El grupo chino Silver Fox ha desplegado el malware ABCDoor contra objetivos en India y Rusia mediante una campaña de phishing fiscal detectada esta semana. La operación, atribuida por Mandiant y replicada por varios analistas independientes, supone un salto cualitativo en el oficio del actor: nueva familia de malware, infraestructura limpia y señuelos lingüÃsticamente impecables en hindi y ruso. Le adelanto que esto no es un incidente más en el ruido cotidiano de las APT chinas. Es un movimiento de doctrina.
Llevo años siguiendo a este actor. Silver Fox —también catalogado como Void Arachne en algunos informes— operaba clásicamente contra hablantes de chino, con un foco persistente en el ecosistema empresarial del propio paÃs y en la diáspora. Que abra dos frentes simultáneos en Nueva Delhi y Moscú, y que lo haga con un implante completamente nuevo bautizado ABCDoor, indica reasignación de recursos y un encargo más amplio que la rapiña financiera habitual. Lo veo asÃ: estamos ante un actor en transición desde el cibercrimen de oportunidad hacia funciones cuasi-estatales de recolección.
AnatomÃa de la campaña: phishing fiscal, cargas múltiples y persistencia silenciosa
La cadena de infección, según el análisis técnico de la pieza original, arranca con un correo que suplanta al Income Tax Department indio en los envÃos contra objetivos del subcontinente y a entidades fiscales y administrativas rusas en la otra pata de la operación. El señuelo entrega un archivo comprimido que carga un instalador MSI manipulado. A partir de ahÃ, la cadena despliega ABCDoor, una puerta trasera modular escrita en C++ con capacidades de SIGINT clásico: keylogging, captura de pantalla, robo de credenciales del navegador, exfiltración por canales HTTPS cifrados y persistencia mediante tareas programadas con nombres camuflados como servicios legÃtimos de Windows.
El detalle que me parece relevante es la arquitectura modular del implante y su capacidad para descargar plugins bajo demanda desde el servidor de mando y control. No es novedad técnica absoluta —APT41 y Mustang Panda llevan años con este patrón— pero sà confirma que Silver Fox ha invertido en desarrollo propio y no se limita a reciclar Gh0stRAT y Winos 4.0, sus herramientas históricas. La infraestructura de C2, según los indicadores publicados, rota dominios cada 72 horas y emplea certificados emitidos a nombre de empresas pantalla con domicilio en Hong Kong y Singapur. El tradecraft ha mejorado de forma notable.
Hay un elemento que merece atención y que pocos están subrayando. Los correos en hindi no son la traducción tosca habitual de campañas chinas anteriores. Hay localización real, referencias a campañas tributarias del ejercicio fiscal indio y formato visual idéntico al de las comunicaciones reales del Income Tax Department. Eso solo se consigue con HUMINT (Inteligencia Humana) en el terreno o con un equipo lingüÃstico permanente. La hipótesis más plausible, en mi opinión, es la segunda: alguien en la cadena cobra para escribir hindi tributario de forma nativa.
El historial de Silver Fox: de troyanos bancarios al encargo geopolÃtico
Conviene poner en contexto. Silver Fox apareció en el radar de las firmas de atribución técnica hacia 2022 como un actor ambiguo, a caballo entre el cibercrimen monetizado y el espionaje de baja intensidad. Sus campañas históricas combinaban robo de credenciales bancarias chinas, despliegue de mineros de criptomoneda y, ocasionalmente, recolección de datos sensibles en sectores estratégicos como el sanitario y el energético. La pregunta que llevaba abierta desde entonces era si trabajaba para sà mismo o si recibÃa encargos del MSS chino —el Ministerio de Seguridad del Estado— a la manera de los contratistas que PekÃn lleva años profesionalizando.
La respuesta, a la luz de esta campaña, se inclina con fuerza hacia la segunda opción.
India y Rusia no son objetivos casuales en el tablero de PekÃn. Con Nueva Delhi, China mantiene una rivalidad estratégica que combina tensión fronteriza en el Himalaya, competencia por el liderazgo del Sur Global y choque económico creciente. Con Moscú, la relación es más sutil: socio declarado, sÃ, pero también vecino sobre el que PekÃn recolecta sistemáticamente. Ya escribà en El quinto elemento que la alianza entre potencias autoritarias nunca elimina el espionaje mutuo, lo intensifica. Lo que cambia es el grado de discreción.
El precedente más claro lo tenemos en la actividad documentada de APT31 contra ministerios y centros de investigación rusos entre 2021 y 2023, recogida en informes técnicos de varias firmas occidentales. PekÃn espÃa a Moscú con la misma naturalidad con la que comparte ejercicios militares con su Ejército. Es el oficio. Lo demás es propaganda de cumbres.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es inequÃvocamente un ciberataque de tipo APT con componente HUMINT en la fase de elaboración de señuelos. La campaña combina ingenierÃa social localizada, cargador MSI manipulado y puerta trasera modular con capacidades completas de SIGINT remoto. La atribución técnica apunta a Silver Fox como ejecutor, con respaldo razonable —aunque no concluyente— de patrocinio o encargo por parte del MSS chino. Reconozco que la atribución en ciberguerra exige cautela: el código puede compartirse, falsificarse o revenderse. Pero el patrón de objetivos, la calidad lingüÃstica y la inversión en infraestructura limpia encajan con un actor estatal o paraestatal, no con un grupo puramente criminal.
En cuanto a las agencias implicadas, el atacante es Silver Fox, vinculado con creciente verosimilitud al MSS. Los defensores son el CERT-In indio y los servicios técnicos rusos del FSB y del Centro Nacional de Coordinación de Incidentes Informáticos, ambos con experiencia probada en respuesta a APT chinas pero con coordinación interna lastrada por la propia tensión estratégica con PekÃn. Quien mira con interés especial es Five Eyes —y dentro de Five Eyes, la NSA y el GCHQ—, porque cualquier campaña china que toque a Rusia ofrece una ventana excepcional para entender la doctrina de recolección de PekÃn contra un supuesto socio. El CCN-CERT español, por mi experiencia siguiendo sus boletines, monitoriza este tipo de campañas porque los implantes desarrollados contra India suelen reciclarse meses después contra Europa con mÃnimas modificaciones. Me consta que en la Casa de Castelló se sigue de cerca a Silver Fox desde 2024.
El nivel de clasificación estimado del material comprometido en los objetivos indios y rusos, a juzgar por el perfil de los señuelos —fiscalidad corporativa, comunicaciones administrativas— oscila entre Confidencial y Reservado, con bolsas puntuales de material Secreto si la campaña ha alcanzado ministerios o contratistas de defensa. No es Top Secret puro, pero sà material lo suficientemente sensible como para alimentar análisis económicos y de inteligencia financiera durante años.
Silver Fox ha dejado de ser un actor criminal con tintes de espionaje para convertirse en un proxy maduro al servicio de la recolección estratégica china, y la elección de Moscú como objetivo lo confirma sin matices.
El CCN-CERT no comenta. Como siempre. Pero quien sigue el oficio sabe que el próximo boletÃn técnico del organismo, previsto para finales de mayo, incorporará casi con seguridad indicadores de compromiso de ABCDoor, porque la lógica de propagación de estos implantes hacia Europa es cuestión de meses, no de años. Lo escribà hace tiempo y lo sostengo: en España hay miles de infraestructuras crÃticas y atacables a través de internet, y la lÃnea entre lo que pasa en Nueva Delhi hoy y lo que pasará aquà mañana es delgadÃsima. La doctrina cambia. La aritmética también.
