该活动于2025年2月由Rapid7首次发现,涉及使用名为Catena的多阶段内存驻留装载机。

“Catena使用嵌入式shellcode和配置交换逻辑来完全在内存中放置像Winos 4.0这样的有效载荷,从而避开传统的防病毒工具,”安全研究人员Anna Širokova和Ivan saidFeigl说。“一旦安装,它悄悄地连接到攻击者控制的服务器 – 主要托管在香港 – 以接收后续指令或额外的恶意软件。

这些攻击,就像过去部署Winos 4.0的攻击一样,似乎特别关注说中文的环境,网络安全公司称这是一个非常有能力的威胁行为者的“谨慎,长期规划”。

Winos 4.0(又名ValleyRAT)于2024年6月首次被Trend Micro公开记录,用于通过VPN应用程序的恶意Windows Installer(MSI)文件针对讲中文用户的攻击。该活动归因于它跟踪的威胁集群Void Arachne,也称为Silver F

随后分发恶意软件的活动利用了与游戏相关的应用程序,如安装工具,速度增强器和优化实用程序,作为诱骗用户安装它的诱因。另一波攻击浪潮于2025年2月通过据称来自国家税务局的网络钓鱼电子邮件针对台湾的实体。

Winos 4.0 构建在已知远程访问木马 Gh0st RAT 的基础之上,是用 C++ 编写的高级恶意框架,它利用基于插件的系统来收集数据、提供远程 shell 访问以及启动分布式拒绝服务 (DDoS) 攻击。

Rapid7表示,2025年2月标记的所有工件都依赖于NSIS安装程序,捆绑了签名的诱饵应用程序,嵌入“.ini”文件中的shellcode以及反光DLL注入,以秘密保持对受感染主机的持久性并避免检测。整个感染链都被命名为Catena。

“到目前为止,该活动在整个2025年一直很活跃,显示出一致的感染链,并进行了一些战术调整 – 指向一个有能力和适应性的威胁行为者,”研究人员说。

NSIS起点是一个木偶联安装程序,冒充QQ浏览器的安装程序,这是腾讯开发的基于Chromium的Web浏览器,旨在使用Catena提供Winos 4.0。恶意软件通过TCP端口18856和HTTPS端口443与硬编码的命令和控制(C2)基础设施通信。

对主机的持久性是通过在初始妥协后几周执行的计划任务来实现的。虽然恶意软件具有显式检查以查找系统上的中文设置,但即使情况并非如此,它仍然会继续执行。

这表明它是一个未完成的功能,并且有望在恶意软件的后续迭代中实现。也就是说,Rapid7表示,它在2025年4月发现了一个“战术转变”,不仅改变了Catena执行链的一些元素,而且还整合了逃避防病毒检测的功能。

在改进的攻击序列中,NSIS安装程序将自己伪装成LetsVPN的设置文件,并运行PowerShell命令,该命令为所有驱动器(C:\到Z:\)添加Microsoft Defender排除。然后,它会删除其他有效载荷,包括一个可执行文件,该可快照运行进程并检查与中国供应商奇虎360开发的防病毒产品360 Total Security相关的进程。

二进制文件与VeriSign颁发的过期证书签署,据称属于腾讯科技(深圳)。有效期为2018-10-11至2020-02-02。可执行文件的主要责任是反射加载DLL文件,该文件反过来连接到C2服务器(“134.122.204[.]11:18852”或“103.46.185[.]44:443”),以便下载和执行Winos 4.0。

“这项活动展示了一个组织良好,以区域为重点的恶意软件操作,使用木马化的NSIS安装程序,悄悄地放弃Winos 4.0舞台,”研究人员说。

“它严重依赖内存驻留有效载荷,反射式DLL加载和带有合法证书签名的诱饵软件,以避免发出警报。基础设施重叠和基于语言的定位暗示与Silver Fox APT有联系,活动可能针对中文环境。