HoldingHands RAT

وسّعت الجهات الفاعلة المسؤولة عن سلسلة برمجيات Winos 4.0 الخبيثة (المعروفة أيضًا باسم ValleyRAT) نطاق عملياتها خارج الصين وتايوان لتستهدف اليابان وماليزيا. في هذه الحملات الأخيرة، أطلقت المجموعة فيروسًا ثانيًا للوصول عن بُعد (RAT) يُعرف باسم HoldingHands (المعروف أيضًا باسم Gh0stBins)، مستخدمةً وثائق تصيد احتيالي مُعدّلة اجتماعيًا كناقل رئيسي.

كيف تنتشر الحملة

ينشر المهاجمون البرامج الضارة عبر رسائل بريد إلكتروني احتيالية تتضمن مرفقات بصيغة PDF تتضمن روابط ضارة. تنتحل هذه الملفات صفة مراسلات رسمية - في بعض الحالات، تنتحل صفة وثائق وزارة المالية - وتحتوي على روابط متعددة، يؤدي رابط واحد منها فقط إلى التنزيل الخبيث. في حالات أخرى، يكون الخداع عبارة عن صفحة ويب (على سبيل المثال، صفحة باللغة اليابانية مستضافة على عنوان URL مثل "twsww[.]xin/download[.]html") تدفع الضحايا إلى تحميل ملف ZIP يحتوي على برنامج RAT.

طرق التوزيع والإسناد

ينتشر Winos 4.0 بشكل شائع عبر حملات التصيد الاحتيالي وتشويه محركات البحث (SEO)، والتي تُعيد توجيه الضحايا إلى صفحات تنزيل وهمية تنتحل صفة برامج أصلية (من الأمثلة التي لوحظت برامج تثبيت مزيفة لمتصفحات Google Chrome وTelegram وYoudao وSogou AI وWPS Office وDeepSeek). يربط باحثو الأمن استخدام Winos بمجموعة إجرامية إلكترونية شرسة تُعرف بأسماء مختلفة، مثل Silver Fox وSwimSnake وValley Thief (The Great Thief of Valley) وUTG-Q-1000 وVoid Arachne. في سبتمبر 2025، أبلغ باحثون عن قيام هذه الجهة بإساءة استخدام برنامج تشغيل ضعيف غير موثق سابقًا، مُرفق مع منتج من الشركة المصنعة يُسمى WatchDog Anti-malware، وذلك باستخدام تقنية BYOVD (إحضار برنامج التشغيل الضعيف الخاص بك) لتعطيل حماية نقاط النهاية. في وقت سابق (أغسطس 2025)، استخدمت المجموعة حيل تحسين محركات البحث (SEO) لنشر وحدتي HiddenGh0st وWinos، ووثّق تقريرٌ في يونيو استخدام Silver Fox لملفات PDF مفخخة لشنّ هجمات متعددة الخطوات، والتي أدت في النهاية إلى نشر برنامج HoldingHands RAT. تشمل عمليات الاحتيال السابقة ملفات Excel ذات طابع ضريبي، والتي استُخدمت ضد الصين منذ مارس 2024؛ وتحوّلت الجهود الأخيرة إلى صفحات تصيد احتيالي تستهدف ماليزيا.

العدوى متعددة المراحل والاستمرارية

تبدأ العدوى عادةً بملف تنفيذي مُتنكر على هيئة تدقيق ضريبي أو مستند رسمي آخر. يُحمّل هذا الملف التنفيذي ملف DLL ضارًا، يعمل كمُحمّل شفرة شل لحمولة تُسمى "sw.dat". يُنفّذ المُحمّل عدة إجراءات مضادة للتحليل وإجراءات دفاعية - فحص مضاد للأجهزة الافتراضية، وفحص العمليات الجارية بحثًا عن منتجات أمنية معروفة وإنهائها، وتصعيد الصلاحيات، وتعطيل مُجدول مهام Windows - قبل تسليم التحكم إلى مراحل لاحقة.

الملفات التي تم رصدها تم إسقاطها إلى النظام:

• svchost.ini — يحتوي على RVA لـ VirtualAlloc.
• TimeBrokerClient.dll (تم تغيير اسم ملف TimeBrokerClient.dll الشرعي إلى BrokerClientCallback.dll).

• msvchost.dat — كود القشرة المشفر.

• system.dat — حمولة مشفرة.

• wkscli.dll — ملف DLL غير مستخدم/بديل.

