Preventivo sconto multi-licenza
Database delle minacce Strumenti di amministrazione remota HoldingHands RAT

HoldingHands RAT

Entro Mezo nel Strumenti di amministrazione remota, Minaccia persistente avanzata (APT)
Traduci in:

Gli autori della minaccia alla famiglia di malware Winos 4.0 (nota anche come ValleyRAT) hanno esteso le loro operazioni oltre Cina e Taiwan, prendendo di mira Giappone e Malesia. In queste recenti campagne, il gruppo ha distribuito un secondo trojan di accesso remoto (RAT) identificato come HoldingHands (noto anche come Gh0stBins), utilizzando come vettore principale documenti di phishing frutto di ingegneria sociale.

Come si diffonde la campagna

Gli aggressori distribuiscono il malware tramite e-mail di phishing che includono allegati PDF con link dannosi incorporati. I PDF impersonano comunicazioni ufficiali, in alcuni casi spacciandosi per documenti del Ministero delle Finanze, e contengono più link, solo uno dei quali conduce al download dannoso. In altri casi, l'esca è una pagina web (ad esempio, una pagina in lingua giapponese ospitata a un URL come "twsww[.]xin/download[.]html") che invita le vittime a scaricare un archivio ZIP contenente il RAT.

Metodi di distribuzione e attribuzione

Winos 4.0 viene comunemente propagato tramite campagne di phishing e SEO-poisoning che reindirizzano le vittime a pagine di download fasulle spacciate per software legittimo (tra gli esempi osservati figurano installer contraffatti per Google Chrome, Telegram, Youdao, Sogou AI, WPS Office e DeepSeek). I ricercatori di sicurezza collegano l'uso di Winos a un aggressivo gruppo di criminali informatici noto come Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 e Void Arachne. Nel settembre 2025, i ricercatori hanno segnalato che questo autore stava abusando di un driver vulnerabile precedentemente non documentato, incluso in un prodotto del fornitore chiamato WatchDog Anti-malware, in una tecnica BYOVD (Bring Your Own Vulnerable Driver) per disabilitare la protezione degli endpoint. In precedenza (agosto 2025), il gruppo aveva utilizzato tecniche di SEO poisoning per diffondere i moduli HiddenGh0st e Winos, e un report di giugno ha documentato l'utilizzo da parte di Silver Fox di PDF trappola per mettere in scena infezioni in più fasi che alla fine hanno sfruttato HoldingHands RAT. Tra le esche storiche figurano file Excel a tema fiscale utilizzati contro la Cina fin da marzo 2024; gli sforzi recenti si sono concentrati su landing page di phishing mirate alla Malesia.

Infezione multistadio e persistenza

L'infezione in genere inizia con un file eseguibile mascherato da controllo delle accise o altro documento ufficiale. Tale file eseguibile carica lateralmente una DLL dannosa, che funge da caricatore di shellcode per un payload denominato "sw.dat". Il caricatore esegue diverse azioni di anti-analisi e difensive (controlli anti-VM, scansione dei processi in esecuzione alla ricerca di prodotti di sicurezza noti e loro terminazione, aumento dei privilegi e disattivazione dell'Utilità di pianificazione di Windows) prima di passare il controllo alle fasi successive.

File osservati rilasciati nel sistema:

  • svchost.ini — contiene l'RVA per VirtualAlloc.
  • TimeBrokerClient.dll (il legittimo TimeBrokerClient.dll è stato rinominato BrokerClientCallback.dll).
  • msvchost.dat: codice shell crittografato.
  • system.dat — payload crittografato.
  • wkscli.dll — DLL segnaposto/non utilizzata.

    • Trigger dell'utilità di pianificazione e attivazione invisibile

    Anziché basarsi sull'avvio esplicito di un processo, la campagna sfrutta il comportamento dell'Utilità di pianificazione di Windows: l'Utilità di pianificazione viene eseguita come servizio tramite svchost.exe e, per impostazione predefinita, è configurata per riavviarsi subito dopo un errore. Il malware modifica i file in modo che, al riavvio del servizio Utilità di pianificazione, svchost.exe carichi il file dannoso TimeBrokerClient.dll (rinominato BrokerClientCallback.dll). Tale DLL alloca memoria per lo shellcode crittografato utilizzando l'indirizzo VirtualAlloc memorizzato in svchost.ini, quindi fa sì che msvchost.dat decrittografi system.dat ed estragga il payload HoldingHands. Questo trigger "riavvio servizio → caricamento DLL" riduce la necessità di esecuzione diretta del processo e complica il rilevamento basato sul comportamento.

    Escalation dei privilegi a TrustedInstaller

    Per ottenere le autorizzazioni necessarie per rinominare e sostituire i componenti di sistema protetti (ad esempio, rinominando il file TimeBrokerClient.dll originale), il caricatore impersona account di sistema con privilegi elevati. La sequenza osservata è la seguente:

    • Abilitare SeDebugPrivilege per accedere al processo Winlogon e al suo token.
    • Adotta il token Winlogon per l'esecuzione come SYSTEM.
    • Da SYSTEM, acquisire un contesto di sicurezza TrustedInstaller, ovvero l'account utilizzato da Protezione risorse di Windows per proteggere i file critici del sistema operativo.
    • Utilizzando il contesto TrustedInstaller, il malware può modificare i file protetti in C:\Windows\System32 (un'azione normalmente limitata anche agli amministratori).

    Come il carico utile esegue e mantiene il controllo

    Il componente dannoso TimeBrokerClient alloca memoria in base all'RVA in svchost.ini, inserisce lo shellcode decrittografato da msvchost.dat e lo esegue. Il payload decrittografato decomprime HoldingHands, che quindi stabilisce comunicazioni con un server di comando e controllo (C2) remoto. Le funzionalità osservate includono:

    • Invio delle informazioni sull'host al C2.
    • Invio di messaggi heartbeat ogni 60 secondi per mantenere attivo il canale.
  • Ricezione ed esecuzione di comandi remoti (furto di dati, esecuzione di comandi arbitrari, recupero di payload aggiuntivi).
  • Una funzionalità aggiuntiva che consente all'operatore di aggiornare l'indirizzo C2 tramite una voce del Registro di sistema di Windows.

    • Targeting, focus linguistico e probabile motivo

    Campioni e esche recenti indicano un focus sulle vittime di lingua cinese, sebbene l'ambito geografico ora includa Giappone e Malesia. Gli schemi operativi – ricognizione, targeting regionale, persistenza furtiva e funzionalità di backdoor modulare – indicano una raccolta di informazioni nella regione, con impianti spesso lasciati inattivi in attesa di ulteriori istruzioni.

    Riepilogo

    Gli operatori collegati a Silver Fox hanno ampliato l'attività di Winos 4.0 e aggiunto HoldingHands RAT al loro set di strumenti, utilizzando tecniche di social engineering raffinate (PDF e pagine con errori SEO) e una sofisticata catena di esecuzione multifase che sfrutta il comportamento di Task Scheduler e i privilegi di TrustedInstaller per persistere ed eludere il rilevamento. Le capacità e gli obiettivi dell'operazione suggeriscono uno sforzo mirato di raccolta di informazioni a livello regionale con impianti modulari di lunga durata in attesa dei comandi degli operatori.

    Tendenza

    I più visti

    Caricamento in corso...