Silver Fox Exploits Microsoft-Signed WatchDog Driver to Deploy ValleyRAT Malware

2 minute de lecture

Mis à jour : September 02, 2025

L’exploitaton de pilotes signés pour déployer ValleyRAT

Le groupe de menaces Silver Fox utilise une stratégie sophistiquée pour contourner les défenses de sécurité, notamment en exploitant des pilotes vulnérables et signés par Microsoft. Une technique clé observée consiste à utiliser le pilote “amsdk.sys” (version 1.0.600) associé à WatchDog Anti-malware, qui est signé par Microsoft et n’est pas présent sur les listes de blocage connues de pilotes vulnérables.

Les objectifs de ces attaques sont de neutraliser les produits de protection des points d’extrémité, ouvrant ainsi la voie au déploiement de malwares comme ValleyRAT (également connu sous le nom de Winos 4.0). Le malware, une fois déployé, offre à l’attaquant des capacités d’accès et de contrôle à distance. Les campagnes sont conçues avec des chargeurs tout-en-un intégrant des fonctionnalités anti-analyse et des techniques d’évasion avancées, comme la modification d’un seul octet dans un pilote pour conserver sa signature tout en altérant son hachage de fichier.

Silver Fox, actif depuis début 2025, cible principalement des utilisateurs anglophones et chinois, distribuant des chevaux de Troie d’accès à distance via des sites web frauduleux et des installateurs déguisés. Le groupe est connu pour ses opérations très organisées visant le vol de données, le contrôle à distance et la fraude financière, avec une chaîne de profit impliquant l’espionnage, le contrôle de malware et des escroqueries.

Points Clés :

Utilisation de pilotes authentifiés et non répertoriés comme vulnérables pour contourner les protections.
Exploitation du pilote “amsdk.sys” de WatchDog Anti-malware.
Déploiement du malware ValleyRAT (Winos 4.0) pour l’accès et le contrôle à distance.
Techniques d’évasion avancées incluant la manipulation de signatures de pilotes.
Ciblage de victimes anglophones et chinoises avec des motivations financières.

Vulnérabilités :

Le pilote “amsdk.sys” (version 1.0.600) contient des vulnérabilités permettant la terminaison de processus arbitraires sans vérification de leurs protections (PP/PPL).
Vulnérabilité à l’escalade de privilèges locale, accordant un accès non restreint au périphérique du pilote.
Aucun identifiant CVE spécifique n’est mentionné dans l’article pour ces vulnérabilités dans le pilote amsdk.sys.

Recommandations :

Se tenir informé des nouvelles techniques d’exploitation de pilotes et des menaces émergentes.
Maintenir à jour les solutions de sécurité des points d’extrémité.
Faire preuve de vigilance face aux leurres d’hameçonnage et aux logiciels suspects.
Surveiller l’activité des pilotes légitimement signés par Microsoft, car ils peuvent être détournés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Silver Fox Exploits Microsoft-Signed WatchDog Driver to Deploy ValleyRAT Malware

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast