Los atacantes detrás de la familia de malware conocida como Winos 4.0 (también conocido como ValleyRAT) han ampliado sus objetivos desde China y Taiwán hasta Japón y Malasia utilizando otro troyano de acceso remoto (RAT) rastreado como HoldingHands RAT (también conocido como Gh0stBins).
«Esta campaña se basó en correos electrónicos de phishing que contenían archivos PDF con enlaces maliciosos incrustados», dijo Pei Han Liao, investigador de FortiGuard Labs de Fortinet, en un informe compartido con The Hacker News. «Estos archivos pretendían ser documentos oficiales del Departamento del Tesoro y contenían numerosos enlaces más allá del que distribuye Winos 4.0».
Winos 4.0 es una familia de malware que a menudo se propaga mediante phishing y envenenamiento por optimización de motores de búsqueda (SEO), redirigiendo a usuarios desprevenidos a sitios web falsos disfrazados de software popular como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek.
El uso de Winos 4.0 está asociado principalmente con un grupo cibercriminal chino «agresivo» conocido como Silver Fox. A este grupo también se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El mes pasado, Check Point creía que los atacantes explotaron un controlador vulnerable previamente desconocido asociado con WatchDog Anti-malware como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD) destinado a deshabilitar el software de seguridad instalado en los hosts comprometidos.
Unas semanas más tarde, Fortinet destacó otra campaña en agosto de 2025 que aprovechó el envenenamiento de SEO para distribuir módulos relacionados con el malware HiddenGh0st y Winos.
El ataque de Silver Fox a Taiwán y Japón con HoldingHands RAT fue documentado en junio por una empresa de ciberseguridad y un investigador de seguridad llamado somedieyoungZZ, en el que los atacantes utilizaron un correo electrónico de phishing que contenía un documento PDF con trampa explosiva para activar una infección de varias etapas que finalmente implementó el troyano.
Vale la pena señalar en este punto que tanto Winos 4.0 como HoldingHands RAT están inspirados en otro malware RAT llamado Gh0st RAT, cuyo código fuente se filtró en 2008 y desde entonces ha sido ampliamente adoptado por varios grupos de hackers en China.
Fortinet anunció que ha identificado un documento PDF que pretende ser un proyecto de regulación fiscal para Taiwán. El documento contiene una URL a una página web japonesa («twsww(.)xin/download(.)html») que solicita a las víctimas que descarguen un archivo ZIP que entrega el HoldingHands RAT.
Una investigación más profunda reveló un ataque dirigido a China utilizando un documento de Microsoft Excel con temas fiscales como señuelo para distribuir Winos. Algunos de ellos se remontan a marzo de 2024. Sin embargo, las recientes campañas de phishing se centraron en Malasia y utilizaron páginas de destino falsas para engañar a los destinatarios para que descargaran HoldingHands RAT.
El punto de partida es un archivo ejecutable que pretende ser un documento de auditoría especial. Esto se utiliza para descargar archivos DLL maliciosos. Esta DLL actúa como un cargador de código shell para ‘sw.dat’. La carga útil está diseñada para realizar comprobaciones anti-máquinas virtuales (VM), enumerar procesos activos en una lista de productos de seguridad de Avast, Norton y Kaspersky y finalizarlos si se encuentran, elevando privilegios y finalizando el Programador de tareas.
También colocará algunos otros archivos en la carpeta C:\Windows\System32 de su sistema.
svchost.ini contiene la dirección virtual relativa (RVA) para la función VirtualAlloc. TimeBrokerClient.dll, el TimeBrokerClient.dll oficial ha sido renombrado a BrokerClientCallback.dll. msvchost.dat: contiene código shell cifrado system.dat: contiene carga útil cifrada wkscli.dll (DLL no utilizada)
«El Programador de tareas es un servicio de Windows alojado en svchost.exe que permite a los usuarios controlar cuándo se ejecutan ciertas operaciones y procesos», dijo Fortinet. «La configuración de recuperación del Programador de tareas está configurada de forma predeterminada para reiniciar un servicio un minuto después de que falla».
