Modifican un driver legítimo para instalar ValleyRAT en Windows
Silver Fox, un grupo cibercriminal activo desde 2022 y conocido por atacar principalmente a usuarios de habla china, ha sofisticado sus ataques en 2025 aprovechando el driver WatchDog (amsdk.sys, versión 1.0.600), legítimamente firmado por Microsoft. Hasta ahora, este driver no era reconocido como vulnerable, pero Silver Fox logró modificarlo de manera casi imperceptible y usarlo contra los propios sistemas de Windows.
La clave de la técnica está en alterar apenas un byte en el campo de timestamp del certificado Authenticode, una modificación lo suficientemente sutil para cambiar el hash del archivo pero sin invalidar la firma original. Así, el driver modificado pasa desapercibido ante las protecciones de Windows y evade blocklists basadas en hashes, lo que deja expuestos incluso a usuarios con sistemas actualizados.
El driver manipulado permite terminar de forma arbitraria procesos críticos, como los de antivirus o soluciones EDR. De esta forma, el malware de Silver Fox puede instalarse y operar sin trabas. Sus cargas incluyen múltiples mecanismos de anti-análisis, persistencia y compatibilidad desde Windows 7 hasta las versiones más recientes. ValleyRAT, el malware desplegado, ofrece control remoto, capacidad de espionaje y exfiltración de información, apoyando fines de espionaje y fraude financiero desde una red negra bien organizada.
Pese a que Microsoft ha aplicado parches al WatchDog original, Silver Fox sigue adaptando su driver modificado para esquivar los cambios y mantener la efectividad de sus campañas. El incidente deja en evidencia lo riesgoso que resulta confiar en la legitimidad implícita de los drivers firmados, hoy convertidos en un ángulo ciego para muchas soluciones de seguridad.
El caso obliga a repensar la confianza en drivers firmados. Reforzar la detección de abusos en componentes legítimos será clave en la defensa de Windows.
Modifican un driver legítimo para instalar ValleyRAT en Windows
Silver Fox, un grupo cibercriminal activo desde 2022 y conocido por atacar principalmente a usuarios de habla china, ha sofisticado sus ataques en 2025 aprovechando el driver WatchDog (amsdk.sys, versión 1.0.600), legítimamente firmado por Microsoft. Hasta ahora, este driver no era reconocido como vulnerable, pero Silver Fox logró modificarlo de manera casi imperceptible y usarlo contra los propios sistemas de Windows.
La clave de la técnica está en alterar apenas un byte en el campo de timestamp del certificado Authenticode, una modificación lo suficientemente sutil para cambiar el hash del archivo pero sin invalidar la firma original. Así, el driver modificado pasa desapercibido ante las protecciones de Windows y evade blocklists basadas en hashes, lo que deja expuestos incluso a usuarios con sistemas actualizados.
El driver manipulado permite terminar de forma arbitraria procesos críticos, como los de antivirus o soluciones EDR. De esta forma, el malware de Silver Fox puede instalarse y operar sin trabas. Sus cargas incluyen múltiples mecanismos de anti-análisis, persistencia y compatibilidad desde Windows 7 hasta las versiones más recientes. ValleyRAT, el malware desplegado, ofrece control remoto, capacidad de espionaje y exfiltración de información, apoyando fines de espionaje y fraude financiero desde una red negra bien organizada.
Pese a que Microsoft ha aplicado parches al WatchDog original, Silver Fox sigue adaptando su driver modificado para esquivar los cambios y mantener la efectividad de sus campañas. El incidente deja en evidencia lo riesgoso que resulta confiar en la legitimidad implícita de los drivers firmados, hoy convertidos en un ángulo ciego para muchas soluciones de seguridad.
El caso obliga a repensar la confianza en drivers firmados. Reforzar la detección de abusos en componentes legítimos será clave en la defensa de Windows.
