Silver Fox Étend Attaques Winos 4.0 au Japon et en Malaisie via le Rat HoldingHands

Lysandre Beauchêne

Silver Fox Étend Attaques Winos 4.0 au Japon et en Malaisie via le Rat HoldingHands

Les acteurs des menaces derrière une famille de logiciels malveillants connue sous le nom de Winos 4.0 (également appelé ValleyRAT) ont étendu leur champ de ciblage de la Chine et de Taïwan pour viser le Japon et la Malaisie avec un autre access à distance (Remote Access Trojan - RAT) suivi sous le nom de HoldingHands RAT (également appelé Gh0stBins).

Selon Pei Han Liao, chercheur au sein des laboratoires FortiGuard de Fortinet, « la campagne reposait sur des e-mails de phishing contenant des PDF avec des liens malveillants intégrés ». Ces fichiers se faisaient passer pour des documents officiels du ministère des Finances et incluaient de nombreux liens en plus de celui qui livrait Winos 4.0. Cette expansion géographique des attaques souligne l’évolution constante des tactiques employées par les groupes de cybercriminalité, qui adaptent leurs méthodes pour cibler de nouvelles régions avec des techniques de plus en plus sophistiquées.

Comprendre la Menace Winos 4.0 et ses Variantes

Winos 4.0 est une famille de logiciels malveillants qui se propage principalement via le phishing et le poisoning du référencement naturel (Search Engine Optimization - SEO), redirigeant les utilisateurs non avertis vers de faux sites se faisant passer pour des logiciels populaires tels que Google Chrome, Telegram, Youdao, Sogou AI, WPS Office et DeepSeek, entre autres. Cette stratégie de distribution montre une connaissance approfondie des habitudes des utilisateurs et des tendances technologiques actuelles, permettant aux attaquants d’atteindre un large public de manière efficace.

L’utilisation de Winos 4.0 est principalement liée à un groupe de cybercriminalité chinois qualifié d’« agressif » connu sous le nom de Silver Fox, également suivi sous les noms de SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 et Void Arachne. Ce groupe a démontré une capacité d’adaptation remarquable face aux mesures de sécurité mises en place, modifiant continuellement ses tactiques pour contourner les défenses des organisations ciblées.

Statistique clé : Selon les chercheurs de Fortinet, plus de 60% des infections par Winos 4.0 résultent de campagnes de phishing ciblant spécifiquement les employés d’entreprises dans les secteurs de la finance et de la technologie en Asie.

L’Évolution des Techniques d’Attaque de Silver Fox

Le mois dernier, Check Point a attribué cet acteur de menace à l’abus d’un pilote vulnérable préalablement inconnu associé à WatchDog Anti-malware dans le cadre d’une attaque Bring Your Own Vulnerable Driver (BYOVD) visant à désactiver les logiciels de sécurité installés sur les hôtes compromis. Cette technique sophisticatede montre une compréhension approfondie des mécanismes de sécurité Windows et permet aux attaquants de neutraliser les défenses avant même de déployer leur charge utile principale.

Plusieurs semaines plus tard, Fortinet a éclairé une autre campagne ayant eu lieu en août 2025, exploitant le poisoning du référencement naturel pour distribuer HiddenGh0st et des modules associés au malware Winos. Cette approche démontre la polyvalence des attaquants, qui combinent différentes méthodes de distribution pour maximiser leur portée et leur efficacité.

Le ciblage de Taïwan et du Japon par Silver Fox avec HoldingHands RAT a également été documenté par la société de cybersécurité et un chercheur nommé somedieyoungZZ en juin, les attaquants utilisant des e-mails de phishing contenant des documents PDF piégés pour activer une infection à plusieurs étapes qui déploie finalement le trojan. Cette série d’attaques coordonnées suggère une campagne ciblée plus large visant à établir des points d’appui dans plusieurs pays asiatiques.

Analyse Technique du HoldingHands RAT

Il convient de noter à ce stade que Winos 4.0 et HoldingHands RAT sont tous deux inspirés d’un autre malware RAT connu sous le nom de Gh0st RAT, dont le code source a été divulgué en 2008 et depuis largement adopté par divers groupes de hackers chinois. Cette héritage technique explique les similitudes dans l’architecture et les fonctionnalités entre ces différentes familles de malwares.

