Japón ha entrado en su temporada anual de declaraciones fiscales y cambios organizativos, un periodo en el que las empresas generan un alto volumen de comunicaciones legítimas relacionadas con la contabilidad y recursos humanos. Un actor de amenaza conocido como Silver Fox está aprovechando esta actividad para llevar a cabo una campaña de spearphishing específica contra fabricantes y otras empresas en el país.
La campaña en curso utiliza cebos convincentes sobre violaciones de cumplimiento fiscal, ajustes salariales, cambios en puestos de trabajo y planes de propiedad de acciones para empleados. Todos los correos electrónicos tienen el mismo objetivo: engañar a los destinatarios para que abran enlaces o archivos maliciosos. Dado que los empleados están acostumbrados a recibir comunicaciones sobre estos temas en este momento del año, es más probable que confíen y actúen ante tales mensajes sin pensar dos veces. Esto incrementa significativamente el riesgo de compromisos de seguridad.
Esta operación también sirve como un recordatorio para que las organizaciones aumenten su vigilancia, refuercen la conciencia sobre intentos de phishing y se aseguren de que los empleados verifiquen la autenticidad de las solicitudes relacionadas con impuestos y recursos humanos, incluso aquellas que parecen rutinarias. Es esencial reportar inmediatamente correos sospechosos a los equipos de seguridad para reducir la exposición y prevenir compromisos exitosos.
Silver Fox, cuyo alcance se ha expandido en los últimos años, ha atacado en diversas verticales como finanzas, salud, educación y hasta ciberseguridad. Este grupo ha estado activo desde al menos 2023, inicialmente enfocándose en objetivos de habla china antes de expandirse a otros mercados, incluido Japón, alineando sus operaciones con ciclos estacionales de negocio.
En la actual campaña, Silver Fox envía correos electrónicos de spearphishing diseñados para parecer mensajes legítimos de recursos humanos o ligados a impuestos. Los atacantes suelen incluir el nombre de la empresa objetivo directamente en la línea de asunto para aumentar la credibilidad. Los asuntos observados en este ataque incluyen notificaciones sobre enmiendas a los términos y condiciones de acciones para empleados, cambios de personal y avisos sobre cumplimiento fiscal.
Los correos a menudo contienen archivos adjuntos maliciosos o enlaces que llevan a archivos maliciosos, nombrados para parecer documentos comunes de recursos humanos o finanzas. Al abrir estos archivos, se activa ValleyRAT, un troyano de acceso remoto que permite al actor tomar control de la máquina comprometida, robar información sensible y mantener persistencia en el entorno atacado.
Aunque los correos de Silver Fox pueden parecer creíbles, un análisis más cercano puede revelar señales que los delatan como sospechosos. Es crucial que los empleados verifiquen cualquier comunicación sobre cambios salariales o notificaciones fiscales a través de un canal separado, que confirmen la autenticidad de los correos comprobando que el nombre del remitente se corresponda con la dirección de correo electrónico, y que estén alertas a frases inusuales o un lenguaje excesivamente formal.
Ante la creciente sofisticación de estos ataques, las organizaciones deben mantenerse alertas y educar a sus empleados sobre los peligros del phishing, especialmente en momentos de alta actividad comunicativa como la temporada fiscal.
Fuente: WeLiveSecurity by eSet.
