Siber güvenlik araştırmacıları, Winos 4.0 çerçevesini sunmak için LetsVPN ve QQ Browser gibi popüler araçlar gibi görünen sahte yazılım yükleyicileri kullanan bir kötü amaçlı yazılım kampanyasını ifşa etti.
Rapid7 tarafından ilk olarak Şubat 2025'te tespit edilen kampanya, Catena adı verilen çok aşamalı, bellekte yerleşik bir yükleyicinin kullanımını içeriyor.
Güvenlik araştırmacıları Anna Širokova ve Ivan Feigl, "Catena, Winos 4.0 gibi yükleri tamamen bellekte düzenlemek için gömülü kabuk kodu ve yapılandırma değiştirme mantığını kullanır ve geleneksel antivirüs araçlarından kaçınır," dedi. "Kurulduktan sonra, çoğunlukla Hong Kong'da barındırılan saldırgan kontrollü sunuculara sessizce bağlanarak takip talimatları veya ek kötü amaçlı yazılımlar alır."
Geçmişte Winos 4.0'ı kullanan saldırılar gibi, bu saldırıların özellikle Çince konuşulan ortamlara odaklandığı görülüyor; siber güvenlik şirketi, çok yetenekli bir tehdit aktörünün "dikkatli, uzun vadeli planlama" yaptığını söylüyor.
Winos 4.0 (diğer adıyla ValleyRAT) ilk olarak Haziran 2024'te Trend Micro tarafından VPN uygulamaları için kötü amaçlı Windows Installer (MSI) dosyaları aracılığıyla Çince konuşan kullanıcıları hedef alan saldırılarda kullanıldığı kamuoyuna açıklandı. Etkinlik, Silver Fox olarak da adlandırılan Void Arachne olarak takip ettiği bir tehdit kümesine atfedildi.
Gh0st RAT adlı bilinen bir uzaktan erişim trojanının temelleri üzerine inşa edilen Winos 4.0, eklenti tabanlı bir sistem kullanarak veri toplamak, uzaktan kabuk erişimi sağlamak ve dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için C++ ile yazılmış gelişmiş bir kötü amaçlı çerçevedir.
Rapid7, Şubat 2025'te işaretlenen tüm yapıtların, imzalı sahte uygulamalarla birlikte gelen NSIS yükleyicilerine, ".ini" dosyalarına gömülü kabuk koduna ve enfekte olmuş ana bilgisayarlarda gizlice kalıcılığı sürdürmek ve tespit edilmekten kaçınmak için yansıtıcı DLL enjeksiyonuna dayandığını söyledi. Tüm enfeksiyon zincirine Catena takma adı verildi.
Araştırmacılar, "Kampanya şu ana kadar 2025 boyunca aktifti ve bazı taktik ayarlamalarla tutarlı bir enfeksiyon zinciri gösterdi; bu da yetenekli ve uyarlanabilir bir tehdit aktörüne işaret ediyor" dedi.
Başlangıç noktası, Tencent tarafından geliştirilen ve Winos 4.0'ı Catena kullanarak sunmak üzere tasarlanmış Chromium tabanlı bir web tarayıcısı olan QQ Browser için bir yükleyiciyi taklit eden trojanlı bir NSIS yükleyicisidir. Kötü amaçlı yazılım, TCP portu 18852 ve HTTPS portu 443 üzerinden sabit kodlu komut ve kontrol (C2) altyapısıyla iletişim kurar.
Ana bilgisayardaki kalıcılık, ilk ihlalden haftalar sonra yürütülen zamanlanmış görevlerin kaydedilmesiyle elde edilir. Kötü amaçlı yazılım, sistemde Çince dil ayarlarını aramak için açık bir kontrol özelliğine sahip olsa da, durum böyle olmasa bile yürütmeye devam eder.
Bu, bunun tamamlanmamış bir özellik olduğunu ve kötü amaçlı yazılımın sonraki yinelemelerinde uygulanması beklenen bir şey olduğunu gösterir. Bununla birlikte, Rapid7, Nisan 2025'te yalnızca Catena yürütme zincirinin bazı öğelerini değiştirmekle kalmayıp aynı zamanda antivirüs tespitinden kaçınmak için özellikler de içeren bir "taktiksel kayma" tespit ettiğini söyledi.
Yenilenen saldırı dizisinde, NSIS yükleyicisi LetsVPN için bir kurulum dosyası olarak gizlenir ve tüm sürücüler (C:\ ile Z:\) için Microsoft Defender dışlamaları ekleyen bir PowerShell komutu çalıştırır . Daha sonra, çalışan işlemlerin anlık görüntüsünü alan ve Çinli satıcı Qihoo 360 tarafından geliştirilen bir antivirüs ürünü olan 360 Total Security ile ilgili işlemleri kontrol eden bir yürütülebilir dosya da dahil olmak üzere ek yükler bırakır.
İkili dosya, VeriSign tarafından verilen ve iddiaya göre Tencent Technology'ye (Shenzhen) ait olan süresi dolmuş bir sertifika ile imzalanmıştır. 2018-10-11 ile 2020-02-02 tarihleri arasında geçerliydi. Yürütülebilir dosyanın birincil sorumluluğu, Winos 4.0'ı indirmek ve çalıştırmak için bir C2 sunucusuna ("134.122.204[.]11:18852" veya "103.46.185[.]44:443") bağlanan bir DLL dosyasını yansıtıcı bir şekilde yüklemektir.
Araştırmacılar, "Bu kampanya, Winos 4.0 sahneleyicisini sessizce düşürmek için trojanlanmış NSIS yükleyicilerini kullanan, iyi organize edilmiş, bölgesel odaklı bir kötü amaçlı yazılım operasyonunu gösteriyor" dedi.
"Bu, alarmları tetiklememek için bellekte yerleşik yükler, yansıtıcı DLL yükleme ve meşru sertifikalarla imzalanmış sahte yazılımlara büyük ölçüde dayanmaktadır. Altyapı örtüşmeleri ve dil tabanlı hedefleme, Silver Fox APT ile bağlara işaret ediyor ve aktivite muhtemelen Çince konuşulan ortamları hedefliyor."
