In december 2025 werd een golf van kwaadaardige e-mails ontdekt die zich voordeden als officiële correspondentie van de Indiase belastingdienst. Enkele weken later, in januari 2026, startte een vergelijkbare campagne gericht op Russische organisaties. Deze activiteiten zijn toegeschreven aan de Silver Fox-dreigingsgroep. Beide campagnes volgden een vrijwel identieke opzet: phishingmails die leken op officiële berichten over belastingcontroles of waarin gebruikers werden aangespoord een archief met een "lijst van belastingovertredingen" te downloaden. In het archief zat een aangepaste Rust-gebaseerde loader, afkomstig uit een openbare repository, die de bekende ValleyRAT-backdoor binnenhaalde en uitvoerde.

De campagne trof organisaties in de industrie, consultancy, detailhandel en transportsector, met meer dan 1600 kwaadaardige e-mails tussen begin januari en begin februari. Tijdens het onderzoek werd ontdekt dat de aanvallers een nieuwe ValleyRAT-plugin afleverden op de systemen van slachtoffers. Deze plugin fungeerde als loader voor een eerder onbekende Python-backdoor, die de naam ABCDoor kreeg. Retrospectieve analyse toont aan dat ABCDoor sinds eind 2024 deel uitmaakt van het Silver Fox-aanvalsarsenaal en sinds het eerste kwartaal van 2025 actief wordt ingezet.

In de campagne van januari ontvingen slachtoffers een e-mail die zogenaamd van de belastingdienst kwam, met een PDF-bestand als bijlage. Dit PDF-bestand bevatte twee klikbare links naar een archief, beide verwijzend naar een kwaadaardige website, abc.haijing88[.]com. In de campagne van december was de kwaadaardige code direct in de bijlagen van de e-mail verwerkt. Zo werd via het SendGrid-platform een archief met de naam ITD.-.rar verspreid, met daarin een uitvoerbaar bestand met een Adobe PDF-icoon, de RustSL-loader. Ook werden e-mails met een bijlage GST.pdf verstuurd, met daarin links naar een ander kwaadaardig archief op dezelfde domeinnaam.

Beide campagnes maken gebruik van het vertrouwen in belastingautoriteiten om slachtoffers te verleiden de documenten te openen en zo de aanvalsketen te starten. Het gebruik van downloadlinks in PDF-bestanden is specifiek ontworpen om e-mailbeveiligingsgateways te omzeilen, omdat het bijgevoegde document alleen een link bevat die verdere analyse vereist en daardoor vaker de ontvanger bereikt dan een bijlage met directe kwaadaardige code.

De aanvallers gebruikten een aangepaste versie van de Rust-gebaseerde loader RustSL, waarvan de broncode openbaar beschikbaar is op GitHub en die wordt omschreven als een antivirus-omzeilingsframework met uitgebreide aanpassingsmogelijkheden. De originele RustSL versleutelt standaard alle strings en voegt onnodige instructies toe om analyse te bemoeilijken. Silver Fox begon eind december 2025 met het gebruik van deze aangepaste RustSL-loader.