Silver Fox 利用 HoldingHands RAT 将 Winos 4.0 攻击扩展到日本和马来西亚

Winos 4.0（又名 ValleyRAT）恶意软件家族背后的威胁行为者已将其目标范围从中国大陆和台湾扩大到日本和马来西亚，并使用另一种被追踪为 HoldingHands RAT（又名 Gh0stBins）的远程访问木马 (RAT)。

Fortinet FortiGuard 实验室研究员廖佩涵在与 The Hacker News 分享的一份报告中表示：“此次攻击活动依赖于包含嵌入恶意链接的 PDF 文件的网络钓鱼电子邮件。这些文件伪装成财政部的官方文件，除了提供 Winos 4.0 的链接外，还包含许多其他链接。”

Winos 4.0 是一个恶意软件家族，通常通过网络钓鱼和搜索引擎优化 (SEO) 中毒传播，将毫无戒心的用户引导至伪装成 Google Chrome、Telegram、有道、搜狗 AI、WPS Office 和 DeepSeek 等流行软件的虚假网站。

Winos 4.0 的使用主要与一个名为 Silver Fox 的“激进”中国网络犯罪集团有关，该集团还被追踪为 SwimSnake、The Great Thief of Valley（或 Valley Thief）、UTG-Q-1000 和 Void Arachne。

上个月，Check Point认为威胁行为者滥用了与 WatchDog Anti-malware 相关的先前未知的易受攻击的驱动程序，这是自带易受攻击驱动程序 (BYOVD) 攻击的一部分，旨在禁用安装在受感染主机上的安全软件。

几周后，Fortinet揭露了另一起发生在 2025 年 8 月的活动，该活动利用 SEO 中毒来分发 HiddenGh0st 和与 Winos 恶意软件相关的模块。

网络安全公司和一位名叫 somedieyoungZZ 的安全研究员早在 6 月份就记录了Silver Fox 使用 HoldingHands RAT 针对台湾和日本的攻击行为，攻击者使用包含陷阱 PDF 文档的网络钓鱼电子邮件来激活多阶段感染，最终部署木马。

DFIR 保留服务
现阶段值得注意的是，Winos 4.0 和 HoldingHands RAT 都受到另一种称为Gh0st RAT 的RAT 恶意软件的启发，该恶意软件的源代码于 2008 年泄露，此后被各种中国黑客组织广泛采用。

Fortinet 表示，它发现了伪装成台湾税收法规草案的 PDF 文件，其中包含一个日语网页的 URL（“twsww[.]xin/download[.]html”），受害者被提示下载一个负责传播 HoldingHands RAT 的 ZIP 压缩文件。

进一步调查发现，针对中国的攻击活动利用税务主题的 Microsoft Excel 文档作为诱饵，分发 Winos 恶意软件，其中一些攻击可以追溯到 2024 年 3 月。然而，最近的网络钓鱼活动已将重点转移到马来西亚，使用虚假登陆页面诱骗收件人下载 HoldingHands RAT。


攻击的起点是一个声称是消费税审计文档的可执行文件。它被用来侧载一个恶意 DLL，该 DLL 充当“sw.dat”的 Shellcode 加载器。“sw.dat”是一个有效载荷，用于运行反虚拟机 (VM) 检查，根据 Avast、Norton 和 Kaspersky 的安全产品列表枚举活动进程，并在发现后终止它们，提升权限并终止任务计划程序。

它还会在系统的 C:\Windows\System32 文件夹中释放其他几个文件 -

svchost.ini，包含VirtualAlloc函数的相对虚拟地址 (RVA)
TimeBrokerClient.dll，将合法的TimeBrokerClient.dll重命名为BrokerClientCallback.dll。
msvchost.dat，包含加密的shellcode
system.dat，包含加密的有效载荷
wkscli.dll，一个未使用的 DLL
Fortinet 表示：“任务计划程序是由 svchost.exe 托管的 Windows 服务，允许用户控制特定操作或进程的运行时间。任务计划程序的恢复设置默认配置为在服务失败一分钟后重新启动。”

当任务计划程序重新启动时，svchost.exe 就会执行并加载恶意的 TimeBrokerClient.dll。这种触发机制不需要直接启动任何进程，这使得基于行为的检测更具挑战性。

