Peneliti cybersecurity telah mengungkapkan kampanye malware yang menggunakan pemasang perangkat lunak palsu yang menyamar sebagai alat populer seperti LetSVPN dan QQ Browser untuk mengirimkan Winos 4.0 kerangka.
Kampanye, pertama kali terdeteksi oleh Rapid7 pada bulan Februari 2025, melibatkan penggunaan loader multi-tahap, wadah-residen bernama Catena.
“Catena menggunakan logika switching tertanam dan konfigurasi untuk mementaskan muatan seperti Winos 4.0 sepenuhnya dalam memori, menghindari alat antivirus tradisional,” kata peneliti keamanan Anna Širokova dan Ivan Feigl. “Setelah terpasang, itu diam-diam terhubung ke server yang dikendalikan oleh penyerang-sebagian besar di-host di Hong Kong-untuk menerima instruksi tindak lanjut atau malware tambahan.”
Serangan-serangan itu, seperti yang telah mengerahkan Winos 4.0 di masa lalu, tampaknya fokus secara khusus pada lingkungan berbahasa Cina, dengan perusahaan cybersecurity menyebut “perencanaan jangka panjang, jangka panjang” oleh aktor ancaman yang sangat cakap.
Winos 4.0 (alias Valleyrat) pertama kali didokumentasikan secara publik oleh Trend Micro pada Juni 2024 seperti yang digunakan dalam serangan yang menargetkan pengguna berbahasa Cina dengan menggunakan file Windows Installer (MSI) berbahaya untuk aplikasi VPN. Aktivitas ini telah dikaitkan dengan kluster ancaman yang dilacaknya sebagai void arachne, yang juga disebut sebagai rubah perak.
Kampanye selanjutnya yang mendistribusikan malware telah memanfaatkan aplikasi terkait game seperti alat instalasi, penguat kecepatan, dan utilitas optimisasi sebagai umpan untuk menipu pengguna agar menginstalnya. Gelombang serangan lain yang dirinci pada Februari 2025 entitas yang ditargetkan di Taiwan melalui email phishing yang dimaksudkan dari Biro Perpajakan Nasional.
Dibangun di atas fondasi dari akses jarak jauh yang diketahui Trojan yang disebut GH0st Rat, Winos 4.0 adalah kerangka kerja jahat canggih yang ditulis dalam C ++ yang memanfaatkan sistem berbasis plugin untuk memanen data, menyediakan akses shell jarak jauh, dan meluncurkan serangan penolakan distribusi (DDOS) yang didistribusikan.
 |
| Aliran infeksi berbasis qqbrowser diamati pada Februari 2025 |
Rapid7 mengatakan semua artefak yang ditandai pada Februari 2025 diandalkan pada installer NSIS yang dibundel dengan aplikasi umpan yang ditandatangani, shellcode yang tertanam di file “.ini”, dan injeksi DLL reflektif untuk secara diam -diam mempertahankan persistensi pada host yang terinfeksi dan menghindari deteksi. Seluruh rantai infeksi telah diberikan moniker Catena.
“Kampanye sejauh ini telah aktif sepanjang tahun 2025, menunjukkan rantai infeksi yang konsisten dengan beberapa penyesuaian taktis – menunjuk ke aktor ancaman yang mampu dan adaptif,” kata para peneliti.
Titik awalnya adalah penginstal NSIS yang trojanisasi menyamar sebagai installer untuk QQ Browser, browser web berbasis kromium yang dikembangkan oleh Tencent, yang dirancang untuk memberikan Winos 4.0 menggunakan Catena. Malware berkomunikasi dengan infrastruktur perintah-dan-kontrol (C2) yang dikodekan dengan keras atas port TCP 18856 dan HTTPS Port 443.
 |
| Dari installer letsvpn ke winos 4.0 pada bulan April 2025 |
Kegigihan pada tuan rumah dicapai dengan mendaftarkan tugas yang dijadwalkan yang dieksekusi beberapa minggu setelah kompromi awal. Sementara malware menampilkan pemeriksaan eksplisit untuk mencari pengaturan bahasa Cina pada sistem, itu masih berlangsung dengan eksekusi bahkan jika bukan itu masalahnya.
Ini menunjukkan ini adalah fitur yang belum selesai dan sesuatu yang diharapkan akan diimplementasikan dalam iterasi malware berikutnya. Yang mengatakan, Rapid7 mengatakan itu diidentifikasi pada April 2025 sebuah “pergeseran taktis” yang tidak hanya mengganti beberapa elemen rantai eksekusi Catena, tetapi juga memasukkan fitur untuk menghindari deteksi antivirus.
Dalam urutan serangan yang dirubah, penginstal NSIS menyamarkan dirinya sebagai file pengaturan untuk LETSVPN dan menjalankan perintah PowerShell yang menambahkan pengecualian bek Microsoft untuk semua drive (C: \ ke Z: \). Kemudian menjatuhkan muatan tambahan, termasuk yang dapat dieksekusi yang mengambil snapshot proses berjalan dan memeriksa proses yang terkait dengan 360 Total Security, produk antivirus yang dikembangkan oleh vendor Cina Qihoo 360.
Biner ditandatangani dengan sertifikat kadaluwarsa yang dikeluarkan oleh Verisign dan diduga milik Tencent Technology (Shenzhen). Itu berlaku dari 2018-10-11 hingga 2020-02-02. Tanggung jawab utama yang dapat dieksekusi adalah secara reflektif memuat file DLL yang, pada gilirannya, terhubung ke server C2 (“134.122.204[.]11: 18852 “atau” 103.46.185[.]44: 443 “) Untuk mengunduh dan menjalankan Winos 4.0.
“Kampanye ini menunjukkan operasi malware yang terorganisir dengan baik dan terapi secara regional menggunakan installer NSIS Trojanized untuk diam-diam menjatuhkan Stager Winos 4.0,” kata para peneliti.
“Ini sangat bersandar pada muatan residen memori, pemuatan DLL reflektif, dan perangkat lunak umpan yang ditandatangani dengan sertifikat yang sah untuk menghindari peningkatan alarm. Tumpang tindih infrastruktur dan petunjuk penargetan berbasis bahasa pada ikatan dengan perak apt, dengan aktivitas yang kemungkinan ditujukan pada lingkungan berbatasan Cina.”
