Expertos en ciberseguridad han identificado una campaña maliciosa que utiliza instaladores de software falsificados, suplantando aplicaciones legítimas como LetsVPN y QQ Browser, para distribuir el marco malicioso Winos 4.0, también conocido como ValleyRAT.

Detectada por primera vez en febrero de 2025 por Rapid7, la campaña emplea un cargador en memoria por etapas denominado Catena, diseñado para evadir soluciones antivirus tradicionales.

“Catena emplea shellcode incrustado y lógica dinámica de configuración para cargar Winos 4.0 exclusivamente en memoria”, explicaron los investigadores Anna Širokova e Ivan Feigl. “Una vez desplegado, el malware se conecta de forma sigilosa con servidores controlados por los atacantes —principalmente en Hong Kong— para recibir comandos o cargar más malware”.

Foco regional y señuelos adaptados

Los ataques parecen dirigidos principalmente a usuarios de habla china, lo que sugiere una estrategia deliberada y de largo plazo por parte de un actor de amenazas sofisticado.

Winos 4.0 fue descrito inicialmente por Trend Micro en junio de 2024 y se ha vinculado a la APT Void Arachne, también conocida como Silver Fox. Sus campañas anteriores utilizaron archivos MSI maliciosos para infectar usuarios a través de aplicaciones de VPN. Más recientemente, se ha aprovechado software relacionado con videojuegos, aceleradores de rendimiento y utilidades de optimización como vehículos de infección.

Características del malware

Construido en C++, Winos 4.0 se deriva del infame Gh0st RAT y emplea un sistema modular que le permite:

  • Robar información,
  • Ejecutar comandos de shell remotos,
  • Lanzar ataques DDoS.

La cadena de infección observada en febrero de 2025 incluía:

  • Instaladores NSIS troyanizados,
  • Archivos señuelo firmados digitalmente,
  • Inyección de DLL reflectante,
  • Código malicioso oculto en archivos .ini.

Evolución táctica: de QQ Browser a LetsVPN

En sus versiones más recientes, los atacantes modificaron la campaña para evadir mejor las defensas, incluyendo un instalador NSIS disfrazado como configuración de LetsVPN. Esta versión ejecuta un script de PowerShell que añade exclusiones de seguridad a Microsoft Defender para todas las unidades del sistema, permitiendo que el malware opere sin ser detectado.

El binario malicioso, aunque firmado con un certificado caducado de VeriSign supuestamente perteneciente a Tencent, sigue ejecutándose y realiza tareas como:

  • Captura de procesos activos,
  • Detección de software antivirus chino como 360 Total Security,
  • Carga reflexiva de DLLs maliciosas.

Estas DLLs se conectan a servidores C2 remotos (como 134.122.204[.]11:18852 y 103.46.185[.]44:443) para obtener y ejecutar Winos 4.0.

Conclusiones

“La campaña muestra una operación bien estructurada, centrada en regiones específicas, que utiliza software señuelo legítimo y técnicas de evasión avanzadas”, afirmaron los investigadores.

La estrategia gira en torno a cargas útiles residentes en memoria, certificados firmados digitalmente (aunque caducados), e infecciones silenciosas a través de herramientas comunes. Todo apunta a la implicación del grupo APT Silver Fox, con objetivos concretos en entornos de habla china.

FUENTE: THEHACKERNEWS.COM

You May Also Like

Qilin encabeza el repunte de ataques de ransomware en abril de 2025, con 45 violaciones atribuidas al uso del malware NETXLOADER.

HKN FEED

Alerta: GhostSec y Stormous lanzan ataques conjuntos de ransomware en más de 15 países

HKN FEED

¡Revelado: Método Efectivo para Superar el Ransomware Rhysida!

wpadmin001