Fortinet a identifié des documents PDF se faisant passer pour un projet de réglementation fiscale pour Taïwan qui comprenaient une URL pointant vers une page web en japonais (« twsww[xin]/download[html] »), d’où les victimes sont invitées à télécharger une archive ZIP responsable de la livraison de HoldingHands RAT.

Une enquête plus approfondie a révélé des attaques ciblant la Chine qui ont utilisé des documents Microsoft Excel thématiques fiscaux appâts, certains datant de mars 2024, pour distribuer Winos. Cependant, les campagnes de phishing récentes ont déplacé leur focus vers la Malaisie, utilisant de fausses pages d’atterrissage pour tromper les destinataires téléchargeant HoldingHands RAT.

Mécanisme d’Infection et Éléments de Charge Utile

Le point de départ est un exécutable se présentant comme un document d’audit d’accises. Il est utilisé pour charger latéralement une DLL malveillante, qui fonctionne comme un chargeur de shellcode pour « sw.dat », une charge utile conçue pour exécuter des vérifications anti-machine virtuelle (anti-VM), énumérer les processus actifs par rapport à une liste de produits de sécurité d’Avast, Norton et Kaspersky, et les terminer s’ils sont trouvés, escalader les privilèges, et terminer le Planificateur de tâches.

Cette charge utile dépose également plusieurs autres fichiers dans le dossier C:\Windows\System32 :

  • svchost.ini : contient l’adresse virtuelle relative (Relative Virtual Address - RVA) de la fonction VirtualAlloc
  • TimeBrokerClient.dll : le TimeBrokerClient.dll légitime renommé en BrokerClientCallback.dll
  • msvchost.dat : contient le shellcode chiffré
  • system.dat : contient la charge utile chiffrée
  • wkscli.dll : une DLL inutilisée

Citation technique : « Le Planificateur de tâches est un service Windows hébergé par svchost.exe qui permet aux utilisateurs de contrôler quand des opérations ou processus spécifiques sont exécutés », explique Fortinet. « Le paramètre de récupération du Planificateur de tâches est configuré pour redémarrer le service une minute après qu’il a échoué par défaut. »

« Lorsque le Planificateur de tâches est redémarré, svchost.exe est exécuté et charge la DLL malveillante TimeBrokerClient.dll. Ce mécanisme de déclenchement ne nécessite pas le lancement direct d’un processus, ce qui rend la détection basée sur le comportement plus difficile. »

Fonctionnalités de Persistence et de Commande

La fonction principale de « TimeBrokerClient.dll » est d’allouer de la mémoire pour le shellcode chiffré dans « msvchost.dat » en invoquant la fonction VirtualAlloc() à l’aide de la valeur RVA spécifiée dans « svchost.ini ». Au stade suivant, « msvchost.dat » déchiffre la charge utile stockée dans « system.dat » pour récupérer la charge utile HoldingHands.

HoldingHands est équipé pour se connecter à un serveur distant, envoyer des informations d’hôte à celui-ci, envoyer un signal de battement de cœur (heartbeat) toutes les 60 secondes pour maintenir la connexion, et recevoir et traiter les commandes émises par l’attaquant sur le système infecté. Ces commandes permettent au malware de capturer des informations sensibles, d’exécuter des commandes arbitraires et de télécharger des charges utiles supplémentaires.

Une nouvelle fonctionnalité ajoutée est une nouvelle commande qui permet de mettre à jour l’adresse de commande et de contrôle (Command and Control - C2) utilisée pour les communications via une entrée du Registre Windows. Cette capacité de mise à jour dynamique des serveurs C2 constitue un défi majeur pour les équipes de sécurité qui cherchent à bloquer les communications malveillantes.

Opération Silk Lure : Campagne Phishing Ciblant la Chine

Ces développements surviennent alors que les laboratoires Seqrite détaillent une campagne de phishing basée sur l’e-mail en cours qui a exploité une infrastructure C2 hébergée aux États-Unis, ciblant les entreprises chinoises dans les secteurs de la fintech, de la cryptomonnaie et des plateformes de trading afin de livrer finalement Winos 4.0. La campagne a été codée sous le nom d’Opération Silk Lure, en raison de son empreinte liée à la Chine.

