Los actores de amenazas detrás de una familia de malware conocida como Winos 4.0 (también conocido como ValleyRAT) han ampliado su alcance desde China y Taiwán para apuntar a Japón y Malasia con otro troyano de acceso remoto (RAT) rastreado como HoldingHands RAT (también conocido como Gh0stBins).
«La campaña se basó en correos electrónicos de phishing con archivos PDF que contenían enlaces maliciosos incrustados», dijo Pei Han Liao, investigador de FortiGuard Labs de Fortinet, en un informe compartido con The Hacker News. «Estos archivos se hicieron pasar por documentos oficiales del Ministerio de Finanzas e incluían numerosos enlaces además del que entregaba Winos 4.0.»
Winos 4.0 es una familia de malware que a menudo se propaga mediante phishing y envenenamiento por optimización de motores de búsqueda (SEO), dirigiendo a usuarios desprevenidos a sitios web falsos que se hacen pasar por software popular como Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek, entre otros.
El uso de Winos 4.0 está vinculado principalmente a un grupo de cibercrimen chino «agresivo» conocido como Silver Fox, al que también se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.
El mes pasado, Check Point atribuyó al actor de amenazas al abuso de un controlador vulnerable previamente desconocido asociado con WatchDog Anti-malware como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD) destinado a deshabilitar el software de seguridad instalado en hosts comprometidos.
Luego, semanas después, Fortinet arrojó luz sobre otra campaña que tuvo lugar en agosto de 2025, aprovechando el envenenamiento de SEO para distribuir HiddenGh0st y módulos asociados con el malware Winos.
El ataque de Silver Fox a Taiwán y Japón con HoldingHands RAT también fue documentado por la compañía de ciberseguridad y un investigador de seguridad llamado somedieyoungZZ en junio, y los atacantes emplearon correos electrónicos de phishing que contenían documentos PDF con trampas explosivas para activar una infección de múltiples etapas que finalmente implementa el troyano.
Vale la pena señalar en esta etapa que tanto Winos 4.0 como HoldingHands RAT están inspirados en otro malware RAT denominado Gh0st RAT, cuyo código fuente se filtró en 2008 y desde entonces ha sido ampliamente adoptado por varios grupos de hackers chinos.
Fortinet dijo que identificó documentos PDF que se hacían pasar por un borrador de regulación fiscal para Taiwán que incluía una URL a una página web en japonés («twsww(.)xin/download(.)html»), desde donde se solicita a las víctimas que descarguen un archivo ZIP responsable de entregar HoldingHands RAT.
Una investigación más profunda ha descubierto ataques dirigidos a China que han utilizado documentos de Microsoft Excel con temas fiscales como señuelos, algunos de los cuales se remontan a marzo de 2024, para distribuir Winos. Sin embargo, las recientes campañas de phishing han cambiado su enfoque a Malasia, utilizando páginas de destino falsas para engañar a los destinatarios para que descarguen HoldingHands RAT.
El punto de partida es un ejecutable que pretende ser un documento de auditoría de impuestos especiales. Se utiliza para descargar una DLL maliciosa, que funciona como un cargador de shellcode para «sw.dat», una carga útil diseñada para ejecutar comprobaciones de máquinas antivirtuales (VM), enumerar procesos activos en una lista de productos de seguridad de Avast, Norton y Kaspersky, y finalizarlos si se encuentran, escalar privilegios y finalizar el Programador de tareas.
También coloca varios otros archivos en la carpeta C:WindowsSystem32 del sistema.
- svchost.ini, que contiene la dirección virtual relativa (RVA) de la función VirtualAlloc
- TimeBrokerClient.dll, el TimeBrokerClient.dll legítimo renombrado como BrokerClientCallback.dll.
