Cybersecurity -onderzoekers hebben een malware -campagne bekendgemaakt die nep -software -installateurs gebruikt die zich bevatten als populaire tools zoals LetSVPN en QQ -browser om de te leveren Winos 4.0 kader.
De campagne, voor het eerst gedetecteerd door Rapid7 in februari 2025, omvat het gebruik van een multi-fase, geheugen-ingezeten lader genaamd Catena.
“Catena gebruikt Embedded ShellCode en configuratie -schakellogica om payloads zoals Winos 4.0 volledig in het geheugen te podium, die traditionele antivirushulpmiddelen ontwijken,” zeiden beveiligingsonderzoekers Anna Širokova en Ivan Feigl. “Eenmaal geïnstalleerd, maakt het stilletjes verbinding met aanvallergestuurde servers-meestal gehost in Hong Kong-om vervolginstructies of extra malware te ontvangen.”
De aanvallen, zoals die in het verleden Winos 4.0 hebben ingezet, lijken zich specifiek te concentreren op Chinese sprekende omgevingen, waarbij het cybersecuritybedrijf de “zorgvuldige, langetermijnplanning” roept door een zeer capabele dreigingsacteur.
Winos 4.0 (aka Valleyrat) werd voor het eerst publiekelijk gedocumenteerd door Trend Micro in juni 2024, zoals gebruikt in aanvallen op Chinees sprekende gebruikers door middel van Malicious Windows Installer (MSI) -bestanden voor VPN-apps. De activiteit is toegeschreven aan een dreigingscluster dat het volgt als leegte Arachne, die ook wordt genoemd als Silver Fox.
Daaropvolgende campagnes die de malware distribueren, hebben gaming-gerelateerde applicaties zoals installatiehulpmiddelen, snelheidsboosters en optimalisatiehulpprogramma’s als kunstaas om gebruikers te misleiden om het te installeren. Een andere aanvalsgolf gedetailleerd in februari 2025 richtte entiteiten in Taiwan via phishing -e -mails die beweerden te zijn van het National Taxation Bureau.
Winos 4.0 is gebouwd bovenop de basis van een bekende Trojan op afstand genaamd GH0st Rat, Winos 4.0 is een geavanceerd kwaadaardig framework geschreven in C ++ dat gebruik maakt van een op plug-in gebaseerd systeem om gegevens te oogsten, externe shell-toegang te bieden en aan aanvallen van gedistribueerde Denial-of-Service (DDOS) te starten.
Rapid7 zei dat alle artefacten gemarkeerd in februari 2025 afhankelijk waren van NSIS -installateurs gebundeld met ondertekende decoy -apps, shellcode ingebed in “.ini” -bestanden en reflecterende DLL -injectie om de persistentie op geïnfecteerde hosts te behouden en detectie te voorkomen. De hele infectieketen heeft de naam Catena gekregen.
“De campagne is tot nu toe actief geweest in 2025, met een consistente infectieketen met enkele tactische aanpassingen – wijzend op een capabele en adaptieve dreigingsacteur,” zeiden de onderzoekers.
Het startpunt is een Trojanised NSIS-installatieprogramma dat zich voordoet als een installatieprogramma voor QQ-browser, een op chroom gebaseerde webbrowser ontwikkeld door Tentent, die is ontworpen om Winos 4.0 te leveren met behulp van Catena. De malware communiceert met hardgecodeerde command-and-control (C2) -infrastructuur via TCP-poort 18856 en HTTPS-poort 443.
Persistentie op de host wordt bereikt door geplande taken te registreren die weken na het eerste compromis worden uitgevoerd. Hoewel de malware een expliciete controle heeft om te zoeken naar Chinese taalinstellingen op het systeem, verloopt het nog steeds met de uitvoering, zelfs als dat niet het geval is.
Dit geeft aan dat het een onafgemaakte functie is en iets dat naar verwachting zal worden geïmplementeerd in latere iteraties van de malware. Dat gezegd hebbende, Rapid7 zei dat het in april 2025 een “tactische verschuiving” identificeerde die niet alleen enkele elementen van de executieketen van Catena veranderde, maar ook van functies omvatte om antivirusdetectie te ontwijken.
In de vernieuwde aanvalsreeks vermomt het NSIS -installatieprogramma zich als een installatiebestand voor LetSVPN en voert een PowerShell -opdracht uit dat Microsoft Defender -uitsluitingen toevoegt voor alle schijven (C: to Z: ). Vervolgens laat het extra payloads vallen, inclusief een uitvoerbaar bestand dat een momentopname van het uitvoeren van processen en controles neemt op processen met betrekking tot 360 totale beveiliging, een antivirusproduct ontwikkeld door de Chinese leverancier Qihoo 360.
Het binair is ondertekend met een verlopen certificaat uitgegeven door Verisign en is naar verluidt toebehoort aan Tencent Technology (Shenzhen). Het was geldig van 2018-10-11 tot 2020-02-02. De primaire verantwoordelijkheid van het uitvoerbare bestand is om een DLL -bestand reflectief te laden dat op zijn beurt verbinding maakt met een C2 -server (“134.122.204 (.) 11: 18852” of “103.46.185 (.) 44: 443”) om wino’s 4.0 te downloaden en uit te voeren.
“Deze campagne toont een goed georganiseerde, regionaal gerichte malware-operatie met behulp van Trojanized NSIS-installateurs om de Winos 4.0 Stager stilletjes te laten vallen,” zeiden de onderzoekers.
“Het leunt zwaar op geheugen-ingezeten payloads, reflecterende DLL-laden en decoy-software ondertekend met legitieme certificaten om te voorkomen dat alarmen worden verhoogd. Infrastructuuroverlapt en op taalgebaseerde targeting hint op banden met Silver Fox Apt, met activiteit waarschijnlijk gericht op Chinees sprekende omgevingen.”
