Los responsables de una familia de malware conocida como Winos 4.0 (también conocido como ValleyRAT) han ampliado sus objetivos desde China y Taiwán para atacar a Japón y Malasia con otro troyano de acceso remoto (RAT) rastreado como HoldingHands RAT (también conocido como GH0stBins).
«La campaña se basó en correos electrónicos de suplantación de identidad con archivos PDF que contenían enlaces maliciosos incrustados», dijo Pei Han Liao, investigador de FortiGuard Labs de Fortinet, dijo en un informe compartido con The Hacker News. «Estos archivos se hacían pasar por documentos oficiales del Ministerio de Hacienda e incluían numerosos enlaces, además del que incluía Winos 4.0».
Winos 4.0 es una familia de malware que a menudo se propaga a través del phishing y el envenenamiento por optimización de motores de búsqueda (SEO), y dirige a los usuarios desprevenidos a sitios web falsos disfrazados de software popular, como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek, entre otros.
El uso de Winos 4.0 está vinculado principalmente a un grupo de ciberdelincuencia chino «agresivo» conocido como Silver Fox, que también es rastreado como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El mes pasado, Check Point atribuido el actor que amenaza al abuso de un controlador vulnerable previamente desconocido asociado a Watchdog Anti-malware como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD) destinado a deshabilitar el software de seguridad instalado en los hosts comprometidos.
Luego, semanas después, Fortinet arrojar luz en otra campaña que tuvo lugar en agosto de 2025, en la que se aprovechó el envenenamiento por SEO para distribuir HiddenGh0st y los módulos asociados al malware Winos.
Los ataques de Silver Fox contra Taiwán y Japón con HoldingHands RAT también fueron documentadas realizado por la empresa de ciberseguridad y un investigador de seguridad llamado SomeDieYoungzz en junio, cuando los atacantes emplearon correos electrónicos de suplantación de identidad que contenían documentos PDF con trampas explosivas para activar una infección en varias etapas que, en última instancia, desplegaba el troyano.
Vale la pena señalar en esta etapa que tanto WinOS 4.0 como HoldingHands RAT se inspiran en otro malware de RAT denominado Ghost RAT , cuyo código fuente se filtró en 2008 y desde entonces ha sido ampliamente adoptado por varios grupos de hackers chinos.
Fortinet dijo que identificó documentos PDF que se hacían pasar por un borrador de regulación tributaria para Taiwán y que incluían una URL a una página web en japonés («twsww [.] xin/download [.] html»), desde donde se pide a las víctimas que descarguen un archivo ZIP responsable de entregar HoldingHands RAT.
Una investigación más profunda ha descubierto ataques contra China en los que se utilizaron documentos de Microsoft Excel con temas fiscales como señuelos, algunos de los cuales se remontan a marzo de 2024, para distribuir Winos. Sin embargo, las campañas de suplantación de identidad más recientes se han centrado en Malasia, utilizando páginas de destino falsas para engañar a los destinatarios para que descarguen HoldingHands RAT.
El punto de partida es un ejecutable que pretende ser un documento de auditoría de impuestos especiales. Se usa para descargar una DLL malintencionada, que funciona como cargador de códigos de shell para "sw.dat», una carga útil diseñada para ejecutar comprobaciones contra máquinas virtuales (VM), enumerar los procesos activos comparándolos con una lista de productos de seguridad de Avast, Norton y Kaspersky y finalizarlos si los encuentra, escalar los privilegios y cerrar el programador de tareas.
También deja caer varios otros archivos en la carpeta C:\Windows\System32 del sistema -
- svchost.ini, que contiene la dirección virtual relativa (RVA) de Alloc virtual función
- TimeBrokerClient.dll, el TimeBrokerClient.dll legítimo renombrado como BrokerClientCallback.dll.
- msvchost.dat, que contiene el código shell cifrado
- system.dat, que contiene la carga cifrada
- wkscli.dll, una DLL no utilizada
«El programador de tareas es un servicio de Windows alojado en svchost.exe que permite a los usuarios controlar cuándo se ejecutan operaciones o procesos específicos», afirma Fortinet. «La configuración de recuperación del programador de tareas está configurada para reiniciar el servicio un minuto después de que falle de forma predeterminada».
