Los investigadores de seguridad cibernética han revelado una campaña de malware que utiliza instaladores de software falsos disfrazados de herramientas populares como LetSVPN y QQ Browser para entregar el Winos 4.0 estructura.
La campaña, detectada por primera vez por Rapid7 en febrero de 2025, implica el uso de un cargador residente de memoria múltiple llamado Catena.
“Catena utiliza la dialéctica de conmutación de shell y de configuración integrada para organizar cargas efectos como Winos 4.0 completamente en la memoria, evadiendo las herramientas antivirus tradicionales”, dijeron los investigadores de seguridad Anna Širokova e Ivan Feigl. “Una vez instalado, se conecta silenciosamente a los servidores controlados por los atacantes, en su mayoría alojados en Hong Kong, para tomar instrucciones de seguimiento o malware adicional”.
Los ataques, como los que han desplegado Winos 4.0 en el pasado, parecen centrarse específicamente en entornos de deje china, con la compañía de seguridad cibernética llamando a la “planificación cuidadosa y a holgado plazo” por un actor de amenaza muy capaz.
Winos 4.0 (incluso conocido como Valleyrat) fue documentado públicamente por Trend Micro en junio de 2024 como se usa en ataques dirigidos a usuarios de deje china por medio de archivos de instalador de Windows (MSI) para aplicaciones VPN. La actividad se ha atribuido a un clúster de amenazas que rastrea como Void Arachne, que incluso se conoce como Silver Fox.
Las campañas posteriores que distribuyen el malware han diligente las aplicaciones relacionadas con los juegos como herramientas de instalación, estimulantes de velocidad y utilidades de optimización como señuelos para engañar a los usuarios para que la instalen. Otra ola de ataque detallada en febrero de 2025 entidades dirigidas en Taiwán a través de correos electrónicos de phishing que pretendían ser de la Oficina Doméstico de Impuestos.
Construido sobre los cimientos de un troyano de golpe remoto conocido llamado GH0ST RAT, Winos 4.0 es un ámbito receloso reformista escrito en C ++ que utiliza un sistema basado en complementos para cosechar datos, proporcionar golpe remoto de shell y difundir ataques distribuidos de denegación de servicio (DDoS).
 |
| Flujo de infección basado en Qqbrowser observado en febrero de 2025 |
Rapid7 dijo que todos los artefactos marcados en febrero de 2025 se basaron en los instaladores de NSIS agrupados con aplicaciones de señuelo firmadas, SHellcode incrustado en archivos “.ini” e inyección reflexiva de DLL para suministrar encubierte la persistencia en hosts infectados y evitar la detección. Toda la cautiverio de infecciones ha recibido el apodo Catena.
“La campaña ha estado activa hasta ahora durante 2025, mostrando una cautiverio de infección consistente con algunos ajustes tácticos, apuntando a un actor de amenaza capaz y adaptativa”, dijeron los investigadores.
El punto de partida es un instalador de NSIS troyanizado que se hace suceder por un instalador para el navegador QQ, un navegador web basado en Chromium desarrollado por Tencent, que está diseñado para ofrecer WINOS 4.0 usando Catena. El malware se comunica con la infraestructura de comando y control (C2) codificada sobre el puerto TCP 18856 y el puerto HTTPS 443.
 |
| Desde el instalador de Letsvpn hasta los Winos 4.0 en abril de 2025 |
La persistencia en el host se logra registrando tareas programadas que se ejecutan semanas luego del compromiso original. Si aceptablemente el malware presenta una demostración explícita para agenciárselas configuraciones de idioma chino en el sistema, aún continúa con la ejecución, incluso si ese no es el caso.
Esto indica que es una característica inacabada y poco que se paciencia implementarse en iteraciones posteriores del malware. Dicho esto, Rapid7 dijo que identificó en abril de 2025 un “cambio táctico” que no solo cambió algunos de los instrumentos de la cautiverio de ejecución de Catena, sino que incluso incorporó características para eludir la detección de antivirus.
En la secuencia de ataque renovado, el instalador de NSIS se disfraza de un archivo de configuración para LetSVPN y ejecuta un comando PowerShell que agrega exclusiones de Microsoft Defender para todas las unidades (C: a z: ). Luego deja caer cargas efectos adicionales, incluido un ejecutable que toma una instantánea de procesos de ejecución y verifica los procesos relacionados con la seguridad total 360, un producto antivirus desarrollado por el proveedor chino Qihoo 360.
El binario está firmado con un certificado caducado emitido por VeriSign y supuestamente pertenece a Tencent Technology (Shenzhen). Fue válido de 2018-10-11 a 2020-02-02. La responsabilidad principal del ejecutable es cargar reflexivamente un archivo DLL que, a su vez, se conecta a un servidor C2 (“134.122.204 (.) 11: 18852” o “103.46.185 (.) 44: 443”) para descargar y ejecutar Winos 4.0.
“Esta campaña muestra una operación de malware aceptablemente organizada y enfocada regionalmente utilizando instaladores de NSIS troyanizados para dejar caer silenciosamente el stager de Winos 4.0”, dijeron los investigadores.
“Se inclina fuertemente en las cargas efectos residentes en la memoria, la carga de DLL reflectante y el software señuelo firmado con certificados legítimos para evitar aumentar las alarmas. Las superposiciones de infraestructura y la pista de orientación basada en el idioma en los lazos con Silver Fox APT, con actividad probablemente dirigida a entornos de deje china”.
