В Японии начался ежегодный сезон подачи налоговых деклараций и организационных изменений — период, когда компании генерируют большой объем легитимных сообщений, связанных с финансами и кадрами. Злоумышленник, известный как Silver Fox, активно использует этот напряженный период, проводя целевую кампанию по фишингу против японских производителей и других предприятий.

В рамках текущей кампании используются убедительные фишинговые приманки, связанные с нарушениями налогового законодательства, корректировкой заработной платы, изменениями должностей и программами акционерного участия сотрудников. Все электронные письма преследуют одну и ту же цель — обманом заставить получателей открыть вредоносные ссылки или вложения. Поскольку в это время года сотрудники действительно ожидают получения писем на эти темы, они с большей вероятностью доверят таким сообщениям и будут действовать, не задумываясь. Разумеется, это значительно повышает риск взлома.

Эта операция также является напоминанием для организаций о необходимости повысить бдительность, усилить осведомленность о попытках фишинга и обеспечить, чтобы сотрудники проверяли подлинность запросов на тему налогов и кадровых вопросов, включая те, которые выглядят рутинными. Незамедлительное сообщение о подозрительных электронных письмах в службы безопасности имеет решающее значение для снижения уязвимости и предотвращения успешного взлома.

В чем заключается угроза?

Группа Silver Fox, действующая по крайней мере с 2023 года, изначально фокусировалась на целях, говорящих на китайском языке, а затем расширила свою деятельность на Юго-Восточную Азию, Японию и, возможно, Северную Америку, проводя каждую кампанию на местном языке. Это расширение сферы деятельности отражается в спектре отраслей, которые группа атаковала на протяжении многих лет — финансы, здравоохранение, образование, игровой бизнес, государственные учреждения и даже кибербезопасность. Группа также в основном действует в Юго-Восточной Азии и имеет хорошо задокументированную
историю проведения кампаний по целевому фишингу на финансовую тематику во время сезонных бизнес-циклов.

В текущей кампании группа использует в своих интересах ежегодный цикл Японии, связанный с подачей налоговых деклараций, финансовой отчетностью, корректировкой заработной платы и кадровыми изменениями. Эта схема не нова — аналогичная активность наблюдалась в тот же период прошлого года, что указывает на то, что Silver Fox намеренно приурочивает свои операции к этому сезону. В это время года объем и срочность легитимной внутренней коммуникации по этим темам высоки, и именно на это рассчитывает Silver Fox, что и делает ее кампании эффективными.

В рамках этой операции Silver Fox рассылает специально подготовленные фишинговые письма, оформленные так, чтобы выглядеть как легитимные сообщения от отдела кадров или налоговой службы. Чтобы письма выглядели аутентично, злоумышленники часто указывают название целевой компании прямо в поле темы. Примеры тем, замеченных в этой кампании, включают:

  • «Название компании » [Уведомление о внесении изменений в Устав акционерного общества сотрудников]
    (Перевод: <Название компании> Уведомление об изменениях в условиях программы ESOP])
  • «Название компании » [О частичном изменении положений Устава Акционерного общества сотрудников]
    (Перевод: <Название компании> [Изменения в Уставе программы ESOP])
  • «Название компании » [О кадровых изменениях и корректировке заработной платы]
    (Перевод: <Название компании> [Кадровые изменения и корректировка заработной платы])
  • Уведомление о налоговом соответствии и штрафе
    (Перевод: Уведомление о налоговом соответствии и штрафе)

В полях отправителя указываются имена реальных сотрудников и даже генеральных директоров целевых компаний. Очевидно, что Silver Fox проводит разведку по каждой цели, прежде чем отправлять нестандартные массовые рассылки. Злоумышленники выбирают имена, которые целевые лица, скорее всего, узнают и которым доверяют, что затрудняет получателям отличить вредоносные сообщения от настоящих внутренних уведомлений.

