Diamati sejak Desember 2025, Tim Riset & Analisis Global Kaspersky (Global Research & Analysis Team/GReAT) menganalisis beberapa gelombang serangan siber baru yang dilakukan oleh kelompok SilverFox. Disebutkan kampanye tersebut menargetkan perusahaan di India, Indonesia, Afrika Selatan, dan Rusia di sektor industri, konsultasi, perdagangan, dan transportasi.
Kampanye APT ini melibatkan penyamaran file berbahaya sebagai dokumen yang berkaitan dengan pelanggaran pajak. Setelah terinfeksi, penyerang dapat memperoleh akses jarak jauh ke perangkat yang terpengaruh dan mengeksfiltrasi data sensitif organisasi.
Email phishing dirancang agar tampak seperti pemberitahuan audit pajak resmi untuk mendorong penerima mengunduh arsip yang berisi “daftar pelanggaran pajak” palsu. Dengan memanfaatkan otoritas dan urgensi komunikasi dari lembaga pajak, pelaku ancaman bertujuan untuk membujuk korban agar mengunduh file tersebut dan memicu rantai serangan. Antara Januari dan Februari saja, lebih dari 1.600 email berbahaya telah tercatat.
Pelaku ancaman memperluas perangkatnya dengan menyebarkan backdoor berbasis Python baru, yang disebut ABCDoor, melalui backdoor ValleyRAT yang sebelumnya dikenal untuk digunakan dalam serangan terdahulu. ABCDoor hadir dalam persenjataan APT sejak akhir tahun 2024 dan digunakan dalam serangan sepanjang tahun 2025.
Perangkat lunak ini memungkinkan penyerang untuk mengunggah dan mengunduh file, serta mengendalikan sistem yang terinfeksi dari jarak jauh dengan melakukan streaming beberapa layar korban secara bersamaan dalam waktu hampir nyata, mengakses clipboard, dan memperbarui dirinya sendiri. Selain itu, versi RustSL yang dimodifikasi dan sebelumnya tidak terdokumentasi digunakan untuk menyebarkan ValleyRAT, yang pertama kali digunakan oleh pelaku ancaman pada akhir Desember 2025.
“Rekayasa sosial memainkan peran kunci dalam kampanye ini. Kelompok tersebut mengeksploitasi kecenderungan pengguna untuk mempercayai komunikasi dari lembaga resmi, seperti otoritas pajak. Pada saat yang sama, SilverFox menggunakan pendekatan pengiriman multi-tahap untuk muatan berbahaya utama dan menggunakan beberapa alamat email dan domain. Hal ini meningkatkan risiko keseluruhan yang ditimbulkan oleh serangan tersebut, karena dapat membantu meminimalkan kemungkinan deteksi dan gangguan di seluruh rantai serangan,” kata Anton Kargin, peneliti keamanan senior di Kaspersky GReAT.
Sebelumnya, SilverFox menargetkan perusahaan di Asia termasuk di sektor-sektor telekomunikasi, energi, logistik, dan keuangan.
