Winos 4.0 (diğer adıyla ValleyRAT) olarak bilinen kötü amaçlı yazılım ailesinin arkasındaki tehdit aktörleri, HoldingHands RAT (aka Gh0stBins) olarak takip edilen başka bir uzaktan erişim truva atı (RAT) ile Çin ve Tayvan’dan Japonya ve Malezya’yı hedef alacak şekilde hedefleme ayak izini genişletti.
Fortinet’in FortiGuard Labs araştırmacısı Pei Han Liao, The Hacker News ile paylaşılan bir raporda “Kampanya, gömülü kötü amaçlı bağlantılar içeren PDF’ler içeren kimlik avı e-postalarına dayanıyordu” dedi. “Bu dosyalar Maliye Bakanlığı’nın resmi belgeleri gibi görünüyordu ve Winos 4.0’ı sağlayan bağlantıya ek olarak çok sayıda bağlantı içeriyordu.”
Winos 4.0, genellikle kimlik avı ve arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla yayılan, şüphelenmeyen kullanıcıları diğerlerinin yanı sıra Google Chrome, Telegram, Youdao, Sogou AI, WPS Office ve DeepSeek gibi popüler yazılımlar gibi görünen sahte web sitelerine yönlendiren bir kötü amaçlı yazılım ailesidir.
Winos 4.0’ın kullanımı öncelikle Silver Fox olarak bilinen ve aynı zamanda SwimSnake, The Great Thief of Valley (veya Valley Thief), UTG-Q-1000 ve Void Arachne olarak da takip edilen “agresif” bir Çinli siber suç grubuyla bağlantılıdır.
Geçtiğimiz ay Check Point, tehdit aktörünü, güvenliği ihlal edilmiş ana bilgisayarlara yüklenen güvenlik yazılımını devre dışı bırakmayı amaçlayan Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısının bir parçası olarak WatchDog Anti-malware ile ilişkili önceden bilinmeyen savunmasız bir sürücünün kötüye kullanılmasıyla ilişkilendirdi.
Ardından haftalar sonra Fortinet, HiddenGh0st’i ve Winos kötü amaçlı yazılımıyla ilişkili modülleri dağıtmak için SEO zehirlenmesinden yararlanarak Ağustos 2025’te gerçekleştirilen başka bir kampanyaya ışık tuttu.
Silver Fox’un HoldingHands RAT ile Tayvan ve Japonya’yı hedef alması da Haziran ayında siber güvenlik şirketi ve somedieyoungZZ adlı bir güvenlik araştırmacısı tarafından belgelendi; saldırganlar, sonunda truva atını yayan çok aşamalı bir enfeksiyonu etkinleştirmek için bubi tuzaklı PDF belgeleri içeren kimlik avı e-postaları kullanıyordu.
Bu aşamada, hem Winos 4.0 hem de HoldingHands RAT’ın, kaynak kodu 2008’de sızdırılan ve o zamandan beri çeşitli Çinli bilgisayar korsanlığı grupları tarafından geniş çapta benimsenen Gh0st RAT olarak adlandırılan başka bir RAT kötü amaçlı yazılımından ilham aldığını belirtmekte fayda var.
Fortinet, Tayvan’a yönelik bir vergi düzenleme taslağı gibi görünen ve Japonca bir web sayfasına (“twsww) yönlendiren bir URL içeren PDF belgeleri tespit ettiğini söyledi.”[.]xin/indirme[.]Kurbanlardan HoldingHands RAT’ı teslim etmekten sorumlu bir ZIP arşivini indirmeleri isteniyor.
Daha ayrıntılı araştırmalar, Wino’ları dağıtmak için bazıları Mart 2024’e kadar uzanan, vergi temalı Microsoft Excel belgelerini yem olarak kullanan, Çin’i hedef alan saldırıları ortaya çıkardı. Ancak son dönemdeki kimlik avı kampanyaları, alıcıları HoldingHands RAT’ı indirmeye ikna etmek için sahte açılış sayfaları kullanarak odak noktasını Malezya’ya kaydırdı.
Başlangıç noktası, tüketim denetimi belgesi olduğunu iddia eden yürütülebilir bir dosyadır. Bu, anti-sanal makine (VM) kontrollerini çalıştırmak, Avast, Norton ve Kaspersky’nin güvenlik ürünleri listesine göre aktif işlemleri numaralandırmak ve bulunursa bunları sonlandırmak, ayrıcalıkları yükseltmek ve Görev Zamanlayıcı’yı sonlandırmak için tasarlanmış bir yük olan “sw.dat” için kabuk kodu yükleyicisi işlevi gören kötü amaçlı bir DLL’yi dışarıdan yüklemek için kullanılır.
Ayrıca sistemin C:\Windows\System32 klasörüne başka dosyalar da düşer –
- VirtualAlloc işlevinin Göreli Sanal Adresini (RVA) içeren svchost.ini
- TimeBrokerClient.dll, meşru TimeBrokerClient.dll, BrokerClientCallback.dll olarak yeniden adlandırıldı.