«Cuando se reinicia el programador de tareas, svchost.exe se ejecuta y carga el TimeBrokerClient.dll malicioso. Este mecanismo de activación no requiere el inicio directo de ningún proceso, lo que dificulta la detección basada en el comportamiento».
La función principal de "TimeBrokerClient.dll" es asignar memoria para el código de shell cifrado en "msvchost.dat" invocando la función VirtualAlloc () mediante el valor de RVA especificado en «svchost.ini».» En la siguiente etapa, "msvchost.dat" descifra la carga útil almacenada en "system.dat" para recuperar la carga útil de HoldingHands.
HoldingHands está equipado para conectarse a un servidor remoto, enviarle información del host, enviar una señal de latido cada 60 segundos para mantener la conexión y recibir y procesar comandos emitidos por el atacante en el sistema infectado. Estos comandos permiten al malware capturar información confidencial, ejecutar comandos arbitrarios y descargar cargas útiles adicionales.
Una nueva función es un nuevo comando que permite actualizar la dirección de comando y control (C2) utilizada para las comunicaciones a través de una entrada del Registro de Windows.
La operación Silk Lure apunta a China con ValleyRat
El desarrollo se produce cuando Seqrite Labs detalló una campaña de suplantación de identidad en curso basada en el correo electrónico que ha aprovechado la infraestructura C2 alojada en los EE. UU., dirigida a empresas chinas de los sectores de tecnología financiera, criptomonedas y plataformas de negociación para, en última instancia, ofrecer Winos 4.0. La campaña lleva el nombre en clave de Operation Silk Lure, debido a su presencia relacionada con China.
«Los adversarios elaboran correos electrónicos muy específicos haciéndose pasar por personas que buscan empleo y los envían a los departamentos de recursos humanos y a los equipos de contratación técnica de las empresas chinas», afirman los investigadores Dixit Panchal, Soumen Burma y Kartik Jivani dijo .
«Estos correos electrónicos suelen contener archivos.LNK (acceso directo de Windows) maliciosos incrustados en currículums o documentos de portafolios aparentemente legítimos. Cuando se ejecutan, estos archivos.LNK actúan como cuentagotas e inician la ejecución de cargas útiles que facilitan el compromiso inicial».
El archivo LNK, cuando se lanza, ejecuta código de PowerShell para descargar un currículum en PDF señuelo, mientras coloca sigilosamente tres cargas útiles adicionales en la ubicación "C:\Users\\ <user>AppData\ Roaming\ Security» y lo ejecuta. Los currículos en PDF están localizados y adaptados a objetivos chinos, con el fin de aumentar las probabilidades de éxito del ataque de ingeniería social.
Las cargas útiles eliminadas son las siguientes:
- CreateHiddentask.vbs, que crea una tarea programada para lanzar "keytool.exe" todos los días a las 8:00 a.m.
- keytool.exe, que utiliza la carga lateral de DLL para cargar jli.dll
- jli.dll, una DLL maliciosa que lanza el malware WinOS 4.0 encriptado e incrustado en keytool.exe
«El malware desplegado establece la persistencia en el sistema comprometido e inicia varias operaciones de reconocimiento», dijeron los investigadores. «Estas incluyen capturar capturas de pantalla, recopilar el contenido del portapapeles y filtrar los metadatos críticos del sistema».
El troyano también incluye varias técnicas para evadir la detección, como intentar desinstalar los productos antivirus detectados y terminar las conexiones de red asociadas a programas de seguridad como Kingsoft Antivirus, Huorong o 360 Total Security para interferir con sus funciones habituales.
«Esta información filtrada aumenta significativamente el riesgo de ciberespionaje avanzado, robo de identidad y compromiso de credenciales, lo que representa una grave amenaza tanto para la infraestructura organizacional como para la privacidad individual», agregaron los investigadores.