A campanha Operation Silk Lure, identificada em meados de 2025, foi explorada pelo Agendador de Tarefas do Windows para divulgar uma nova variante do trojan ValleyRAT, visando especialmente equipes de RH de fintechs e empresas de trading chinesas. O ataque começa com um e-mail de spear-phishing contendo um atalho (.lnk) malicioso, apresentado como currículo de candidato; Ao ser aberto, aciona um comando PowerShell oculto que baixa um documento isca e dois abaixo: loader (keytool.exe) e DLL para side-loading (jli.dll).
Leia também
Cloud no Brasil reduz custos e garante repatriação de dados
Fortra confirma ataques em falha de máxima gravidade no GoAnywhere
A cadeia de treinamento envolve a criação de um arquivo .vbs, o CreateHiddenTask.vbs, que registra uma tarefa agendada diariamente chamada “Segurança”, simulando autoria da Microsoft Corporation. Isso garante a execução persistente do carregador todo dia às 8h, mesmo após atualizações, dificultando a detecção.
O loader utiliza o side-loading da DLL jli.dll, que, por sua vez, extrai um payload criptografado, descriptografado por RC4 e injeta o shellcode diretamente na memória, ativando contato com o servidor dos invasores para coleta de dados e exfiltração. O ValleyRAT coleta informações detalhadas do sistema, executa movimentos de evasão, fecha conexões de antivírus conhecidos (como 360Safe e Kingsoft), e envia logs e dados via HTTPS para dificultar a interceptação.
O ataque se destaca pela sofisticação no uso de persistência com tarefas agendadas, execução em memória e side-loading de DLL, exigindo das empresas monitoramento específico das tarefas agendadas, caça proativa e assinaturas atualizadas para detectar comportamentos anômalos correlacionados à campanha de espionagem.
