Las detenciones alcanzaron a desarrolladores, operadores de sitios maliciosos y presuntos distribuidores de malware.

Las autoridades chinas anunciaron la detención de 67 personas presuntamente vinculadas a Silver Fox, una de las organizaciones de ciberdelincuencia más activas de China y responsable de numerosas campañas de malware dirigidas principalmente a usuarios de habla china.

La operación se desarrolló en cinco provincias y alcanzó distintos niveles de la estructura criminal: desde desarrolladores de malware hasta operadores de sitios de phishing y personas acusadas de distribuir herramientas maliciosas utilizadas para el robo de información y activos digitales.

Una cadena completa de desarrollo y distribución

Según la información difundida por las autoridades, uno de los principales objetivos de la investigación fue un individuo identificado como Ji Moufei, señalado como desarrollador principal y distribuidor del malware utilizado por la organización. Ji y cuatro colaboradores fueron arrestados en la provincia de Zhejiang.

Las fuerzas de seguridad también realizaron detenciones en Jilin, Shandong y Guangdong, donde fueron identificadas personas vinculadas a la distribución del malware, la operación de sitios fraudulentos y el uso de herramientas de acceso remoto para comprometer sistemas de las víctimas.

La magnitud de la operación resulta llamativa porque no se limitó a perseguir a quienes ejecutaban los ataques, sino que apuntó a distintos componentes del ecosistema criminal: desarrollo, distribución, infraestructura y monetización.

Qué es Silver Fox

Silver Fox apareció a mediados de 2024 y rápidamente se convirtió en una de las amenazas más relevantes dentro del ecosistema de cibercrimen orientado a usuarios chinos.

A diferencia de muchas bandas de malware que buscan expandirse globalmente desde el inicio, Silver Fox concentró inicialmente sus operaciones casi exclusivamente en víctimas de habla china, tanto dentro de China continental como en comunidades chinas en el extranjero.

Con el tiempo amplió parte de sus actividades a otros países, aunque su foco principal continuó siendo el mercado doméstico.

La organización también es conocida por otros nombres utilizados por distintos equipos de inteligencia de amenazas, entre ellos Void Arachne, YouSnake, UTG-Q-1000 y TA4922.

El troyano Winos y la puerta de entrada a nuevas infecciones

El malware principal utilizado por Silver Fox es conocido como Winos.

La estrategia del grupo consistía en distribuir este troyano mediante campañas de spam malicioso y sitios falsos de descarga que imitaban software legítimo. Una vez instalado en el equipo de la víctima, Winos actuaba como puerta de entrada para desplegar otras herramientas más especializadas.

Entre ellas se encontraban programas para robo de credenciales, extracción de información sensible y troyanos de acceso remoto desarrollados por la propia organización, incluyendo AtlasRAT y ValleyRAT.

Este modelo de operación refleja una tendencia cada vez más común en el cibercrimen moderno: utilizar una infección inicial relativamente simple para construir posteriormente una cadena de compromiso mucho más compleja y persistente.

Una operación que ya se anticipaba

Las detenciones llegan pocas semanas después de que el CERT chino emitiera una alerta pública sobre las actividades de Silver Fox, una señal que muchos analistas interpretaron como un indicio de que las autoridades estaban incrementando la presión sobre el grupo.

Aunque todavía no está claro cuál será el impacto real de los arrestos sobre la capacidad operativa de la organización, la amplitud de la operación sugiere que las fuerzas de seguridad lograron mapear una parte importante de su infraestructura y de su red de colaboradores.

Más allá de Silver Fox

El caso también deja una lectura interesante sobre la evolución del cibercrimen moderno. Muchas de las campañas actuales ya no dependen de un único actor aislado, sino de verdaderos ecosistemas donde distintos grupos se especializan en desarrollar malware, operar infraestructura, distribuir campañas de phishing o monetizar el acceso obtenido.

Cuando las autoridades logran identificar y desarticular varios de esos eslabones simultáneamente, el impacto suele ser mucho mayor que el arresto de unos pocos operadores.

En el caso de Silver Fox, China parece haber apuntado precisamente a esa cadena completa. El desafío ahora será determinar si la organización puede reorganizarse bajo nuevas estructuras o si la operación logra reducir de forma significativa una de las amenazas cibernéticas más activas dirigidas al ecosistema digital chino.