Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota HoldingHands RAT

HoldingHands RAT

El Mezo el Eines d'administració remota, Amenaça persistent avançada (APT)
Traduir a:

Els actors amenaçadors darrere de la família de programari maliciós Winos 4.0 (també coneguts com a ValleyRAT) han estès les seves operacions més enllà de la Xina i Taiwan per atacar el Japó i Malàisia. En aquestes campanyes recents, el grup ha implementat un segon troià d'accés remot (RAT) identificat com a HoldingHands (també conegut com a Gh0stBins), utilitzant documents de phishing modificats socialment com a vector principal.

Com s’estén la campanya

Els atacants distribueixen el programari maliciós a través de correus electrònics de phishing que inclouen fitxers adjunts en PDF amb enllaços maliciosos incrustats. Els PDF suplanten comunicacions oficials (en alguns casos, fent-se passar per documents del Ministeri de Finances) i contenen diversos enllaços, només un dels quals condueix a la descàrrega maliciosa. En altres incidents, l'esquer és una pàgina web (per exemple, una pàgina en japonès allotjada en una URL com ara "twsww[.]xin/download[.]html") que demana a les víctimes que obtinguin un arxiu ZIP que conté el RAT.

Mètodes de distribució i atribució

Winos 4.0 es propaga habitualment mitjançant campanyes de phishing i enverinament SEO que redirigeixen les víctimes a pàgines de descàrrega falses que es fan passar per programari legítim (entre els exemples observats hi ha instal·ladors falsificats per a Google Chrome, Telegram, Youdao, Sogou AI, WPS Office i DeepSeek). Els investigadors de seguretat vinculen l'ús de Winos amb un clúster ciberdelinqüent agressiu conegut com a Silver Fox, SwimSnake, Valley Thief (El Gran Lladre de la Vall), UTG-Q-1000 i Void Arachne. El setembre de 2025, els investigadors van informar que aquest actor estava abusant d'un controlador vulnerable prèviament indocumentat, inclòs amb un producte del proveïdor anomenat WatchDog Anti-malware en una tècnica BYOVD (Bring Your Own Vulnerable Driver) per desactivar la protecció de punts finals. Anteriorment (agost de 2025), el grup va utilitzar enverinament SEO per propagar els mòduls HiddenGh0st i Winos, i un informe del juny va documentar que Silver Fox utilitzava PDF amb trampes per organitzar infeccions de diversos passos que finalment van desplegar el RAT de HoldingHands. Entre els esquers històrics s'inclouen fitxers Excel amb temàtica fiscal utilitzats contra la Xina des del març del 2024; els esforços recents s'han centrat en pàgines de destinació de phishing dirigides a Malàisia.

Infecció multietapa i persistència

La infecció normalment comença amb un executable que es fa passar per una auditoria d'accises o un altre document oficial. Aquest executable carrega lateralment una DLL maliciosa, que actua com a carregador de shellcode per a una càrrega útil anomenada "sw.dat". El carregador realitza diverses accions antianàlisi i defensives (comprovacions anti-VM, anàlisi de processos en execució per a productes de seguretat coneguts i finalització, escalada de privilegis i desactivació del Programador de tasques de Windows) abans de cedir el control a les etapes posteriors.

Fitxers observats que s'han deixat caure al sistema:

  • svchost.ini — conté l'RVA per a VirtualAlloc.
  • TimeBrokerClient.dll (el fitxer legítim TimeBrokerClient.dll ha estat rebatejat com a BrokerClientCallback.dll).
  • msvchost.dat — shellcode xifrat.
  • system.dat — càrrega útil xifrada.
  • wkscli.dll — DLL no utilitzada/de marcador de posició.

