeira onda utilizou o ValleyRAT, um backdoor modular que permite a instalação de plugins adicionais após a infecção, possibilitando funções como capturas de teclado, exfiltração de arquivos e controle remoto de sistemas.

O remetente parecia ser “Receita Federal Nacional”, mas o e-mail era originado de uma universidade. Imagem: Sekoia.

Embora o builder do ValleyRAT tenha vazado em 2023, o Silver Fox continuou a utilizá-lo. Em agosto de 2025, o grupo foi identificado explorando um driver legítimo assinado pela Microsoft para contornar as proteções do sistema operacional, uma técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver).

Movendo-se para ferramentas mais simples

Na segunda onda, em dezembro de 2025, o grupo não enviou mais anexos diretos. Em vez disso, usou sites falsos de autoridades fiscais para distribuir o payload. O arquivo baixado era uma ferramenta legítima de acesso remoto, digitalmente assinada. O grupo aproveitou uma falha de configuração dessa ferramenta para embutir o servidor de controle diretamente no nome do arquivo executável.

Credenciais coletadas abrem caminhos para ataques financeiros e acesso a sistemas corporativos. Imagem: Sekoia.

O novo stealer disfarçado

Em fevereiro de 2026, o foco do grupo se alterou novamente. O novo payload distribuído por phishing era um stealer disfarçado como aplicativo do WhatsApp, escrito em Python e compilado em executável. Este tipo de malware visa coletar o máximo de informações em uma única sessão, sem persistir no sistema.

A campanha começou em Taiwan e China, estendendo-se rapidamente a oito países, todos utilizando o mesmo vetor de entrada. Imagem: Sekoia.

Esse acesso denuncia um potencial Business Email Compromise (BEC), onde o atacante utiliza credenciais legítimas para se passar por um funcionário, além de facilitar a revenda de dados e acesso aos sistemas corporativos.

Espionagem ou crime? Um dilema

A Sekoia levanta uma hipótese sobre o modelo de atuação do Silver Fox, sugerindo que o grupo poderia estar funcionando como um intermediário de acesso, comprometendo sistemas e vendendo esse acesso a grupos de espionagem governamentais enquanto realizam suas próprias operações financeiras.
Esse modelo, conhecido como initial access broker, representa uma divisão de trabalho no ecossistema de ameaças, onde especialistas em invasão vendem pontos de entrada para outros atores com diferentes objetivos.

O momento da primeira onda, coincidente com tensões geopolíticas em relação a Taiwan e o período real de auditorias, fortalece a hipótese de alinhamento com interesses de inteligência.

A mesma infraestrutura foi utilizada adaptativamente em várias regiões e idiomas. Imagem: Sekoia.

As ondas que seguiram, apresentando ferramentas mais simples e distribuídas geograficamente, apontam para operações focadas exclusivamente em objetivos financeiros.

A linha entre espionagem e crime já não é tão clara, e essa ambiguidade parece ser parte da estratégia do grupo.

Acompanhe o TecMania nas redes sociais. Para mais informações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.