Los actores de amenazas detrás de una comunidad de malware conocida como Winos 4.0 (todavía conocido como ValleyRAT) han ampliado su resonancia desde China y Taiwán para apuntar a Japón y Malasia con otro troyano de ataque remoto (RAT) rastreado como HoldingHands RAT (todavía conocido como Gh0stBins).
“La campaña se basó en correos electrónicos de phishing con archivos PDF que contenían enlaces maliciosos incrustados”, dijo Pei Han Liao, investigador de FortiGuard Labs de Fortinet, en un crónica compartido con The Hacker News. “Estos archivos se hicieron ocurrir por documentos oficiales del Servicio de Finanzas e incluían numerosos enlaces encima del que entregaba Winos 4.0.”
Winos 4.0 es una comunidad de malware que a menudo se propaga mediante phishing y envenenamiento por optimización de motores de búsqueda (SEO), dirigiendo a usuarios desprevenidos a sitios web falsos que se hacen ocurrir por software popular como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek, entre otros.
El uso de Winos 4.0 está vinculado principalmente a un orden de cibercrimen chino “agresivo” conocido como Silver Fox, al que todavía se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El mes pasado, Check Point atribuyó al actor de amenazas al despotismo de un regulador desvalido previamente desconocido asociado con WatchDog Anti-malware como parte de un ataque Bring Your Own Delicado Driver (BYOVD) destinado a deshabilitar el software de seguridad instalado en hosts comprometidos.
Luego, semanas posteriormente, Fortinet arrojó luz sobre otra campaña que tuvo empleo en agosto de 2025, aprovechando el envenenamiento de SEO para distribuir HiddenGh0st y módulos asociados con el malware Winos.
El ataque de Silver Fox a Taiwán y Japón con HoldingHands RAT todavía fue documentado por la compañía de ciberseguridad y un investigador de seguridad llamado somedieyoungZZ en junio, y los atacantes emplearon correos electrónicos de phishing que contenían documentos PDF con trampas explosivas para activar una infección de múltiples etapas que finalmente implementa el troyano.
Vale la pena señalar en esta etapa que tanto Winos 4.0 como HoldingHands RAT están inspirados en otro malware RAT denominado Gh0st RAT, cuyo código fuente se filtró en 2008 y desde entonces ha sido ampliamente adoptivo por varios grupos de hackers chinos.
Fortinet dijo que identificó documentos PDF que se hacían ocurrir por un boceto de regulación fiscal para Taiwán que incluía una URL a una página web en japonés (“twsww(.)xin/download(.)html”), desde donde se solicita a las víctimas que descarguen un archivo ZIP responsable de entregar HoldingHands RAT.
Una investigación más profunda ha descubierto ataques dirigidos a China que han utilizado documentos de Microsoft Excel con temas fiscales como señuelos, algunos de los cuales se remontan a marzo de 2024, para distribuir Winos. Sin retención, las recientes campañas de phishing han cambiado su enfoque a Malasia, utilizando páginas de destino falsas para engañar a los destinatarios para que descarguen HoldingHands RAT.
El punto de partida es un ejecutable que pretende ser un documento de auditoría de impuestos especiales. Se utiliza para descargar una DLL maliciosa, que funciona como un cargador de shellcode para “sw.dat”, una carga útil diseñada para ejecutar comprobaciones de máquinas antivirtuales (VM), enumerar procesos activos en una tira de productos de seguridad de Avast, Norton y Kaspersky, y finalizarlos si se encuentran, progresar privilegios y finalizar el Programador de tareas.
Todavía coloca varios otros archivos en la carpeta C:WindowsSystem32 del sistema.
- svchost.ini, que contiene la dirección supuesto relativa (RVA) de la función VirtualAlloc
- TimeBrokerClient.dll, el TimeBrokerClient.dll auténtico renombrado como BrokerClientCallback.dll.
