Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Hulpmiddelen voor extern beheer HoldingHands RAT

HoldingHands RAT

Tegen Mezo in Hulpmiddelen voor extern beheer, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De dreigingsactoren achter de Winos 4.0-malwarefamilie (ook wel bekend als ValleyRAT) hebben hun activiteiten uitgebreid van China en Taiwan naar Japan en Maleisië. In deze recente campagnes lanceerde de groep een tweede remote-access trojan (RAT), geïdentificeerd als HoldingHands (ook bekend als Gh0stBins), waarbij social engineered phishingdocumenten als primaire vector werden gebruikt.

Hoe de campagne zich verspreidt

Aanvallers verspreiden de malware via phishingmails met pdf-bijlagen met kwaadaardige links. De pdf's imiteren officiële communicatie – in sommige gevallen doen ze zich voor als documenten van het Ministerie van Financiën – en bevatten meerdere links, waarvan er slechts één naar de kwaadaardige download leidt. In andere gevallen is de lokker een webpagina (bijvoorbeeld een Japanstalige pagina die gehost wordt op een URL zoals 'twsww[.]xin/download[.]html') die slachtoffers ertoe aanzet een zip-bestand met de RAT op te halen.

Distributiemethoden en attributie

Winos 4.0 wordt vaak verspreid via phishing- en SEO-poisoningcampagnes die slachtoffers doorverwijzen naar valse downloadpagina's die zich voordoen als legitieme software (geobserveerde voorbeelden zijn onder andere namaakinstallatieprogramma's voor Google Chrome, Telegram, Youdao, Sogou AI, WPS Office en DeepSeek). Beveiligingsonderzoekers koppelen het gebruik van Winos aan een agressieve cybercriminele groep die bekendstaat als Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 en Void Arachne. In september 2025 meldden onderzoekers dat deze actor misbruik maakte van een eerder niet-gedocumenteerde kwetsbare driver die gebundeld was met een product van een leverancier genaamd WatchDog Anti-malware in een BYOVD-techniek (Bring Your Own Vulnerable Driver) om endpoint protection uit te schakelen. Eerder (augustus 2025) gebruikte de groep SEO-pogingen om de modules HiddenGh0st en Winos te verspreiden, en in juni werd gerapporteerd dat Silver Fox pdf's met boobytraps gebruikte om meerstapsinfecties te ensceneren, wat uiteindelijk leidde tot HoldingHands RAT. Historische lokkertjes zijn onder andere Excel-bestanden met belastingthema's die al sinds maart 2024 tegen China werden gebruikt; recente inspanningen zijn verschoven naar phishing-landingspagina's gericht op Maleisië.

Meervoudige infectie en persistentie

De infectie begint meestal met een uitvoerbaar bestand dat zich voordoet als een accijnsaudit of ander officieel document. Dat uitvoerbare bestand laadt een kwaadaardige DLL, die fungeert als shellcode-loader voor een payload met de naam 'sw.dat'. De loader voert verschillende anti-analyse- en verdedigingsacties uit – anti-VM-controles, het scannen van actieve processen op bekende beveiligingsproducten en het beëindigen ervan, het verhogen van bevoegdheden en het uitschakelen van de Windows Taakplanner – voordat de controle wordt overgedragen aan volgende fasen.

Waargenomen bestanden die in het systeem zijn terechtgekomen:

  • svchost.ini — bevat de RVA voor VirtualAlloc.
  • TimeBrokerClient.dll (de legitieme TimeBrokerClient.dll hernoemd naar BrokerClientCallback.dll).
  • msvchost.dat — gecodeerde shellcode.
  • system.dat — gecodeerde payload.
  • wkscli.dll — ongebruikte/tijdelijke DLL.

    • Taakplanner Trigger en stealth-activering

    In plaats van te vertrouwen op een expliciete processtart, maakt de campagne gebruik van het gedrag van Windows Taakplanner: Taakplanner wordt uitgevoerd als een service onder svchost.exe en is standaard geconfigureerd om kort na een storing opnieuw op te starten. De malware wijzigt bestanden zodat svchost.exe de schadelijke TimeBrokerClient.dll laadt (hernoemd tot BrokerClientCallback.dll) wanneer de Taakplanner opnieuw wordt opgestart. Deze DLL wijst geheugen toe aan de versleutelde shellcode met behulp van het VirtualAlloc-adres in svchost.ini en zorgt er vervolgens voor dat msvchost.dat system.dat decodeert en de HoldingHands-payload extraheert. Deze 'service restart → DLL load'-trigger vermindert de noodzaak voor directe procesuitvoering en compliceert gedragsgebaseerde detectie.

    Privilege-escalatie naar TrustedInstaller

    Om de benodigde rechten te verkrijgen voor het hernoemen en vervangen van beveiligde systeemcomponenten (bijvoorbeeld het hernoemen van de originele TimeBrokerClient.dll), imiteert de loader systeemaccounts met hoge rechten. De volgende volgorde wordt aangehouden:

    • Schakel SeDebugPrivilege in om toegang te krijgen tot het Winlogon-proces en het bijbehorende token.
    • Gebruik het Winlogon-token om als SYSTEM te draaien.
    • Verkrijg vanuit SYSTEEM een TrustedInstaller-beveiligingscontext: het account dat door Windows Resource Protection wordt gebruikt om kritieke besturingssysteembestanden te beschermen.
    • Met behulp van de TrustedInstaller-context kan de malware beveiligde bestanden in C:\Windows\System32 wijzigen (een actie die normaal gesproken zelfs voor beheerders is geblokkeerd).

    Hoe de lading wordt uitgevoerd en de controle behoudt

    De kwaadaardige TimeBrokerClient-component wijst geheugen toe volgens de RVA in svchost.ini, plaatst de gedecodeerde shellcode van msvchost.dat daar en voert deze uit. De gedecodeerde payload pakt HoldingHands uit, dat vervolgens verbinding maakt met een externe command-and-control (C2)-server. De waargenomen mogelijkheden omvatten:

    • Hostinformatie naar de C2 sturen.
    • Elke 60 seconden worden er heartbeatberichten verzonden om het kanaal actief te houden.
  • Het ontvangen en uitvoeren van externe opdrachten (diefstal van gegevens, willekeurige uitvoering van opdrachten, ophalen van extra payloads).
  • Een extra functie waarmee de operator het C2-adres via een Windows-registervermelding kan bijwerken.

    • Targeting, taalfocus en waarschijnlijk motief

    Recente monsters en lokaas duiden erop dat de focus ligt op slachtoffers die Chinees spreken, hoewel de geografische reikwijdte nu ook Japan en Maleisië omvat. De operationele patronen – verkenning, regionale targeting, sluipende persistentie en modulaire achterdeurfunctionaliteit – wijzen op inlichtingenvergaring in de regio, waarbij implantaten vaak ongebruikt blijven in afwachting van verdere instructies.

    Samenvatting

    Operators die aan Silver Fox zijn gekoppeld, hebben de activiteit van Winos 4.0 uitgebreid en HoldingHands RAT aan hun toolset toegevoegd. Ze gebruiken verfijnde social engineering (pdf's en SEO-vergiftigde pagina's) en een geavanceerde meerfasenuitvoeringsketen die misbruik maakt van het gedrag van de Taakplanner en TrustedInstaller-rechten om te blijven bestaan en detectie te ontwijken. De mogelijkheden en targeting van de operatie suggereren een gerichte regionale inlichtingenvergaring met modulaire implantaten die lang meegaan en wachten op commando's van de operator.

    Trending

    Meest bekeken

    Bezig met laden...