تشغيل جدولة المهام والتنشيط الخفي

بدلاً من الاعتماد على تشغيل عملية صريحة، تستفيد الحملة من سلوك مُجدول مهام ويندوز: يعمل مُجدول المهام كخدمة ضمن ملف svchost.exe، ويُهيأ افتراضيًا لإعادة التشغيل بعد الفشل بفترة وجيزة. يُغير البرنامج الخبيث الملفات بحيث يُحمّل ملف svchost.exe ملف TimeBrokerClient.dll الخبيث (الذي أُعيدت تسميته إلى BrokerClientCallback.dll) عند إعادة تشغيل خدمة مُجدول المهام. يُخصص هذا الملف ذاكرةً لملف shellcode المُشفّر باستخدام عنوان VirtualAlloc المُخزّن في ملف svchost.ini، ثم يُجبر ملف msvchost.dat على فك تشفير system.dat واستخراج حمولة HoldingHands. يُقلل مُحفّز "إعادة تشغيل الخدمة → تحميل ملف DLL" هذا من الحاجة إلى تنفيذ العملية مباشرةً ويُعقّد الكشف المُستند إلى السلوك.

تصعيد الامتيازات إلى TrustedInstaller

للحصول على الأذونات اللازمة لإعادة تسمية واستبدال مكونات النظام المحمية (على سبيل المثال، إعادة تسمية ملف TimeBrokerClient.dll الأصلي)، ينتحل المُحمِّل هوية حسابات نظام عالية الصلاحيات. التسلسل المُلاحظ هو:

• قم بتمكين SeDebugPrivilege للوصول إلى عملية Winlogon ورمزها.
• اعتماد رمز Winlogon لتشغيله كنظام.
• من النظام، احصل على سياق أمان TrustedInstaller — الحساب الذي يستخدمه Windows Resource Protection لحماية ملفات نظام التشغيل الهامة.
• باستخدام سياق TrustedInstaller هذا، يمكن للبرامج الضارة تعديل الملفات المحمية في C:\Windows\System32 (وهو إجراء محظور عادةً حتى على المسؤولين).

كيفية تنفيذ الحمولة والحفاظ على التحكم

يُخصّص مُكوّن TimeBrokerClient الخبيث ذاكرةً لكلّ RVA في ملف svchost.ini، ويضع شفرة shellcode المُفكّكة من ملف msvchost.dat هناك، ويُشغّلها. تُفكّك الحمولة المُفكّكة حزمة HoldingHands، التي تُنشئ بدورها اتصالاتٍ مع خادم القيادة والتحكم عن بُعد (C2). تشمل الإمكانيات المُلاحظة ما يلي:

• إرسال معلومات المضيف إلى C2.
• إرسال رسائل نبضات القلب كل 60 ثانية لإبقاء القناة نشطة.
• استقبال وتنفيذ الأوامر عن بعد (سرقة البيانات، تنفيذ الأوامر التعسفية، جلب الحمولات الإضافية).

• ميزة إضافية تسمح للمشغل بتحديث عنوان C2 عبر إدخال سجل Windows.

الاستهداف، والتركيز على اللغة، والدافع المحتمل

تشير العينات والطعوم الحديثة إلى تركيز على الضحايا الناطقين بالصينية، مع أن النطاق الجغرافي يشمل الآن اليابان وماليزيا. تشير الأنماط التشغيلية - الاستطلاع، والاستهداف الإقليمي، والمتابعة الخفية، ووظائف التسلل النمطية - إلى جمع معلومات استخباراتية في المنطقة، مع ترك عمليات الزرع خاملة في كثير من الأحيان في انتظار تعليمات إضافية.

ملخص

قام مشغلو شبكة Silver Fox بتوسيع نطاق نشاط Winos 4.0 وإضافة HoldingHands RAT إلى مجموعة أدواتهم، باستخدام هندسة اجتماعية متطورة (ملفات PDF وصفحات مُشوّهة بتحسين محركات البحث) وسلسلة تنفيذ متطورة متعددة المراحل تُسيء استخدام سلوك Task Scheduler وامتيازات TrustedInstaller للاستمرار والتهرب من الكشف. تشير قدرات العملية واستهدافها إلى جهد إقليمي مُركّز لجمع المعلومات الاستخبارية، مع غرسات طويلة الأمد ومُصمّمة لوحدات نمطية تنتظر أوامر المشغل.