Silver Fox 组织利用新型 ABCDoor 后门攻击俄罗斯与印度税务机构

🎯 High APT组织

Silver Fox 威胁组织在2025年底至2026年初发起两波钓鱼邮件攻击，分别针对印度和俄罗斯的税务机构。攻击者使用修改版 RustSL 加载器部署 ValleyRAT 后门，并发现其利用新插件分发此前未公开的 Python 后门 ABCDoor。该活动已影响工业、咨询、零售和运输等多个行业，记录恶意邮件超过1600封。

来源：Ars Technica Security | 2026-04-30 | 原文链接

🔍 关键发现

• Silver Fox 组织使用伪装成税务通知的钓鱼邮件，诱导用户下载含恶意载荷的压缩包。
• 攻击者采用基于 Rust 的开源加载器 RustSL 的定制版本，新增 steganography.rs 模块实现自定义 XOR 解密与载荷提取。
• 发现此前未记录的 Python 后门 ABCDoor，作为 ValleyRAT 的插件分发，自2024年底即已存在并持续活跃。
• 定制版 RustSL 包含地理围栏功能，通过多个公共 IP 定位服务验证受害者所在国家，目标包括印度、俄罗斯、印度尼西亚、南非、柬埔寨及日本。

⚔️ 攻击链分析

1. 鱼叉邮件：受害者收到伪装自税务机构的邮件，内含 PDF 或直接附件（如 ITD.-.rar），邮件通过 SendGrid 等平台发送以绕过安全网关。 2. 载荷投递：受害者点击 PDF 中的链接或运行附件中的可执行文件（Click File.exe），下载 RustSL 加载器及伪装为 PNG、HTM、XLSX 等文件的加密载荷。 3. 执行与解密：RustSL 加载器通过硬编码密钥（如 RSL_STEG_2025_KEY）和自定义 XOR 算法解密载荷，释放 ValleyRAT 后门。 4. 后门部署：ValleyRAT 进一步下载并加载 ABCDoor 插件，实现对受害主机的持久化控制和数据窃取。

🚩 失陷指标 (IOC)

• abc.haijing88[.]com/uploads/фнс/фнс.zip
• hxxps://abc.haijing88[.]com/uploads/印度邮箱/CBDT.rar
• e6362a81991323e198a463a8ce255533 (RustSL 加载器样本 MD5)

🛡️ 缓解建议

• ✅ 加强邮件安全网关对 PDF 附件中链接的深度分析，部署沙箱检测机制识别伪装成税务通知的钓鱼邮件。
• ✅ 限制用户从互联网下载并执行可执行文件，特别是来自未知来源的压缩包和 Rust 编译的二进制文件。
• ✅ 启用端点检测与响应（EDR）系统，监控异常进程注入、内存解密及 ValleyRAT 相关行为。
• ✅ 对员工进行针对税务主题钓鱼攻击的安全意识培训，强调核实发件人身份和附件真实性的重要性。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。