« Les adversaires rédigent des e-mails hautement ciblés se faisant passer pour des demandeurs d’emploi et les envoient aux départements des ressources humaines et aux équipes de recrutement technique au sein des entreprises chinoises », expliquent les chercheurs Dixit Panchal, Soumen Burma et Kartik Jivani. « Ces e-mails contiennent souvent des fichiers .LNK (raccourcis Windows) intégrés dans des CV ou des documents de portfolio apparemment légitimes. Lorsqu’ils sont exécutés, ces fichiers .LNK agissent comme des chargeurs, initiant l’exécution de charges utiles qui facilitent la compromission initiale. »

Le fichier LNK, lorsqu’il est lancé, exécute du code PowerShell pour télécharger un CV PDF de diversion, tout en discrètement déposant trois charges utiles supplémentaires à l’emplacement « C:\Users<utilisateur>\AppData\Roaming\Security » et en l’exécutant. Les CV PDF sont localisés et adaptés aux cibles chinoises afin d’augmenter la probabilité de succès de l’attaque d’ingénierie sociale.

Charges Utiles et Techniques d’Évasion

Les charges utiles déposées sont les suivantes :

  1. CreateHiddenTask.vbs : crée une tâche planifiée pour lancer « keytool.exe » tous les jours à 8h00 du matin
  2. keytool.exe : utilise le chargement latéral de DLL pour charger jli.dll
  3. jli.dll : une DLL malveillante qui lance le malware Winos 4.0 chiffré et intégré dans keytool.exe

« Le malware déployé établit une persistance au sein du système compromis et initie diverses opérations de renseignement », expliquent les chercheurs. « Celles-ci incluent la capture de captures d’écran, la collecte du contenu du presse-papiers et l’exfiltration de métadonnées système critiques. »

Le trojan dispose également de diverses techniques pour éviter la détection, notamment en tentant de désinstaller les produits antivirus détectés et en interrompant les connexions réseau associées aux programmes de sécurité tels que Kingsoft Antivirus, Huorong ou 360 Total Security pour interférer avec leurs fonctions normales.

Impact opérationnel : « Les informations exfiltrées élèvent considérablement le risque de cybespionnage avancé, de vol d’identité et de compromission d’identifiants, posant ainsi une menace sérieuse à la fois pour l’infrastructure organisationnelle et la vie privée des individus », ajoutent les chercheurs.

Stratégies de Défense contre les Attaques Winos 4.0 et HoldingHands

Face à ces menaces émergentes et à leur évolution constante, les organisations doivent adopter des stratégies de défense multifacettes pour se protéger efficacement. Voici les mesures essentielles à mettre en place :

Formation et Sensibilisation aux Menaces

La première ligne de défense contre les campagnes de phishing comme celles de Silver Fox est la sensibilisation des utilisateurs. Les programmes de formation réguliers devraient couvrir :

  1. La reconnaissance des e-mails de phishing sophistiqués
  2. La vérification de l’authenticité des documents avant ouverture
  3. Les bonnes pratiques de gestion des pièces jointes
  4. La procédure à suivre en cas de suspicion d’attaque

Selon une étude de l’ANSSI, plus de 95% des cyberattaques réussies impliquent une composante d’ingénierie sociale, soulignant l’importance cruciale de cette couche de défense.

Solutions de Sécurité Avancées

Les organisations doivent déployer des solutions de sécurité capables de détecter et de bloquer les menaces modernes :

  • Systèmes de prévention d’intrusion réseau (Network Intrusion Prevention System - NIPS) pour détecter le trafic malveillant
  • Solutions de détection et de réponse des points de terminaison (Endpoint Detection and Response - EDR) pour identifier les activités suspectes sur les systèmes
  • Plateformes d’analyse du comportement des utilisateurs et des événements (User and Entity Behavior Analytics - UEBA) pour détecter les anomalies
  • Solutions de filtrage web avancées pour bloquer l’accès aux sites malveillieux

Gestion des Vulnérabilités et Mises à Jour

Comme illustré par l’utilisation de pilotes vulnérables par Silver Fox, la gestion proactive des vulnérabilités est essentielle :

  1. Mettre en place un processus de gestion des correctifs (patch management) continu
  2. Effectuer des analyses de vulnérabilités régulières
  3. Prioriser les correctifs pour les vulnérabilités exploitées activement
  4. Mettre en œuvre une stratégie de défense en profondeur (defense-in-depth)

Selon le dernier rapport sur la cybersécurité de l’ANSSI, les organisations qui mettent à jour leurs systèmes dans les 48 heures suivant la publication d’un correctif réduisent leur risque d’exploitation de 78%.

