HoldingHands RAT

विनोस 4.0 मैलवेयर परिवार (जिसे वैलीआरएटी के नाम से भी जाना जाता है) के पीछे के ख़तरा पैदा करने वाले तत्वों ने चीन और ताइवान से आगे बढ़कर जापान और मलेशिया को भी निशाना बनाया है। इन हालिया अभियानों में, इस समूह ने एक दूसरा रिमोट-एक्सेस ट्रोजन (आरएटी) भी चलाया, जिसकी पहचान होल्डिंगहैंड्स (जिसे घोस्टबिन्स भी कहा जाता है) के रूप में हुई है, जो सोशल इंजीनियरिंग वाले फ़िशिंग दस्तावेज़ों को प्राथमिक वेक्टर के रूप में इस्तेमाल करता है।

अभियान कैसे फैला

हमलावर फ़िशिंग ईमेल के ज़रिए मैलवेयर फैलाते हैं जिनमें पीडीएफ़ अटैचमेंट के साथ दुर्भावनापूर्ण लिंक भी होते हैं। ये पीडीएफ़ आधिकारिक संचार की नकल करते हैं—कुछ मामलों में, वित्त मंत्रालय के दस्तावेज़ों के रूप में प्रस्तुत होते हैं—और इनमें कई लिंक होते हैं, जिनमें से केवल एक ही दुर्भावनापूर्ण डाउनलोड की ओर ले जाता है। अन्य घटनाओं में, लालच एक वेब पेज (उदाहरण के लिए, 'twsww[.]xin/download[.]html' जैसे यूआरएल पर होस्ट किया गया एक जापानी भाषा का पेज) होता है जो पीड़ितों को RAT युक्त एक ज़िप संग्रह लाने के लिए प्रेरित करता है।

वितरण विधियाँ और विशेषताएँ

Winos 4.0 को आमतौर पर फ़िशिंग और SEO-विषाक्तता अभियानों के माध्यम से प्रचारित किया जाता है जो पीड़ितों को वैध सॉफ़्टवेयर के रूप में प्रस्तुत किए गए फ़र्ज़ी डाउनलोड पृष्ठों पर पुनर्निर्देशित करते हैं (उदाहरणों में Google Chrome, Telegram, Youdao, Sogou AI, WPS Office और DeepSeek के नकली इंस्टॉलर शामिल हैं)। सुरक्षा शोधकर्ता Winos के उपयोग को एक आक्रामक साइबर अपराधी समूह से जोड़ते हैं, जिसे सिल्वर फ़ॉक्स, स्विमस्नेक, वैली थीफ़ (द ग्रेट थीफ़ ऑफ़ वैली), UTG-Q-1000 और वॉयड अर्चन के नाम से जाना जाता है। सितंबर 2025 में, शोधकर्ताओं ने बताया कि इस अभिनेता ने एंडपॉइंट सुरक्षा को अक्षम करने के लिए BYOVD (अपना खुद का वल्नरेबल ड्राइवर लाएँ) तकनीक का उपयोग करके वॉचडॉग एंटी-मैलवेयर नामक एक विक्रेता उत्पाद के साथ बंडल किए गए एक पहले से अनिर्दिष्ट वल्नरेबल ड्राइवर का दुरुपयोग किया। इससे पहले (अगस्त 2025), इस समूह ने HiddenGh0st और Winos मॉड्यूल फैलाने के लिए SEO पॉइज़निंग का इस्तेमाल किया था, और जून की रिपोर्ट में सिल्वर फॉक्स द्वारा बहु-चरणीय संक्रमणों को अंजाम देने के लिए नकली PDF का इस्तेमाल करने का दस्तावेजीकरण किया गया था, जिसने अंततः HoldingHands RAT का इस्तेमाल किया। ऐतिहासिक प्रलोभनों में मार्च 2024 से चीन के खिलाफ इस्तेमाल की जाने वाली कराधान-थीम वाली एक्सेल फाइलें शामिल हैं; हाल ही में मलेशियाई-लक्षित फ़िशिंग लैंडिंग पृष्ठों पर प्रयास किए गए हैं।

बहु-चरणीय संक्रमण और दृढ़ता

संक्रमण आमतौर पर एक एक्साइज ऑडिट या अन्य आधिकारिक दस्तावेज़ के रूप में प्रच्छन्न एक निष्पादन योग्य फ़ाइल से शुरू होता है। यह निष्पादन योग्य फ़ाइल एक दुर्भावनापूर्ण DLL को साइडलोड करती है, जो 'sw.dat' नामक पेलोड के लिए शेलकोड लोडर का काम करती है। यह लोडर कई एंटी-विश्लेषण और रक्षात्मक क्रियाएँ करता है—एंटी-वीएम जाँच, ज्ञात सुरक्षा उत्पादों के लिए चल रही प्रक्रियाओं को स्कैन करना और उन्हें समाप्त करना, विशेषाधिकारों को बढ़ाना, और विंडोज़ टास्क शेड्यूलर को अक्षम करना—इसके बाद नियंत्रण को अगले चरणों को सौंप देता है।

सिस्टम में छोड़ी गई फ़ाइलें:

• svchost.ini — इसमें VirtualAlloc के लिए RVA शामिल है।
• TimeBrokerClient.dll (वैध TimeBrokerClient.dll का नाम बदलकर BrokerClientCallback.dll कर दिया गया है).

• msvchost.dat - एन्क्रिप्टेड शेलकोड।

• system.dat — एन्क्रिप्टेड पेलोड.

• wkscli.dll — अप्रयुक्त/प्लेसहोल्डर DLL.