为了提升权限，“sw.dat”会模拟 TrustedInstaller 帐户来执行代码。TrustedInstaller 是一个高级 Windows 系统帐户，旨在保护核心系统文件（例如 C: 盘中的文件）免遭修改，即使是管理员也无法更改。它是 Windows 资源保护 ( WRP ) 这一更广泛安全功能的一部分，该功能旨在防止意外更改作为操作系统一部分安装的文件、文件夹和注册表项。

Fortinet 威胁安全研究员 Rachael Pei 告诉 The Hacker News：“为了实现这一目标，该恶意软件首先启用 SeDebugPrivilege 权限，以获取对 Winlogon 进程及其安全令牌的访问权限。通过该访问权限，它会获取并采用 Winlogon 令牌，以 Winlogon 帐户（SYSTEM）身份运行。”

恶意软件会从该提升的上下文中获取 TrustedInstaller 安全上下文。TrustedInstaller 是一个内置的 Windows 系统帐户。某些文件、注册表项等只能通过该帐户访问。例如，基于任务计划程序执行时，C:\Windows\System32\TimeBrokerClient.dll 就是一个示例。恶意软件需要将合法的 TimeBrokerClient.dll 重命名为 BrokerClientCallback.dll，而这需要 TrustedInstaller 权限。

“TimeBrokerClient.dll”的主要功能是通过使用“svchost.ini”中指定的RVA值调用VirtualAlloc()函数，为“msvchost.dat”中的加密shellcode分配内存。在下一阶段，“msvchost.dat”解密存储在“system.dat”中的payload，以检索HoldingHands Payload。

HoldingHands 能够连接到远程服务器，向其发送主机信息，每 60 秒发送一次心跳信号以维持连接，并在受感染的系统上接收和处理攻击者发出的命令。这些命令允许恶意软件捕获敏感信息、运行任意命令并下载其他有效载荷。

新增的功能是一条命令，它可以通过 Windows 注册表项更新用于通信的命令和控制 (C2) 地址。

裴还指出，中文使用者似乎是此次攻击活动的主要目标，并补充说“最可能的动机似乎是区域情报收集，恶意软件处于休眠状态，等待进一步的指令。”

丝绸诱饵行动利用 ValleyRAT 攻击中国#
就在此次事件发生之际，Seqrite 实验室披露了一项正在进行的基于电子邮件的网络钓鱼活动，该活动利用托管在美国的 C2 基础设施，针对金融科技、加密货币和交易平台领域的中国公司，最终目的是传播 Winos 4.0 病毒。由于该活动与中国相关，其代号为“丝绸诱饵行动”。

研究人员 Dixit Panchal、Soumen Burma 和 Kartik Jivani表示：“攻击者精心制作高度针对性的电子邮件，冒充求职者，并将其发送给中国公司的人力资源部门和技术招聘团队。”

这些电子邮件通常包含恶意的 .LNK（Windows 快捷方式）文件，这些文件嵌入在看似合法的简历或作品集文档中。执行时，这些 .LNK 文件会充当植入程序，启动有效载荷的执行，从而促成初始入侵。

该 LNK 文件启动后会运行 PowerShell 代码下载一份诱饵 PDF 简历，同时悄悄地将另外三个有效载荷投放到“C:\Users\<user>\AppData\Roaming\Security”位置并执行。这些 PDF 简历已针对中国目标进行了本地化和定制，以增加社会工程攻击的成功率。

CIS 构建套件
投放的有效载荷如下：

CreateHiddenTask.vbs，创建一个计划任务，每天上午 8:00 启动“keytool.exe”
keytool.exe，使用 DLL 侧加载来加载 jli.dll
jli.dll 是一个恶意 DLL，用于启动加密并嵌入在 keytool.exe 中的 Winos 4.0 恶意软件
研究人员表示：“部署的恶意软件会在受感染的系统中建立持久性，并启动各种侦察操作。这些操作包括截取屏幕截图、收集剪贴板内容以及窃取关键系统元数据。”

该木马还采用了多种逃避检测的技术，包括尝试卸载检测到的防病毒产品，以及终止与金山毒霸、火绒或360安全软件等安全程序相关的网络连接，以干扰其正常功能。

研究人员补充道：“这些泄露的信息大大增加了高级网络间谍活动、身份盗窃和凭证泄露的风险，从而对组织基础设施和个人隐私构成了严重威胁。”