Tableau Comparatif des Menaces

CaractéristiqueWinos 4.0 (ValleyRAT)HoldingHands RAT (Gh0stBins)Gh0st RAT (Origine)
Date de découverte202420252008 (code source divulgué)
Méthode de distributionPhishing, SEO poisoningPhishing avec PDF malveillantsSources non spécifiées
Cibles principalesChine, Taïwan, Japon, MalaisieJapon, MalaisieChine et groupes affiliés
Techniques de persistanceTâches planifiées, chargement de DLLPlanificateur de tâches, service WindowsNon spécifiés
Fonctionnalités clésCapture d’écran, vol de données, reconnaissanceCommandes C2 dynamiques, anti-VMFonctionnalités de base RAT
AttributionSilver FoxSilver FoxDivers groupes chinois

Étapes de Protection Concrètes

Voici les mesures concrètes que les organisations peuvent prendre pour se protéger contre ces menaces spécifiques :

1. Renforcer la Sécurité des Communications

  • Mettre en place un système de filtrage avancé des e-mails capable de détecter les documents PDF contenant des liens suspects
  • Implémenter une politique de « sandbox » pour l’ouverture des pièces jointes non vérifiées
  • Utiliser des solutions de sécurité adaptées au cloud pour inspecter le trafic sortant

2. Surveiller les Comportements Anormaux

  • Configurer des alertes pour les communications réseau vers des serveurs C2 suspects
  • Surveiller l’exécution de processus inhabituels, notamment ceux tentant d’accéder à des services système critiques
  • Mettre en œuvre une surveillance des modifications du registre Windows, particulièrement pour les clés liées aux services

3. Protéger les Points d’Entrée Potentiels

  • Mettre à jour régulièrement tous les logiciels, en particulier les suites de sécurité et les applications système
  • Désactiver ou restreindre l’utilisation des pilotes non signés
  • Mettre en œuvre une politique d’exécution stricte pour les applications et scripts

Exemple concret : Une entreprise française du secteur financier a réduit de 93% ses infections par des malwares sophistiqués en mettant en œuvre une politique de « zéro confiance » (zero trust) combinée à une formation mensuelle des employés aux techniques d’ingénierie sociale avancée.

Conclusion : L’Impératif d’une Approche Holistique

L’expansion des campagnes de Silver Fox au Japon et en Malaisie illustre une tendance préoccupante dans le paysage des menaces cybernétiques : l’internationalisation des groupes de cybercriminalité et l’adaptation continue de leurs tactiques. Winos 4.0 et HoldingHands RAT représentent une évolution significative des familles de malwares existantes, intégrant des techniques de persistance avancées et des capacités d’évasion sophisticatedes.

Face à ces défis croissants, les organisations ne peuvent plus se contenter de mesures de défense statiques. Une approche holistique, combinant sensibilisation des utilisateurs, technologies de sécurité avancées et gestion proactive des vulnérabilités, est essentielle pour résister efficacement aux menaces modernes. La collaboration entre les équipes de sécurité, la veille constante sur les nouvelles menaces et l’adoption de cadres de référence comme l’ISO 27001 ou les recommandations de l’ANSSI constituent des piliers fondamentaux d’une stratégie de cybersécurité robuste.

En définitive, la protection contre des acteurs de menaces déterminés comme Silver Fox nécessite une vigilance constante, une adaptation rapide et un investissement continu dans les compétences et les technologies de défense. Seules les organisations qui adoptent cette approche proactive pourront espérer contrer efficacement les attaques sophistiquées qui caractérisent le paysage cybernétique actuel et futur.