Activació discreta i activació del programador de tasques

En lloc de confiar en un inici de procés explícit, la campanya aprofita el comportament del Programador de tasques de Windows: el Programador de tasques s'executa com un servei sota svchost.exe i, per defecte, està configurat per reiniciar-se poc després d'un error. El programari maliciós altera els fitxers de manera que quan es reinicia el servei del Programador de tasques, svchost.exe carrega el fitxer maliciós TimeBrokerClient.dll (rebatejat com a BrokerClientCallback.dll). Aquesta DLL assigna memòria per al codi de shell xifrat mitjançant l'adreça VirtualAlloc emmagatzemada a svchost.ini i, a continuació, fa que msvchost.dat desxifri system.dat i extregui la càrrega útil de HoldingHands. Aquest activador de "reinici del servei → càrrega de DLL" redueix la necessitat d'execució directa del procés i complica la detecció basada en el comportament.

Escalada de privilegis a TrustedInstaller

Per obtenir els permisos necessaris per canviar el nom i substituir els components del sistema protegits (per exemple, canviar el nom del fitxer TimeBrokerClient.dll genuí), el carregador suplanta comptes de sistema amb privilegis elevats. La seqüència observada és:

  • Habiliteu SeDebugPrivilege per accedir al procés Winlogon i al seu testimoni.
  • Adopta el token de Winlogon per executar-se com a SYSTEM.
  • Des de SYSTEM, adquireix un context de seguretat TrustedInstaller: el compte que utilitza Windows Resource Protection per protegir els fitxers crítics del sistema operatiu.
  • Utilitzant aquest context TrustedInstaller, el programari maliciós pot modificar els fitxers protegits a C:\Windows\System32 (una acció normalment restringida fins i tot per als administradors).

Com s’executa i manté el control de la càrrega útil

El component maliciós TimeBrokerClient assigna memòria segons l'RVA a svchost.ini, hi col·loca el codi shell desxifrat de msvchost.dat i l'executa. La càrrega útil desxifrada desempaqueta HoldingHands, que després estableix comunicacions amb un servidor remot de comandament i control (C2). Les capacitats observades inclouen:

  • Enviant informació de l'amfitrió al C2.
  • Enviant missatges de batec del cor cada 60 segons per mantenir el canal actiu.
  • Rebre i executar ordres remotes (robatori de dades, execució arbitrària d'ordres, obtenció de càrregues útils addicionals).
  • Una funció afegida que permet a l'operador actualitzar l'adreça C2 mitjançant una entrada del registre de Windows.

Segmentació, enfocament lingüístic i possible motiu

Mostres i esquers recents indiquen que es centren en les víctimes de parla xinesa, tot i que l'abast geogràfic ara inclou el Japó i Malàisia. Els patrons operatius (reconeixement, focalització regional, persistència furtiva i funcionalitat modular de porta del darrere) apunten a la recopilació d'intel·ligència a la regió, amb implants que sovint queden inactius a l'espera de més instruccions.

Resum

Els operadors vinculats a Silver Fox han ampliat l'activitat de Winos 4.0 i han afegit HoldingHands RAT al seu conjunt d'eines, utilitzant enginyeria social refinada (PDF i pàgines enverinades per SEO) i una sofisticada cadena d'execució multietapa que abusa del comportament del Programador de tasques i dels privilegis de TrustedInstaller per persistir i evadir la detecció. Les capacitats i la selecció de objectius de l'operació suggereixen un esforç de recopilació d'intel·ligència regional centrat amb implants modulars de llarga durada que esperen ordres de l'operador.

Tendència

American Express - Estafa: intent d'inici de sessió...

Phishing, Correu brossa
Els ciberdelinqüents sovint exploten la familiaritat de les marques de confiança per atraure usuaris desprevinguts perquè revelin informació confidencial. L'estafa "American Express - Intent d'inici de sessió bloquejat" és un bon exemple d'aquesta tàctica. Aquests correus electrònics suplanten alertes de seguretat d'American Express, afirmant que s'ha bloquejat un intent d'inici de sessió...

Més vist

Carregant...