El calendario fiscal puede convertirse en un arma. Así lo demuestra la última campaña detectada por investigadores de ESET, en la que el grupo de amenazas conocido como Silver Fox ha reactivado sus operaciones contra empresas japonesas aprovechando uno de los momentos más críticos del año: la temporada de declaración de impuestos y reorganización corporativa.
El patrón no es nuevo, pero sí cada vez más refinado. Silver Fox ha demostrado una capacidad notable para adaptar sus campañas a contextos locales y ciclos empresariales específicos, maximizando así su tasa de éxito. En este caso, el grupo ha desplegado una ofensiva de spearphishing altamente dirigida contra sectores como manufactura, finanzas y servicios, utilizando señuelos vinculados a procesos habituales de recursos humanos y cumplimiento fiscal.
Ingeniería social sincronizada con el calendario empresarial
El elemento más relevante de esta campaña es su sincronización con el entorno operativo de las empresas. Durante este periodo, las organizaciones japonesas experimentan un incremento significativo en comunicaciones internas relacionadas con ajustes salariales, cambios organizativos, planes de acciones para empleados (ESOP) y obligaciones fiscales.
Silver Fox explota precisamente esta sobrecarga informativa. Los correos maliciosos imitan notificaciones legítimas sobre revisiones salariales, modificaciones contractuales o supuestas sanciones fiscales. En muchos casos, los atacantes incluyen incluso el nombre real de la empresa en el asunto del mensaje, lo que incrementa la credibilidad del ataque.
Además, los campos de remitente suelen suplantar identidades de empleados reales, ejecutivos o departamentos clave como recursos humanos o finanzas. Este nivel de personalización evidencia una fase previa de reconocimiento (reconnaissance), donde los atacantes recopilan información sobre la estructura organizativa de la empresa objetivo.
De la bandeja de entrada al control remoto
El objetivo final de estos correos es inducir a la víctima a abrir un archivo adjunto o acceder a un enlace malicioso. Los documentos suelen presentarse como archivos habituales en entornos corporativos —notificaciones de salario, cambios de puesto o documentos fiscales—, lo que reduce las sospechas iniciales.
Sin embargo, tras la apertura del archivo se ejecuta ValleyRAT, un troyano de acceso remoto (RAT) que constituye el núcleo técnico de la operación. Este malware permite a los atacantes obtener control completo del sistema comprometido, incluyendo el acceso remoto de forma persistente, el robo de credenciales e información sensible, la monitorización de la actividad del usuario o movimientos dentro de la red corporativa.
La presencia de un RAT como ValleyRAT eleva significativamente el riesgo, ya que no se trata de un ataque puntual, sino de una puerta de entrada a compromisos más profundos, incluyendo espionaje industrial o despliegue de ransomware en fases posteriores.
Una amenaza con historial y expansión geográfica
Activo al menos desde 2023, Silver Fox ha evolucionado desde campañas dirigidas a entornos de habla china hacia una expansión geográfica que incluye el sudeste asiático, Japón e incluso potencialmente Norteamérica. Su modus operandi mantiene una constante: campañas de phishing altamente contextualizadas, adaptadas al idioma y a las dinámicas empresariales locales.
Este enfoque demuestra una madurez operativa propia de grupos organizados, con capacidad para escalar sus operaciones sin perder precisión en la selección de objetivos.
Indicadores de compromiso y señales de alerta
A pesar de su sofisticación, la campaña presenta ciertos indicadores que pueden ayudar a detectar el fraude para que no logre su expansión en los sistemas. Entre ellos destacan inconsistencias en las direcciones de correo, uso de servicios de almacenamiento público para compartir documentos o ligeras anomalías lingüísticas, especialmente relevantes en contextos donde el atacante no domina completamente el idioma.
También es habitual que los archivos adjuntos se distribuyan en formatos comprimidos como ZIP o RAR, una técnica que busca evadir controles de seguridad básicos y dificultar la inspección automatizada.