Эти письма обычно содержат либо вредоносное вложение, либо ссылку, ведущую к вредоносному файлу. Файлы имеют названия, напоминающие обычные документы отдела кадров, финансовые или налоговые документы, например:

  • 【Уведомление о корректировке заработной платы】
    (Перевод: Уведомление о корректировке заработной платы)
  • О кадровых изменениях и корректировке заработной платы
    (Перевод: Кадровые изменения и корректировка заработной платы)
  • Уведомление о кадровых изменениях и корректировке заработной платы
    (Перевод: Уведомление о кадровых изменениях и корректировке заработной платы)
  • 【О частичном изменении положений Устава Ассоциации сотрудников-акционеров】
    (Перевод: [О частичном изменении положений Устава Ассоциации владельцев акций сотрудников])

Ниже приведены примеры обнаруженных электронных писем и приманок:

Figure_1_CN_SilverFox_spearphishing_2026-03-11
Рисунок 1. Фишинговое письмо, разосланное 11 марта 2026 г.
Figure_2_CN_SilverFox_spearphishing_2026-03-12
Рисунок 2. Спирфишинговое письмо, разосланное 12 марта 2026 г.
Figure_3_CN_SilverFox_tax-related_lure_webpage
Рисунок 3. Веб-страница с информацией о налогах, призывающая жертву загрузить вредоносный файл

При открытии вредоносных файлов запускается ValleyRAT — троян удаленного доступа, который Silver Fox использовал в нескольких кампаниях. Продукты ESET обнаруживают это вредоносное ПО как Win64/Valley. После развертывания ValleyRAT позволяет злоумышленнику получить удаленный контроль над скомпрометированным компьютером, собирать конфиденциальную информацию, отслеживать активность пользователя и сохранять присутствие в целевой среде. Это позволяет злоумышленнику проникнуть глубже в сеть, похитить конфиденциальные данные или подготовить последующие этапы атаки.

Как распознать угрозу и защитить себя

Хотя электронные письма Silver Fox на первый взгляд могут показаться достоверными, особенно в период активной налоговой отчетности и организационных изменений в Японии, при более внимательном рассмотрении в них можно обнаружить признаки, вызывающие подозрения. Следующие признаки являются ключом к распознаванию и предотвращению атаки:

  • Если вы получили электронное письмо об изменениях в заработной плате, налоговых штрафах или кадровых изменениях, проверьте его через другой канал связи (Teams, телефон или прямой поиск по электронной почте), прежде чем предпринимать какие-либо действия. Это относится даже к тем сообщениям, которые выглядят рутинными.
  • Даже если имя отправителя принадлежит (или, по-видимому, принадлежит) вашему коллеге, убедитесь, что адрес электронной почты и имя совпадают. Если они не совпадают или адрес выглядит незнакомым, считайте это письмо подозрительным.
  • Спросите себя, соответствует ли это сообщение обычным процедурам отдела кадров или финансового отдела вашей компании.
  • Будьте осторожны, если язык письма кажется чрезмерно формальным, жестким или не соответствует типичным внутренним сообщениям. Поскольку злоумышленник не является носителем японского языка, письма могут содержать неловкие формулировки и незаметные признаки подделки.
  • Маловероятно, что документы будут передаваться через общедоступные файлообменники, такие как gofile[.]io или WeTransfer.
  • Обратите внимание на тип вложения. Если это архив, например RAR или ZIP, посмотрите, что на самом деле находится внутри, прежде чем открывать файлы.
  • Устанавливайте обновления программного обеспечения по мере появления запросов.
  • Убедитесь, что ваше программное обеспечение безопасности работает и обновлено.
  • Если в письме что-то вызывает подозрения, перешлите его в виде вложения в свою ИТ-службу или службу безопасности. Сообщение о подозрительном письме — это никогда не ошибка, даже если письмо окажется легитимным.

Ниже приведены наглядные примеры того, на что следует обратить внимание:

Figure_4_CN_SilverFox_spearphishing_2026-03-12_indicators
Рисунок 4. Признаки, указывающие на то, что письмо не является подлинным
Figure_5_CN_SilverFox_spearphishing_2026-03-11_indicators
Рисунок 5. Признаки, указывающие на то, что это письмо также не является подлинным

IoC

Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.

Читать полный анализ на WeLiveSecurity →