- msvchost.dat, que contiene el código shell cifrado
- system.dat, que contiene la carga útil cifrada
- wkscli.dll, una DLL no utilizada
«El Programador de tareas es un servicio de Windows alojado en svchost.exe que permite a los usuarios controlar cuándo se ejecutan operaciones o procesos específicos», dijo Fortinet. «La configuración de recuperación del Programador de tareas está configurada para reiniciar el servicio un minuto después de que falla de forma predeterminada».
«Cuando se reinicia el Programador de tareas, se ejecuta svchost.exe y carga el TimeBrokerClient.dll malicioso. Este mecanismo de activación no requiere el inicio directo de ningún proceso, lo que hace que la detección basada en el comportamiento sea más desafiante».
La función principal de «TimeBrokerClient.dll» es asignar memoria para el código shell cifrado dentro de «msvchost.dat» invocando la función VirtualAlloc() usando el valor RVA especificado en «svchost.ini». En la siguiente etapa, «msvchost.dat» descifra la carga útil almacenada en «system.dat» para recuperar la carga útil de HoldingHands.
HoldingHands está equipado para conectarse a un servidor remoto, enviarle información del host, enviar una señal de latido cada 60 segundos para mantener la conexión y recibir y procesar comandos emitidos por el atacante en el sistema infectado. Estos comandos permiten que el malware capture información confidencial, ejecute comandos arbitrarios y descargue cargas útiles adicionales.
Una nueva característica agregada es un nuevo comando que permite actualizar la dirección de comando y control (C2) utilizada para las comunicaciones a través de una entrada del Registro de Windows.
La operación Silk Lure apunta a China con ValleyRAT
El desarrollo se produce cuando Seqrite Labs detalló una campaña de phishing basada en correo electrónico en curso que ha aprovechado la infraestructura C2 alojada en los EE. UU., dirigida a empresas chinas en los sectores de tecnología financiera, criptomonedas y plataformas comerciales para, en última instancia, ofrecer Winos 4.0. La campaña ha recibido el nombre en código Operación Señuelo de Seda, debido a su huella relacionada con China.
«Los adversarios elaboran correos electrónicos muy específicos haciéndose pasar por solicitantes de empleo y los envían a departamentos de recursos humanos y equipos de contratación técnica dentro de empresas chinas», dijeron los investigadores Dixit Panchal, Soumen Burma y Kartik Jivani.
«Estos correos electrónicos a menudo contienen archivos .LNK (acceso directo de Windows) maliciosos incrustados en currículums o documentos de cartera aparentemente legítimos. Cuando se ejecutan, estos archivos .LNK actúan como goteros, iniciando la ejecución de cargas útiles que facilitan el compromiso inicial».
El archivo LNK, cuando se inicia, ejecuta código PowerShell para descargar un currículum en PDF señuelo, mientras deja caer sigilosamente tres cargas útiles adicionales en «C:Users
Las cargas útiles caídas son las siguientes:
- CreateHiddenTask.vbs, que crea una tarea programada para iniciar «keytool.exe» todos los días a las 8:00 am
- keytool.exe, que utiliza carga lateral de DLL para cargar jli.dll
- jli.dll, una DLL maliciosa que lanza el malware Winos 4.0 cifrado e incrustado en keytool.exe
«El malware implementado establece persistencia dentro del sistema comprometido e inicia varias operaciones de reconocimiento», dijeron los investigadores. «Estos incluyen capturar capturas de pantalla, recopilar contenidos del portapapeles y extraer metadatos críticos del sistema».
El troyano también viene con varias técnicas para evadir la detección, incluido intentar desinstalar productos antivirus detectados y finalizar conexiones de red asociadas con programas de seguridad como Kingsoft Antivirus, Huorong o 360 Total Security para interferir con sus funciones habituales.
«Esta información exfiltrada eleva significativamente el riesgo de ciberespionaje avanzado, robo de identidad y compromiso de credenciales, lo que representa una grave amenaza tanto para la infraestructura organizacional como para la privacidad individual», agregaron los investigadores.