Underc0de

Expertos en ciberseguridad han identificado una nueva campaña activa en 2025 que distribuye el malware Winos 4.0 (ValleyRAT) a través de instaladores troyanizados de software legítimo como QQ Browser y LetsVPN. La investigación fue realizada por Rapid7, quienes detectaron la operación maliciosa por primera vez en febrero de 2025.

Esta campaña utiliza un cargador en memoria multietapa denominado Catena, el cual permite evadir herramientas antivirus tradicionales al cargar el malware directamente en la memoria del sistema, sin dejar rastros evidentes en disco.

Catena: carga en memoria y evasión avanzada

Según los investigadores Anna Širokova e Ivan Feigl, Catena emplea shellcode embebido, lógica de configuración dinámica y cargas útiles en memoria para desplegar Winos 4.0, minimizando su visibilidad ante soluciones de seguridad.

Citar"Una vez ejecutado, el malware establece conexión con servidores controlados por los atacantes, mayormente ubicados en Hong Kong, para recibir instrucciones o descargar módulos adicionales", explican los expertos.

El ataque se dirige principalmente a sistemas de habla china, lo que refuerza la hipótesis de que esta es una campaña geoespecífica cuidadosamente planificada, atribuida a un grupo de amenazas sofisticado.

¿Qué es Winos 4.0 (ValleyRAT)?

Winos 4.0, también conocido como ValleyRAT, es un marco malicioso avanzado derivado del troyano de acceso remoto Gh0st RAT. Está escrito en C++ y utiliza una arquitectura modular basada en complementos, permitiendo:

• Robo de información
• Acceso remoto tipo shell
• Ejecución de comandos
• Ataques de denegación de servicio distribuido (DDoS)

Este malware fue documentado por primera vez por Trend Micro en junio de 2024, y ha sido relacionado con el grupo APT Void Arachne, también conocido como Silver Fox.

Vectores de infección: señuelos de software y phishing

La campaña detectada utiliza una cadena de infección sofisticada basada en instaladores NSIS disfrazados de herramientas populares como:

• QQ Browser (desarrollado por Tencent)
• LetsVPN (aplicación VPN)

También se ha observado el uso de phishing dirigido, como correos electrónicos falsificados en nombre de la Oficina Nacional de Impuestos de Taiwán, con archivos maliciosos adjuntos.

Rapid7 señaló que en abril de 2025 se observó un cambio táctico en la operación, ajustando componentes del vector Catena para mejorar su capacidad de evasión.

Evasión de antivirus y persistencia sigilosa

La campaña aplica técnicas avanzadas de evasión, incluyendo:

• Comandos de PowerShell para excluir todas las unidades de escaneo por parte de Microsoft Defender.
• Carga reflexiva de DLLs para mantener la persistencia de manera encubierta.
• Shellcode oculto en archivos .ini.
• Firmas digitales válidas o caducadas para simular legitimidad.

Uno de los binarios identificados estaba firmado con un certificado expirado de VeriSign, supuestamente perteneciente a Tencent Technology (Shenzhen). Este ejecutable toma una instantánea de los procesos en ejecución y detecta la presencia de antivirus como 360 Total Security, desarrollado por Qihoo 360.

Comunicación con infraestructura C2

Winos 4.0 establece conexiones con servidores de comando y control (C2) codificados estáticamente, usando:

• Puerto TCP 18856
• Puerto HTTPS 443
• IPs como 134.122.204[.]11 y 103.46.185[.]44

Aunque el malware verifica si el sistema tiene configurado el idioma chino, la ejecución no se detiene si este requisito no se cumple, lo que indica una funcionalidad aún en desarrollo.

Amenaza persistente y altamente dirigida

La campaña Catena-Winos 4.0 revela una operación de malware avanzada y bien organizada que se enfoca en usuarios y organizaciones de habla china. El uso de instaladores falsificados de software legítimo, técnicas de carga en memoria, evasión de antivirus y persistencia sigilosa la convierten en una amenaza significativa en el panorama actual.

Los investigadores sugieren que la campaña podría estar vinculada a Silver Fox APT, dada la infraestructura compartida y el enfoque lingüístico y geográfico de los ataques.

Recomendaciones para mitigar el riesgo

• Evitar la descarga de software desde fuentes no oficiales.
• Monitorizar la ejecución de procesos inusuales o cargadores NSIS.
• Implementar políticas estrictas de control de PowerShell y exclusiones antivirus.
• Verificar la integridad y validez de los certificados digitales en instaladores.

Fuente: https://thehackernews.com/