26/05/25
За акцией стоит крайне изобретательная группировка, специализирующаяся на атаках против китаеязычных пользователей, а всё развёртывание заражённых систем построено на серии технических уловок и переключениях между этапами заражения.
Атака начинается с загрузки пользователем поддельного установщика NSIS, который внешне неотличим от легального инсталлятора браузера QQ Browser, созданного компанией Tencent, пишут в Securitylab. Вместо привычного программного обеспечения на устройство попадает продуманная цепочка загрузки, получившая название Catena. Этот модуль не только разворачивает первый этап вредоносного кода прямо в оперативной памяти, но и по мере необходимости подключается к управляющим серверам злоумышленников, расположенным преимущественно в Гонконге, чтобы загружать дополнительные вредоносные компоненты.
Catena использует сложную схему: shellcode и конфигурационные данные встроены прямо в файлы настроек, а запуск основной вредоносной нагрузки происходит с помощью технологии Reflective DLL Injection — благодаря этому вредонос практически не оставляет следов на диске и ускользает от традиционных антивирусов . Для обеспечения долгосрочного присутствия на системе программа регистрирует задания на выполнение, которые активируются через несколько недель после заражения.
Основная цель атаки — распространение фреймворка Winos 4.0 (он же ValleyRAT), который был впервые подробно описан специалистами Trend Micro летом 2024 года. Вредонос обладает модульной архитектурой и строится на базе уже известного удалённого трояна Gh0st RAT . Среди возможностей Winos 4.0 — сбор данных с заражённого устройства, удалённое управление через shell, а также проведение DDoS-атак . Вся архитектура построена на системе плагинов, что делает этот фреймворк гибким и легко масштабируемым для разных задач.
Группировка, стоящая за распространением Winos 4.0, известна как Void Arachne или Silver Fox. По данным Rapid7, их новая кампания вышла на новый уровень технической маскировки — вредоносные установщики маскируются под легитимные программы, а часть из них подписана настоящими, но уже просроченными сертификатами, что дополнительно затрудняет выявление угрозы. В одном из случаев для подписи был использован сертификат, якобы выданный Tencent Technology (Shenzhen), срок действия которого истёк в 2020 году.
В апреле 2025 года специалисты зафиксировали ещё одну волну атак с использованием установщиков LetsVPN. Здесь схема усложнилась: PowerShell-скрипт добавляет папки всех дисков (от C до Z) в исключения Microsoft Defender, чтобы вредонос мог работать без помех. Дополнительно в систему внедряются компоненты, снимающие снимки запущенных процессов и проверяющие наличие защитных решений.
Для связи с управляющими серверами используется зашитая в коде информация — соединения устанавливаются по нестандартным портам TCP 18856 и HTTPS 443, что помогает обходить базовые средства мониторинга. Адреса командных серверов часто меняются, а сама инфраструктура демонстрирует пересечения с предыдущими кампаниями Silver Fox APT .
Особенность всей кампании — акцент на китаеязычных пользователях и долгосрочное, незаметное присутствие на системе. Проверка языка на устройстве реализована не полностью: если настройка системы не соответствует китайскому, вредонос всё равно продолжает работать, что намекает на экспериментальные функции и доработку будущих версий. Подобные атаки являются характерной чертой китайских хакерских группировок , которые всё чаще используют сложные многоэтапные техники компрометации.
В целом, исследование Rapid7 подчёркивает высокий уровень организации и технологичности операции: вредоносные компоненты работают преимущественно в памяти, загрузка и выполнение происходят без лишних следов, а маскировка под популярное ПО и использование легитимных сертификатов делают атаку особенно опасной для пользователей, привыкших доверять официальным источникам. Эксперты отмечают, что современные безфайловые атаки становятся всё более изощрёнными, используя легитимные системные инструменты для обхода традиционных методов защиты.