- şifrelenmiş kabuk kodunu içeren msvchost.dat
- şifrelenmiş veriyi içeren system.dat
- wkscli.dll, kullanılmayan bir DLL
Fortinet, “Görev Zamanlayıcı, svchost.exe tarafından barındırılan ve kullanıcıların belirli işlemlerin veya süreçlerin ne zaman çalıştırılacağını kontrol etmesine olanak tanıyan bir Windows hizmetidir” dedi. “Görev Zamanlayıcı’nın kurtarma ayarı, varsayılan olarak hizmeti başarısız olduktan bir dakika sonra yeniden başlatacak şekilde yapılandırılmıştır.”
“Görev Zamanlayıcı yeniden başlatıldığında, svchost.exe yürütülür ve kötü amaçlı TimeBrokerClient.dll dosyasını yükler. Bu tetikleme mekanizması herhangi bir işlemin doğrudan başlatılmasını gerektirmez, bu da davranış temelli algılamayı daha zorlu hale getirir.”
“TimeBrokerClient.dll”nin birincil işlevi, “svchost.ini”de belirtilen RVA değerini kullanarak VirtualAlloc() işlevini çağırarak “msvchost.dat” içindeki şifrelenmiş kabuk kodu için bellek ayırmaktır. Bir sonraki aşamada “msvchost.dat”, HoldingHands yükünü almak için “system.dat”ta depolanan yükün şifresini çözer.
HoldingHands, uzak bir sunucuya bağlanmak, sunucuya ana bilgisayar bilgilerini göndermek, bağlantıyı sürdürmek için her 60 saniyede bir kalp atışı sinyali göndermek ve virüslü sistem üzerinde saldırgan tarafından verilen komutları alıp işlemek için donatılmıştır. Bu komutlar, kötü amaçlı yazılımın hassas bilgileri yakalamasına, rastgele komutlar çalıştırmasına ve ek veriler indirmesine olanak tanır.
Yeni bir özellik eklemesi, Windows Kayıt Defteri girişi yoluyla iletişim için kullanılan komut ve kontrol (C2) adresini güncellemeyi mümkün kılan yeni bir komuttur.
Silk Lure Operasyonu ValleyRAT ile Çin’i Hedefliyor
Bu gelişme, Seqrite Labs’ın, ABD’de barındırılan C2 altyapısını kullanan ve sonunda Winos 4.0’ı sunmak için fintech, kripto para birimi ve ticaret platformu sektörlerindeki Çinli şirketleri hedef alan, devam eden e-posta tabanlı bir kimlik avı kampanyasını ayrıntılarıyla açıklamasıyla ortaya çıktı. Kampanya, Çin ile ilgili ayak izi nedeniyle İpek Yem Operasyonu olarak adlandırıldı.
Araştırmacılar Dixit Panchal, Soumen Burma ve Kartik Jivani, “Düşmanlar, iş arayanları taklit eden yüksek hedefli e-postalar hazırlıyor ve bunları Çin firmalarının İK departmanlarına ve teknik işe alım ekiplerine gönderiyor” dedi.
“Bu e-postalar genellikle meşru gibi görünen özgeçmişlerin veya portföy belgelerinin içine yerleştirilmiş kötü amaçlı .LNK (Windows kısayolu) dosyaları içerir. Yürütüldüğünde, bu .LNK dosyaları, ilk tehlikeyi kolaylaştıran yüklerin yürütülmesini başlatarak, düşürücü görevi görür.”
LNK dosyası başlatıldığında, sahte bir PDF özgeçmişini indirmek için PowerShell kodunu çalıştırırken, “C:\Users\” klasörüne üç ek veriyi de gizlice bırakıyor.
Düşen yükler aşağıdaki gibidir:
- CreateHiddenTask.vbs, her gün sabah 8:00’de “keytool.exe”yi başlatmak için zamanlanmış bir görev oluşturur
- jli.dll dosyasını yüklemek için DLL tarafından yüklemeyi kullanan keytool.exe
- jli.dll, keytool.exe’ye şifrelenmiş ve gömülü Winos 4.0 kötü amaçlı yazılımını başlatan kötü amaçlı bir DLL dosyasıdır.
Araştırmacılar, “Yerleştirilen kötü amaçlı yazılım, ele geçirilen sistemde kalıcılık sağlıyor ve çeşitli keşif operasyonlarını başlatıyor” dedi. “Bunlar arasında ekran görüntülerinin yakalanması, pano içeriklerinin toplanması ve kritik sistem meta verilerinin dışarı çıkarılması yer alıyor.”
Truva atı ayrıca, algılanan antivirüs ürünlerini kaldırmaya çalışmak ve Kingsoft Antivirus, Huorong veya 360 Total Security gibi güvenlik programlarıyla ilişkili ağ bağlantılarını normal işlevlerine müdahale etmek için sonlandırmak dahil olmak üzere, tespit edilmekten kaçınmak için çeşitli tekniklerle birlikte gelir.
Araştırmacılar, “Sızdırılan bu bilgiler, gelişmiş siber casusluk, kimlik hırsızlığı ve kimlik bilgilerinin tehlikeye atılması riskini önemli ölçüde artırıyor, dolayısıyla hem kurumsal altyapı hem de bireysel mahremiyet için ciddi bir tehdit oluşturuyor” diye ekledi.