Una recente campagna malware ha attirato l’attenzione degli esperti di cybersecurity per l’uso di falsi installer di software popolari, come LetsVPN e QQ Browser, per diffondere il framework malevolo Winos 4.0. Questa minaccia, individuata per la prima volta a febbraio 2025, si basa su una catena di infezione multi-stadio orchestrata dal loader Catena, progettato per risiedere in memoria e sfuggire ai controlli degli antivirus tradizionali.

Il loader Catena utilizza shellcode incorporato e una logica di configurazione dinamica per caricare i payload come Winos 4.0 interamente in memoria. Una volta avviato, il malware stabilisce una connessione silenziosa a server controllati dagli attaccanti, prevalentemente ospitati a Hong Kong, da cui riceve istruzioni aggiuntive o scarica ulteriori componenti malevoli. L’operazione si distingue per la sua pianificazione accurata e per il focus su ambienti di lingua cinese, suggerendo la presenza di un attore sofisticato e persistente.

Winos 4.0 e le sue funzionalità principali

Winos 4.0, conosciuto anche come ValleyRAT, è stato documentato per la prima volta nel 2024 e deriva dal noto trojan Gh0st RAT. Scritto in C++, integra un sistema plugin che permette di raccogliere dati, fornire accesso remoto alla shell e condurre attacchi DDoS. Nelle campagne più recenti, i cybercriminali hanno sfruttato installer NSIS compromessi che imitano software legittimi, inserendo shellcode all’interno di file .ini e usando tecniche di reflective DLL injection per mantenere l’infezione e la persistenza sul sistema bersaglio senza destare sospetti.

Tecniche di distribuzione e persistenza

Il malware si installa tramite un falso installer NSIS che si finge installer del browser QQ, veicolando Winos 4.0 attraverso Catena. La comunicazione con l’infrastruttura di comando e controllo avviene su porte TCP e HTTPS dedicate, assicurando il controllo remoto dell’host infetto. La persistenza viene garantita tramite la registrazione di task pianificati che si attivano anche settimane dopo la compromissione iniziale.

Nuove tecniche di evasione

Una novità rilevante delle ultime campagne è l’evoluzione delle tecniche di evasione: il malware ora esegue comandi PowerShell per escludere tutte le unità dal controllo di Microsoft Defender, oltre a verificare la presenza di antivirus come 360 Total Security. L’eseguibile, firmato con un certificato scaduto, carica in modalità riflessiva una DLL che avvia la connessione ai server di comando.

Questa campagna evidenzia l’efficacia dell’uso di software trojanizzati, payload residenti in memoria e certificati apparentemente legittimi per sfuggire ai sistemi di sicurezza. Il collegamento tra questa attività e il gruppo Silver Fox APT suggerisce una strategia focalizzata sull’area asiatica e, in particolare, sugli utenti di lingua cinese.