कार्य शेड्यूलर ट्रिगर और गुप्त सक्रियण

किसी स्पष्ट प्रक्रिया लॉन्च पर निर्भर रहने के बजाय, यह अभियान Windows टास्क शेड्यूलर व्यवहार का लाभ उठाता है: टास्क शेड्यूलर svchost.exe के अंतर्गत एक सेवा के रूप में चलता है और डिफ़ॉल्ट रूप से विफलता के तुरंत बाद पुनः आरंभ करने के लिए कॉन्फ़िगर किया गया है। मैलवेयर फ़ाइलों में इस प्रकार परिवर्तन करता है कि जब टास्क शेड्यूलर सेवा पुनः आरंभ होती है, तो svchost.exe दुर्भावनापूर्ण TimeBrokerClient.dll (जिसका नाम बदलकर BrokerClientCallback.dll कर दिया गया है) लोड कर देता है। यह DLL svchost.ini में संग्रहीत VirtualAlloc पते का उपयोग करके एन्क्रिप्टेड शेलकोड के लिए मेमोरी आवंटित करता है, फिर msvchost.dat को system.dat को डिक्रिप्ट करने और HoldingHands पेलोड को निकालने का कारण बनता है। यह 'सेवा पुनः आरंभ → DLL लोड' ट्रिगर सीधे प्रक्रिया निष्पादन की आवश्यकता को कम करता है और व्यवहार-आधारित पहचान को जटिल बनाता है।

विश्वसनीय इंस्टॉलर के लिए विशेषाधिकार वृद्धि

संरक्षित सिस्टम घटकों का नाम बदलने और उन्हें बदलने के लिए आवश्यक अनुमतियाँ प्राप्त करने हेतु (उदाहरण के लिए, वास्तविक TimeBrokerClient.dll का नाम बदलना), लोडर उच्च-विशेषाधिकार वाले सिस्टम खातों का प्रतिरूपण करता है। देखा गया क्रम इस प्रकार है:

• Winlogon प्रक्रिया और उसके टोकन तक पहुँचने के लिए SeDebugPrivilege को सक्षम करें।
• सिस्टम के रूप में चलाने के लिए Winlogon टोकन को अपनाएं।
• सिस्टम से, ट्रस्टेडइंस्टालर सुरक्षा संदर्भ प्राप्त करें - वह खाता जिसका उपयोग विंडोज रिसोर्स प्रोटेक्शन द्वारा महत्वपूर्ण ओएस फाइलों की सुरक्षा के लिए किया जाता है।
• उस ट्रस्टेडइंस्टालर संदर्भ का उपयोग करते हुए, मैलवेयर C:\Windows\System32 में संरक्षित फ़ाइलों को संशोधित कर सकता है (यह क्रिया सामान्यतः प्रशासकों के लिए भी प्रतिबंधित होती है)।

पेलोड कैसे नियंत्रण निष्पादित करता है और बनाए रखता है

दुर्भावनापूर्ण TimeBrokerClient घटक svchost.ini में RVA के अनुसार मेमोरी आवंटित करता है, msvchost.dat से डिक्रिप्टेड शेलकोड को वहाँ रखता है और उसे चलाता है। डिक्रिप्टेड पेलोड HoldingHands को अनपैक करता है, जो फिर एक दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार स्थापित करता है। देखी गई क्षमताओं में शामिल हैं:

• होस्ट जानकारी C2 को भेजना.
• चैनल को सक्रिय रखने के लिए हर 60 सेकंड में हृदय गति संदेश भेजना।
• दूरस्थ आदेश प्राप्त करना और उनका निष्पादन करना (डेटा चोरी, मनमाना आदेश निष्पादन, अतिरिक्त पेलोड लाना)।

• एक अतिरिक्त सुविधा जो ऑपरेटर को विंडोज रजिस्ट्री प्रविष्टि के माध्यम से C2 पता अद्यतन करने की अनुमति देती है।

लक्ष्यीकरण, भाषा फोकस, और संभावित उद्देश्य

हाल के नमूने और प्रलोभन चीनी भाषा के शिकारों पर ध्यान केंद्रित करने का संकेत देते हैं, हालाँकि अब भौगोलिक दायरे में जापान और मलेशिया भी शामिल हैं। संचालनात्मक पैटर्न—टोही, क्षेत्रीय लक्ष्यीकरण, गुप्त दृढ़ता, और मॉड्यूलर बैकडोर कार्यक्षमता—इस क्षेत्र में खुफिया जानकारी एकत्र करने की ओर इशारा करते हैं, जहाँ प्रत्यारोपण अक्सर आगे के निर्देशों के इंतजार में निष्क्रिय छोड़ दिए जाते हैं।

सारांश

सिल्वर फॉक्स से जुड़े ऑपरेटरों ने विनोस 4.0 गतिविधि का विस्तार किया है और अपने टूलसेट में होल्डिंगहैंड्स आरएटी को शामिल किया है। इसके लिए उन्होंने परिष्कृत सोशल इंजीनियरिंग (पीडीएफ और एसईओ-विषाक्त पृष्ठ) और एक परिष्कृत बहु-चरणीय निष्पादन श्रृंखला का उपयोग किया है जो टास्क शेड्यूलर व्यवहार और ट्रस्टेडइंस्टालर विशेषाधिकारों का दुरुपयोग करके लगातार सक्रिय रहती है और पहचान से बचती है। इस ऑपरेशन की क्षमताएँ और लक्ष्यीकरण, एक केंद्रित क्षेत्रीय खुफिया जानकारी संग्रह प्रयास का संकेत देते हैं जिसमें लंबे समय तक चलने वाले, मॉड्यूलर इम्प्लांट ऑपरेटर के आदेशों की प्रतीक्षा करते हैं।