Los actores de amenazas detrás de una comunidad de malware conocida como Winos 4.0 (igualmente conocido como ValleyRAT) han ampliado su difusión desde China y Taiwán para apuntar a Japón y Malasia con otro troyano de paso remoto (RAT) rastreado como HoldingHands RAT (igualmente conocido como Gh0stBins).
«La campaña se basó en correos electrónicos de phishing con archivos PDF que contenían enlaces maliciosos incrustados», dijo Pei Han Liao, investigador de FortiGuard Labs de Fortinet, en un referencia compartido con The Hacker News. «Estos archivos se hicieron suceder por documentos oficiales del Servicio de Finanzas e incluían numerosos enlaces adicionalmente del que entregaba Winos 4.0.»
Winos 4.0 es una comunidad de malware que a menudo se propaga mediante phishing y envenenamiento por optimización de motores de búsqueda (SEO), dirigiendo a usuarios desprevenidos a sitios web falsos que se hacen suceder por software popular como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek, entre otros.
El uso de Winos 4.0 está vinculado principalmente a un colección de cibercrimen chino «agresivo» conocido como Silver Fox, al que igualmente se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El mes pasado, Check Point atribuyó al actor de amenazas al alcaldada de un regulador relajado previamente desconocido asociado con WatchDog Anti-malware como parte de un ataque Bring Your Own Pasivo Driver (BYOVD) destinado a deshabilitar el software de seguridad instalado en hosts comprometidos.
Luego, semanas posteriormente, Fortinet arrojó luz sobre otra campaña que tuvo puesto en agosto de 2025, aprovechando el envenenamiento de SEO para distribuir HiddenGh0st y módulos asociados con el malware Winos.
El ataque de Silver Fox a Taiwán y Japón con HoldingHands RAT igualmente fue documentado por la compañía de ciberseguridad y un investigador de seguridad llamado somedieyoungZZ en junio, y los atacantes emplearon correos electrónicos de phishing que contenían documentos PDF con trampas explosivas para activar una infección de múltiples etapas que finalmente implementa el troyano.
Vale la pena señalar en esta etapa que tanto Winos 4.0 como HoldingHands RAT están inspirados en otro malware RAT denominado Gh0st RAT, cuyo código fuente se filtró en 2008 y desde entonces ha sido ampliamente adoptivo por varios grupos de hackers chinos.
Fortinet dijo que identificó documentos PDF que se hacían suceder por un dechado de regulación fiscal para Taiwán que incluía una URL a una página web en japonés («twsww(.)xin/download(.)html»), desde donde se solicita a las víctimas que descarguen un archivo ZIP responsable de entregar HoldingHands RAT.
Una investigación más profunda ha descubierto ataques dirigidos a China que han utilizado documentos de Microsoft Excel con temas fiscales como señuelos, algunos de los cuales se remontan a marzo de 2024, para distribuir Winos. Sin requisa, las recientes campañas de phishing han cambiado su enfoque a Malasia, utilizando páginas de destino falsas para engañar a los destinatarios para que descarguen HoldingHands RAT.
El punto de partida es un ejecutable que pretende ser un documento de auditoría de impuestos especiales. Se utiliza para descargar una DLL maliciosa, que funciona como un cargador de shellcode para «sw.dat», una carga útil diseñada para ejecutar comprobaciones de máquinas antivirtuales (VM), enumerar procesos activos en una relación de productos de seguridad de Avast, Norton y Kaspersky, y finalizarlos si se encuentran, ascender privilegios y finalizar el Programador de tareas.
Igualmente coloca varios otros archivos en la carpeta C:WindowsSystem32 del sistema.
- svchost.ini, que contiene la dirección aparente relativa (RVA) de la función VirtualAlloc
- TimeBrokerClient.dll, el TimeBrokerClient.dll seguro renombrado como BrokerClientCallback.dll.
