Los investigadores de seguridad cibernética han revelado campañas de malware que utilizan instaladores de software falsos que ofrecen el marco Winos 4.0 bajo la apariencia de herramientas populares como los navegadores LetSVPN y QQ.
Esta campaña fue detectada por primera vez por Rapid7 en febrero de 2025 e incluye el uso de un cargador residente de memoria de varias etapas llamado Catena.
«Catena utiliza la lógica de conmutación de shell y de configuración integrada para usar cargas útiles paso a paso como Winos 4.0 para la memoria y evitar las herramientas antivirus tradicionales». «Una vez instalado, se conecta silenciosamente a un servidor controlado por el atacante (que se aloja principalmente en Hong Kong) y recibe instrucciones de seguimiento o malware adicional».
El ataque parece estar particularmente enfocado en entornos de habla china, ya que invoca «planificación cuidadosa y a largo plazo» por actores de amenaza altamente capaces, similares a aquellos que han desplegado Winos 4.0 en el pasado.
Winos 4.0 (también conocido como Valleyrat) fue publicado por primera vez por Trend Micro en junio de 2024, ya que se utilizó en un ataque dirigido a usuarios de habla china que usa el archivo de instalación de Windows (MSI) malicioso de la aplicación VPN. Esta actividad se atribuye a un clúster de amenazas que lo rastrea como un vacío Arachne, también conocido como Silver Fox.
Las campañas posteriores para distribuir malware utilizan rivales para engañar a los usuarios en la instalación de aplicaciones relacionadas con el juego, como herramientas de instalación, estimulantes de velocidad y utilidades de optimización. Otra ola de ataque dirigido a entidades taiwanesas a través de correos electrónicos de phishing de la Agencia Nacional de Impuestos en febrero de 2025.
Construido sobre los cimientos de un troyano de acceso remoto conocido llamado GH0ST RAT, Winos 4.0 es un marco altamente malicioso escrito en C ++ que utiliza un sistema basado en complementos para recopilar datos, proporcionar acceso remoto de shell y lanzar ataques de denegación distribuida de servicio (DDoS).
Flujo de infección basado en Qqbrowser observado en febrero de 2025
Rapid7 dijo que todos los artefactos marcados en febrero de 2025 se basan en aplicaciones de señuelos firmadas, shellcodes incrustados en archivos «.ini» e instaladores de NSIS llenos de inyecciones de DLL reflexivas para mantener secretamente la persistencia de hosts infectados y evitar la detección. Monica Catenas se administra en toda la cadena de infección.
«Esta campaña ha estado activa a lo largo de 2025 y muestra una cadena de infección consistente con algunos ajustes tácticos. Se refiere a un actor de amenaza capaz y adaptativo», dijo el investigador.
El punto de partida es un instalador de NSIS troyanizado que se hace pasar por el instalador del navegador QQ, un navegador web basado en Chromium desarrollado por Tencent, diseñado para usar Catena para proporcionar a Winos 4.0. El malware se comunica con el código de codificación duro y la infraestructura de comando y control (C2) sobre el puerto TCP 18856 y el puerto HTTPS 443.
Desde el instalador de LetSVPN en abril de 2025 a Winos 4.0
La persistencia del host se logra registrando tareas programadas que se ejecutan varias semanas después del compromiso inicial. El malware tiene verificaciones explícitas para encontrar configuraciones chinas en su sistema, pero incluso si no es así, la ejecución aún está en progreso.
Esto indica que es una característica inacabada y es lo que se espera que se implementará en iteraciones posteriores de malware. Dicho esto, Rapid7 dijo en abril de 2025 que no solo cambió algunos elementos de la cadena de ejecución de Catena, sino que también identificó un «cambio táctico» que también incorpora características para evitar la detección de antivirus.
En la secuencia de ataque mejorada, el instalador de NSIS lo hace pasar por un archivo de configuración de LetSVPN y ejecuta un comando PowerShell que agrega la exclusión del defensor de Microsoft a todas las unidades (C: \ a z: \). Luego toma una instantánea de los procesos asociados con la seguridad total 360, un producto antivirus desarrollado por el proveedor chino Qihoo 360, y deja cargas útiles adicionales que contienen el ejecutable para ejecutar el proceso y verificar.
El binario está firmado con un certificado caducado emitido por VeriSign y se dice que pertenece a Tencent Technology (Shenzhen). Fue válido de 2018-10-11 a 2020-02-02. La responsabilidad principal del ejecutable es cargar reflexivamente archivos DLL que se conectan al servidor C2 («134.122.204 (.) 11: 18852» o «103.46.185 (.) 44: 443») para descargar y ejecutar Winos 4.0.
«Esta campaña demuestra operaciones de malware bien organizadas y centradas localmente para dejar caer silenciosamente los sencillos de Winos 4.0 utilizando el instalador NSIS troyanizado», dijeron los investigadores.
«Nos estamos inclinando fuertemente hacia el software señuelo firmado con certificados legítimos para evitar cargas útiles de residentes de la memoria, cargas de DLL reflectantes y aumento de alarma. Hay APT de Silver Fox que se dirigen a la duplicación de infraestructura y objetivos basados en el lenguaje, y actividades dirigidas a entornos chinos».
Source link
