Các tác nhân đe dọa đứng sau dòng phần mềm độc hại Winos 4.0 (còn gọi là ValleyRAT) đã mở rộng phạm vi tấn công từ Trung Quốc và Đài Loan sang Nhật Bản và Malaysia bằng một trojan truy cập từ xa (RAT) khác có tên HoldingHands RAT (còn gọi là Gh0stBins).
"Chiến dịch dựa vào các email lừa đảo (phishing) với các tệp PDF chứa liên kết độc hại nhúng," Pei Han Liao, nhà nghiên cứu tại Fortinet's FortiGuard Labs, cho biết trong một báo cáo được chia sẻ với The Hacker News. "Các tệp này mạo danh các tài liệu chính thức từ Bộ Tài chính và bao gồm nhiều liên kết ngoài liên kết phân phối Winos 4.0."
Winos 4.0 là một dòng phần mềm độc hại thường được phát tán qua phishing và tối ưu hóa công cụ tìm kiếm (SEO) poisoning, điều hướng người dùng không nghi ngờ đến các trang web giả mạo phần mềm phổ biến như Google Chrome, Telegram, Youdao, Sogou AI, WPS Office và DeepSeek, cùng nhiều phần mềm khác.
Việc sử dụng Winos 4.0 chủ yếu được liên kết với một nhóm tội phạm mạng "hung hãn" của Trung Quốc được gọi là Silver Fox, nhóm này cũng được theo dõi dưới các tên SwimSnake, The Great Thief of Valley (hoặc Valley Thief), UTG-Q-1000 và Void Arachne.
Tháng trước, Check Point đã quy tác nhân đe dọa này vào việc lạm dụng một driver dễ bị tấn công chưa được biết trước đó liên quan đến WatchDog Anti-malware như một phần của cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) nhằm vô hiệu hóa phần mềm bảo mật được cài đặt trên các máy chủ bị xâm nhập.
Sau đó vài tuần, Fortinet đã làm rõ một chiến dịch khác diễn ra vào tháng 8 năm 2025, lợi dụng SEO poisoning để phân phối HiddenGh0st và các module liên quan đến phần mềm độc hại Winos.
Việc Silver Fox nhắm mục tiêu vào Đài Loan và Nhật Bản bằng HoldingHands RAT cũng đã được công ty an ninh mạng và một nhà nghiên cứu bảo mật tên somedieyoungZZ ghi nhận vào tháng 6, với việc những kẻ tấn công sử dụng các email phishing chứa tài liệu PDF cài bẫy để kích hoạt một quá trình lây nhiễm đa giai đoạn cuối cùng triển khai trojan.
Cần lưu ý rằng ở giai đoạn này, cả Winos 4.0 và HoldingHands RAT đều được lấy cảm hứng từ một phần mềm độc hại RAT khác có tên Gh0st RAT, mã nguồn của nó đã bị rò rỉ vào năm 2008 và kể từ đó đã được nhiều nhóm hacker Trung Quốc áp dụng rộng rãi.
Fortinet cho biết họ đã xác định các tài liệu PDF giả mạo là bản dự thảo quy định thuế cho Đài Loan, bao gồm một URL đến một trang web tiếng Nhật ("twsww[.]xin/download[.]html"), từ đó nạn nhân được nhắc tải xuống một tệp lưu trữ ZIP chịu trách nhiệm phân phối HoldingHands RAT.
Điều tra sâu hơn đã phát hiện các cuộc tấn công nhắm vào Trung Quốc đã sử dụng các tài liệu Microsoft Excel theo chủ đề thuế làm mồi nhử, một số có từ tháng 3 năm 2024, để phân phối Winos. Tuy nhiên, các chiến dịch phishing gần đây đã chuyển trọng tâm sang Malaysia, sử dụng các trang đích giả mạo để lừa người nhận tải xuống HoldingHands RAT.
Điểm khởi đầu là một tệp thực thi (executable) tự nhận là tài liệu kiểm toán thuế. Nó được sử dụng để sideload một DLL độc hại, hoạt động như một shellcode loader cho "sw.dat," một payload được thiết kế để chạy các kiểm tra chống máy ảo (anti-VM), liệt kê các tiến trình đang hoạt động dựa trên danh sách các sản phẩm bảo mật từ Avast, Norton và Kaspersky, và chấm dứt chúng nếu tìm thấy, leo thang đặc quyền (escalate privileges), và chấm dứt Task Scheduler.
Nó cũng thả một số tệp khác vào thư mục C:\Windows\System32 của hệ thống -
- svchost.ini, chứa Relative Virtual Address (RVA) của chức năng VirtualAlloc
- TimeBrokerClient.dll, là TimeBrokerClient.dll hợp pháp được đổi tên thành BrokerClientCallback.dll.
- msvchost.dat, chứa shellcode được mã hóa
- system.dat, chứa payload được mã hóa
- wkscli.dll, một DLL không sử dụng
"Task Scheduler là một dịch vụ Windows được lưu trữ bởi svchost.exe cho phép người dùng kiểm soát thời điểm các hoạt động hoặc tiến trình cụ thể được chạy," Fortinet cho biết. "Cài đặt khôi phục của Task Scheduler được cấu hình để khởi động lại dịch vụ một phút sau khi nó bị lỗi theo mặc định."