- msvchost.dat, que contiene el código shell criptográfico
- system.dat, que contiene la carga útil cifrada
- wkscli.dll, una DLL no utilizada
«El Programador de tareas es un servicio de Windows alojado en svchost.exe que permite a los usuarios controlar cuándo se ejecutan operaciones o procesos específicos», dijo Fortinet. «La configuración de recuperación del Programador de tareas está configurada para reiniciar el servicio un minuto posteriormente de que descompostura de forma predeterminada».
«Cuando se reinicia el Programador de tareas, se ejecuta svchost.exe y carga el TimeBrokerClient.dll ladino. Este mecanismo de activación no requiere el inicio directo de ningún proceso, lo que hace que la detección basada en el comportamiento sea más desafiante».
La función principal de «TimeBrokerClient.dll» es asignar memoria para el código shell criptográfico en el interior de «msvchost.dat» invocando la función VirtualAlloc() usando el valía RVA especificado en «svchost.ini». En la próximo etapa, «msvchost.dat» descifra la carga útil almacenada en «system.dat» para recuperar la carga útil de HoldingHands.
HoldingHands está equipado para conectarse a un servidor remoto, enviarle información del host, expedir una señal de diástole cada 60 segundos para apoyar la conexión y aceptar y procesar comandos emitidos por el atacante en el sistema infectado. Estos comandos permiten que el malware capture información confidencial, ejecute comandos arbitrarios y descargue cargas bártulos adicionales.
Una nueva característica agregada es un nuevo comando que permite modernizar la dirección de comando y control (C2) utilizada para las comunicaciones a través de una entrada del Registro de Windows.
La operación Silk Lure apunta a China con ValleyRAT
El crecimiento se produce cuando Seqrite Labs detalló una campaña de phishing basada en correo electrónico en curso que ha diligente la infraestructura C2 alojada en los EE. UU., dirigida a empresas chinas en los sectores de tecnología financiera, criptomonedas y plataformas comerciales para, en última instancia, ofrecer Winos 4.0. La campaña ha recibido el nombre en código Operación Señuelo de Seda, conveniente a su huella relacionada con China.
«Los adversarios elaboran correos electrónicos muy específicos haciéndose suceder por solicitantes de empleo y los envían a departamentos de capital humanos y equipos de contratación técnica en el interior de empresas chinas», dijeron los investigadores Dixit Panchal, Soumen Burma y Kartik Jivani.
«Estos correos electrónicos a menudo contienen archivos .LNK (paso directo de Windows) maliciosos incrustados en currículums o documentos de cartera aparentemente legítimos. Cuando se ejecutan, estos archivos .LNK actúan como goteros, iniciando la ejecución de cargas bártulos que facilitan el compromiso original».
El archivo LNK, cuando se inicia, ejecuta código PowerShell para descargar un currículum en PDF señuelo, mientras deja caer sigilosamente tres cargas bártulos adicionales en «C:Users
Las cargas bártulos caídas son las siguientes:
- CreateHiddenTask.vbs, que crea una tarea programada para iniciar «keytool.exe» todos los días a las 8:00 am
- keytool.exe, que utiliza carga contiguo de DLL para cargar jli.dll
- jli.dll, una DLL maliciosa que aguijada el malware Winos 4.0 criptográfico e incrustado en keytool.exe
«El malware implementado establece persistencia en el interior del sistema comprometido e inicia varias operaciones de agradecimiento», dijeron los investigadores. «Estos incluyen capturar capturas de pantalla, compendiar contenidos del portapapeles y extraer metadatos críticos del sistema».
El troyano igualmente viene con varias técnicas para sortear la detección, incluido intentar desinstalar productos antivirus detectados y finalizar conexiones de red asociadas con programas de seguridad como Kingsoft Antivirus, Huorong o 360 Total Security para interferir con sus funciones habituales.
«Esta información exfiltrada eleva significativamente el peligro de ciberespionaje renovador, robo de identidad y compromiso de credenciales, lo que representa una llano amenaza tanto para la infraestructura organizacional como para la privacidad individual», agregaron los investigadores.