«Cuando se reinicia el Programador de tareas, svchost.exe se ejecuta y carga el TimeBrokerClient.dll malicioso. Este mecanismo de activación no requiere iniciar el proceso directamente, lo que dificulta la detección basada en el comportamiento».
La función principal de «TimeBrokerClient.dll» es asignar memoria para el código shell cifrado en «msvchost.dat» llamando a la función VirtualAlloc() usando el valor RVA especificado en «svchost.ini». En la siguiente etapa, ‘msvchost.dat’ descifra la carga útil almacenada en ‘system.dat’ y recupera la carga útil de HoldingHands.
HoldingHands tiene la capacidad de conectarse a un servidor remoto, enviar información del host al servidor remoto, enviar una señal de latido cada 60 segundos para mantener la conexión y recibir y procesar comandos emitidos por el atacante en el sistema infectado. Estos comandos permiten que el malware obtenga información confidencial, ejecute comandos arbitrarios y descargue cargas útiles adicionales.
La nueva característica agregada es un nuevo comando que le permite actualizar la dirección de comando y control (C2) utilizada para la comunicación a través de las entradas del registro de Windows.
Operación Silk Lure dirigida a China con ValleyRAT
El desarrollo se produce cuando Seqrite Labs revela detalles de una campaña de phishing en curso basada en correo electrónico que aprovecha la infraestructura C2 alojada en los Estados Unidos, dirigida a empresas chinas en el espacio de plataformas de comercio, criptomonedas y tecnología financiera para, en última instancia, ofrecer Winos 4.0. La operación recibió el nombre en código «Operación Señuelo de Seda» debido a sus actividades relacionadas con China.
Los investigadores Dixit Panchal, Somen Birma y Kartik Jivani dijeron: «Los atacantes amenazantes están creando correos electrónicos muy específicos haciéndose pasar por solicitantes de empleo y enviándolos a recursos humanos y equipos de reclutamiento técnico dentro de las empresas chinas».
«Estos correos electrónicos a menudo contienen archivos .LNK (atajos de Windows) maliciosos incrustados en currículums o documentos de cartera aparentemente legítimos. Una vez ejecutados, estos archivos .LNK actúan como cuentagotas y comienzan a ejecutar la carga útil que facilita el compromiso inicial».
Una vez iniciado, el archivo LNK ejecuta código PowerShell para descargar un currículum en PDF señuelo mientras coloca en secreto tres cargas útiles adicionales en la ubicación «C:\Users\\AppData\Roaming\Security» para su ejecución. Los currículums en PDF están localizados y adaptados a objetivos chinos para aumentar las posibilidades de un ataque de ingeniería social exitoso.
La carga útil caída es:
CreateHiddenTask.vbs: crea una tarea programada para iniciar «keytool.exe» todos los días a las 8 a. m. keytool.exe: carga jli.dll usando la descarga de DLL jli.dll: DLL malicioso que lanza el malware Winos 4.0 cifrado e incrustado en keytool.exe
«El malware implementado establece persistencia dentro del sistema comprometido e inicia diversas actividades de reconocimiento», dijeron los investigadores. «Esto incluye capturar capturas de pantalla, recopilar contenidos del portapapeles y extraer metadatos críticos del sistema».
El caballo de Troya también incorpora varias técnicas para evadir la detección, incluido intentar desinstalar productos antivirus detectados y finalizar conexiones de red asociadas con programas de seguridad como Kingsoft Antivirus, Huorong y 360 Total Security para interrumpir su funcionamiento normal.
«Esta información filtrada aumenta significativamente el riesgo de ciberespionaje avanzado, robo de identidad y compromiso de credenciales, lo que plantea serias amenazas tanto a la infraestructura organizacional como a la privacidad individual», agregaron los investigadores.
Source link