"Khi Task Scheduler được khởi động lại, svchost.exe được thực thi và tải TimeBrokerClient.dll độc hại. Cơ chế kích hoạt này không yêu cầu khởi chạy trực tiếp bất kỳ tiến trình nào, khiến việc phát hiện dựa trên hành vi trở nên khó khăn hơn."
Chức năng chính của "TimeBrokerClient.dll" là cấp phát bộ nhớ cho shellcode được mã hóa trong "msvchost.dat" bằng cách gọi chức năng VirtualAlloc() sử dụng giá trị RVA được chỉ định trong "svchost.ini." Ở giai đoạn tiếp theo, "msvchost.dat" giải mã payload được lưu trữ trong "system.dat" để lấy payload HoldingHands.
HoldingHands được trang bị để kết nối với một máy chủ từ xa, gửi thông tin máy chủ đến đó, gửi tín hiệu nhịp tim (heartbeat signal) cứ sau 60 giây để duy trì kết nối, và nhận cũng như xử lý các lệnh do kẻ tấn công ban hành trên hệ thống bị nhiễm. Các lệnh này cho phép phần mềm độc hại thu thập thông tin nhạy cảm, chạy các lệnh tùy ý và tải xuống các payload bổ sung.
Một tính năng bổ sung mới là một lệnh mới giúp cập nhật địa chỉ command-and-control (C2) được sử dụng cho giao tiếp thông qua một mục Windows Registry.
Operation Silk Lure Targets China with ValleyRAT
Sự phát triển này diễn ra khi Seqrite Labs trình bày chi tiết một chiến dịch phishing dựa trên email đang diễn ra đã tận dụng cơ sở hạ tầng C2 được lưu trữ tại Hoa Kỳ, nhắm mục tiêu vào các công ty Trung Quốc trong các lĩnh vực fintech, cryptocurrency, và trading platform sectors để cuối cùng phân phối Winos 4.0. Chiến dịch này đã được đặt tên mã là Operation Silk Lure, do dấu vết liên quan đến Trung Quốc của nó.
"Các đối thủ tạo ra các email được nhắm mục tiêu cao, mạo danh người tìm việc và gửi chúng đến các phòng HR và đội ngũ tuyển dụng kỹ thuật trong các công ty Trung Quốc," các nhà nghiên cứu Dixit Panchal, Soumen Burma và Kartik Jivani cho biết.
"Các email này thường chứa các tệp .LNK (Windows shortcut) độc hại được nhúng trong các tài liệu sơ yếu lý lịch hoặc danh mục đầu tư có vẻ hợp pháp. Khi được thực thi, các tệp .LNK này hoạt động như các droppers, khởi tạo việc thực thi các payload tạo điều kiện cho sự xâm nhập ban đầu."
Tệp LNK, khi được khởi chạy, chạy mã PowerShell để tải xuống một sơ yếu lý lịch PDF mồi nhử (decoy), đồng thời âm thầm thả ba payload bổ sung vào vị trí "C:\Users\<user>\AppData\Roaming\Security" và thực thi nó. Các sơ yếu lý lịch PDF được bản địa hóa và điều chỉnh cho các mục tiêu Trung Quốc nhằm tăng khả năng thành công của cuộc tấn công social engineering.
Các payload được thả như sau -
- CreateHiddenTask.vbs, tạo một tác vụ đã lên lịch để khởi chạy "keytool.exe" mỗi ngày vào lúc 8:00 sáng.
- keytool.exe, sử dụng DLL side-loading để tải jli.dll
- jli.dll, một DLL độc hại khởi chạy phần mềm độc hại Winos 4.0 được mã hóa và nhúng trong keytool.exe
"Phần mềm độc hại được triển khai thiết lập sự tồn tại dai dẳng trong hệ thống bị xâm nhập và khởi tạo các hoạt động trinh sát khác nhau," các nhà nghiên cứu cho biết. "Những hoạt động này bao gồm chụp ảnh màn hình, thu thập nội dung clipboard và trích xuất siêu dữ liệu hệ thống quan trọng."
Trojan này cũng đi kèm với nhiều kỹ thuật để tránh bị phát hiện, bao gồm cố gắng gỡ cài đặt các sản phẩm antivirus đã phát hiện và chấm dứt các kết nối mạng liên quan đến các chương trình bảo mật như Kingsoft Antivirus, Huorong hoặc 360 Total Security để can thiệp vào các chức năng thông thường của chúng.
"Thông tin bị đánh cắp này làm tăng đáng kể nguy cơ gián điệp mạng nâng cao, đánh cắp danh tính và xâm phạm thông tin đăng nhập, do đó gây ra mối đe dọa nghiêm trọng cho cả cơ sở hạ tầng tổ chức và quyền riêng tư cá nhân," các nhà nghiên cứu nói thêm.
