資安業者 Sekoia 近期發布威脅情報報告指出,與 Silver Fox 入侵組織相關的多起攻擊行動顯示,該組織在 2025 至 2026 年間持續調整手法,將間諜型態的情報蒐集行動與以獲利為導向的網路犯罪混合運用。報告特別指出,台灣企業在稅務稽核期間成為重點攻擊目標,財會相關人員應提高警覺。
三波攻擊演進:從惡意附件到客製化竊密程式
Sekoia 研究人員觀察到,Silver Fox 的攻擊行動經歷三個明顯階段的演進。
第一波攻擊主要透過夾帶惡意 PDF 的釣魚郵件,假冒國家稅務機關發送通知。這些郵件的設計目的在於誘騙財務人員開啟文件,一旦執行便會透過 DLL 側載(DLL side-loading)技術植入 ValleyRAT 惡意軟體。
第二波攻擊則改變策略,不再直接發送附件,而是引導受害者前往釣魚網站,下載內含惡意程式或遠端監控工具的壓縮檔。這種作法讓攻擊者能更靈活地替換投遞內容,降低被郵件過濾機制攔截的機率。
到了 2026 年初,第三波攻擊再度轉向,開始散布以 Python 撰寫的客製化竊密程式。該程式偽裝成 WhatsApp 應用程式,專門蒐集帳號密碼與敏感檔案。
攻擊手法特徵
根據報告,Silver Fox 的攻擊行動具備以下關鍵特徵:釣魚郵件假冒稅務機關或薪資部門發送;利用搜尋引擎優化(SEO)毒化與惡意廣告散布惡意程式;部署多種工具,包括 ValleyRAT、HoldingHands 及客製化竊密程式。
攻擊目標涵蓋台灣、日本、馬來西亞、印度、印尼、新加坡、泰國及菲律賓等亞洲多國的組織。
雙重動機:情蒐與獲利並行
Sekoia 研究人員認為,Silver Fox 的運作具備雙重目標。部分攻擊行動明顯偏向情報蒐集,尤其是在稅務稽核期間針對台灣組織的攻擊更具針對性。其他行動則較為廣泛,更符合以獲利為導向的網路犯罪模式。
該組織持續使用 ValleyRAT 並搭配其他工具,顯示其具備模組化的攻擊能力,能在維持對受駭系統的長期存取的同時快速調整策略。同時,使用合法遠端管理軟體與簡易竊密程式的作法,也反映出持續進行的牟利型活動。
報告總結指出,Silver Fox 很可能同時維持投機性的網路犯罪行動與更具戰略性的攻擊活動,反映出當前網路犯罪與國家關聯型網路活動之間的界線日益模糊的趨勢。
台灣企業防護建議
針對此波威脅,企業應採取以下防護措施:強化郵件安全與附件檢測機制,加強攔截 PDF、壓縮檔與可疑連結;對財會與人資等高風險族群落實社交工程演練與釣魚測試;端點啟用行為偵測(EDR)功能,並監控可疑 DLL 載入與異常的遠端管理工具活動;針對帳密外洩風險,推動多因素驗證(MFA)與最小權限原則。
由於報告明確指出台灣在稅務稽核期間為重點攻擊目標,企業在五月報稅季前後應特別提高警覺,加強對財務部門人員的資安意識宣導,並確保端點防護與郵件過濾機制維持最新狀態。
本文轉載自 InfosecurityMagazine。