I ricercatori di Cybersecurity hanno rivelato una campagna di malware che utilizza installatori di software program falsi mascherati da strumenti popolari come leTSVPN e QQ browser per consegnare il Winos 4.0 struttura.
La campagna, rilevata per la prima volta da Rapid7 nel febbraio 2025, prevede l’uso di un caricatore multi-stage, residente a memoria chiamato Catena.
“Catena utilizza il code incorporato e la configurazione della logica di commutazione su payloads come Winos 4.0 interamente in memoria, sfuggendo agli strumenti antivirus tradizionali”, i ricercatori della sicurezza Anna Širokova e Ivan Feigl disse. “Una volta installato, si collega tranquillamente ai server controllati dagli attaccanti, per lo più ospitati a Hong Kong, per ricevere istruzioni di follow-up o malware aggiuntivo.”
Gli attacchi, come quelli che hanno distribuito Winos 4.0 in passato, sembrano concentrarsi specificamente su ambienti di lingua cinese, con la società di sicurezza informatica che chiama la “pianificazione attenta a lungo termine” da parte di un attore di minaccia molto capace.
Winos 4.0 (aka Valleyrat) period prima documentata pubblicamente Di Pattern Micro nel giugno 2024 come utilizzato negli attacchi destinati agli utenti di lingua cinese mediante file di installazione di Home windows (MSI) dannosi per le app VPN. L’attività è stata attribuita a un cluster di minacce che tiene traccia di vuoto Arachne, che viene anche definito Silver Fox.
Le campagne successive che distribuiscono il malware hanno sfruttato Applicazioni relative ai giochi come strumenti di installazione, booster di velocità e utility di ottimizzazione come esche per indurre gli utenti a installarlo. Un’altra ondata di attacco dettagliato Nel febbraio 2025 entità mirate a Taiwan tramite e -mail di phishing che pretendevano di essere dall’Ufficio fiscale nazionale.
Costruito in cima alle basi di un Trojan di accesso remoto noto chiamato GH0st Rat, Winos 4.0 è un framework dannoso avanzato scritto in C ++ che utilizza un sistema basato su plug-in per raccogliere dati, fornire accesso a guscio remoto e lanciare attacchi di negazione distribuita del servizio (DDO).
 |
| Flusso di infezione a base di QQBrowser osservato nel febbraio 2025 |
Rapid7 ha affermato che tutti gli artefatti contrassegnati nel febbraio 2025 si sono basati sugli installatori di NSIS in bundle con app di esca firmate, con shellcode incorporati in file “.ini” e iniezione di DLL riflettente per mantenere segretamente la persistenza sugli host infetti ed evitare il rilevamento. L’intera catena di infezione è stata information il moniker Catena.
“La campagna è stata finora attiva nel corso del 2025, mostrando una catena di infezione coerente con alcuni aggiustamenti tattici, indicando un attore capace e adattivo delle minacce”, hanno affermato i ricercatori.
Il punto di partenza è un trojanizzato NSIS Installatore che impersona un installatore per il browser QQ, un browser Net basato su Chromium sviluppato da Tencent, progettato per consegnare Winos 4.0 utilizzando Catena. Il malware comunica con infrastruttura di comando e controllo (C2) con codice duro sulla porta TCP 18856 e la porta HTTPS 443.
 |
| Dall’installatore di leTSVPN a Winos 4.0 nell’aprile 2025 |
La persistenza sull’host si ottiene registrando le attività programmate che vengono eseguite settimane dopo il compromesso iniziale. Mentre il malware presenta un controllo esplicito per cercare impostazioni di lingua cinese sul sistema, procede comunque con l’esecuzione anche se non è così.
Ciò indica che è una caratteristica incompiuta e qualcosa che dovrebbe essere implementato nelle successive iterazioni del malware. Detto questo, Rapid7 ha affermato di aver identificato nell’aprile 2025 un “turno tattico” che non solo ha cambiato alcuni elementi della catena di esecuzione Catena, ma ha anche incorporato le caratteristiche per eludere il rilevamento degli antivirus.
Nella sequenza di attacchi rinnovati, il programma di installazione NSIS si maschera come file di configurazione per leTSVPN ed esegue un comando PowerShell che aggiunge Esclusioni di Microsoft Defender Per tutte le unità (c: a z: ). Quindi abbandona ulteriori payload, incluso un eseguibile che prende un’istantanea di processi di esecuzione e controlli per i processi relativi a 360 sicurezza totale, un prodotto antivirus sviluppato dal fornitore cinese Qihoo 360.
Il binario è firmato con un certificato scaduto emesso da VeriSign e presumibilmente appartiene alla tecnologia Tencent (Shenzhen). È stato valido dal 2018-10-11 al 2020-02-02. La responsabilità principale dell’eseguibile è quella di caricare riflessivamente un file DLL che, a sua volta, si collega a un server C2 (“134.122.204 (.) 11: 18852” o “103.46.185 (.) 44: 443”) per scaricare ed eseguire Winos 4.0.
“Questa campagna mostra un’operazione di malware ben organizzata e focalizzata a livello regionale utilizzando gli installatori NSIS trojanizzati per abbandonare silenziosamente lo stager di Winos 4.0”, hanno affermato i ricercatori.
“Si appoggia fortemente ai payload residenti in memoria, al caricamento della DLL riflettente e al software program di esca firmato con certificati legittimi per evitare di sollevare allarmi. Si sovrappose infrastrutturali e concentrating on basato sul linguaggio sui legami con Silver Fox Apt, con attività probabilmente rivolte advert ambienti di lingua cinese.”