- msvchost.dat, que contiene el código shell enigmático
- system.dat, que contiene la carga útil cifrada
- wkscli.dll, una DLL no utilizada
“El Programador de tareas es un servicio de Windows alojado en svchost.exe que permite a los usuarios controlar cuándo se ejecutan operaciones o procesos específicos”, dijo Fortinet. “La configuración de recuperación del Programador de tareas está configurada para reiniciar el servicio un minuto posteriormente de que defecto de forma predeterminada”.
“Cuando se reinicia el Programador de tareas, se ejecuta svchost.exe y carga el TimeBrokerClient.dll receloso. Este mecanismo de activación no requiere el inicio directo de ningún proceso, lo que hace que la detección basada en el comportamiento sea más desafiante”.
La función principal de “TimeBrokerClient.dll” es asignar memoria para el código shell enigmático adentro de “msvchost.dat” invocando la función VirtualAlloc() usando el valencia RVA especificado en “svchost.ini”. En la subsiguiente etapa, “msvchost.dat” descifra la carga útil almacenada en “system.dat” para recuperar la carga útil de HoldingHands.
HoldingHands está equipado para conectarse a un servidor remoto, enviarle información del host, expedir una señal de palpitación cada 60 segundos para perseverar la conexión y aceptar y procesar comandos emitidos por el atacante en el sistema infectado. Estos comandos permiten que el malware capture información confidencial, ejecute comandos arbitrarios y descargue cargas bártulos adicionales.
Una nueva característica agregada es un nuevo comando que permite modernizar la dirección de comando y control (C2) utilizada para las comunicaciones a través de una entrada del Registro de Windows.
La operación Silk Lure apunta a China con ValleyRAT
El crecimiento se produce cuando Seqrite Labs detalló una campaña de phishing basada en correo electrónico en curso que ha laborioso la infraestructura C2 alojada en los EE. UU., dirigida a empresas chinas en los sectores de tecnología financiera, criptomonedas y plataformas comerciales para, en última instancia, ofrecer Winos 4.0. La campaña ha recibido el nombre en código Operación Señuelo de Seda, correcto a su huella relacionada con China.
“Los adversarios elaboran correos electrónicos muy específicos haciéndose ocurrir por solicitantes de empleo y los envían a departamentos de capital humanos y equipos de contratación técnica adentro de empresas chinas”, dijeron los investigadores Dixit Panchal, Soumen Burma y Kartik Jivani.
“Estos correos electrónicos a menudo contienen archivos .LNK (ataque directo de Windows) maliciosos incrustados en currículums o documentos de cartera aparentemente legítimos. Cuando se ejecutan, estos archivos .LNK actúan como goteros, iniciando la ejecución de cargas bártulos que facilitan el compromiso original”.
El archivo LNK, cuando se inicia, ejecuta código PowerShell para descargar un currículum en PDF señuelo, mientras deja caer sigilosamente tres cargas bártulos adicionales en “C:Users
Las cargas bártulos caídas son las siguientes:
- CreateHiddenTask.vbs, que crea una tarea programada para iniciar “keytool.exe” todos los días a las 8:00 am
- keytool.exe, que utiliza carga fronterizo de DLL para cargar jli.dll
- jli.dll, una DLL maliciosa que aguijada el malware Winos 4.0 enigmático e incrustado en keytool.exe
“El malware implementado establece persistencia adentro del sistema comprometido e inicia varias operaciones de examen”, dijeron los investigadores. “Estos incluyen capturar capturas de pantalla, resumir contenidos del portapapeles y extraer metadatos críticos del sistema”.
El troyano todavía viene con varias técnicas para esquivar la detección, incluido intentar desinstalar productos antivirus detectados y finalizar conexiones de red asociadas con programas de seguridad como Kingsoft Antivirus, Huorong o 360 Total Security para interferir con sus funciones habituales.
“Esta información exfiltrada eleva significativamente el aventura de ciberespionaje reformista, robo de identidad y compromiso de credenciales, lo que representa una bajo amenaza tanto para la infraestructura organizacional como para la privacidad individual”, agregaron los investigadores.
