Silver Fox rozszerza ataki Winos 4.0 na Japonię i Malezję. Nowy łańcuch z HoldingHands RAT i zwinne obejście EDR

Wprowadzenie do problemu / definicja luki

18 października 2025 r. opisano nową fazę kampanii chińskojęzycznej grupy Silver Fox (znanej też jako SwimSnake, The Great Thief of Valley / Valley Thief, UTG-Q-1000, Void Arachne), która do tej pory intensywnie wykorzystywała framework Winos 4.0 (ValleyRAT). Najnowsze obserwacje pokazują rozszerzenie celów z Chin i Tajwanu na Japonię i Malezję, z wykorzystaniem HoldingHands RAT (Gh0stBins) dostarczanego przez wieloetapowe łańcuchy phishingowe oparte na PDF/ZIP/HTML. Atak kładzie nacisk na unikanie wykrycia i wyłączanie produktów bezpieczeństwa.

W skrócie

• Wektor wejścia: e-maile phishingowe podszywające się pod ministerstwa finansów, faktury, rozporządzenia podatkowe (PDF z osadzonymi linkami → fałszywe strony pobierania → archiwa ZIP z loaderami).
• Malware: Winos 4.0 / ValleyRAT oraz HoldingHands RAT (rodzina inspirowana Gh0st RAT).
• Eskalacja i ukrywanie: m.in. BYOVD (wcześniejsza fala), sideloading DLL, łańcuch DLL/DAT wyzwalany przez Harmonogram zadań dla utrudnienia detekcji behawioralnej.
• Nowość: możliwość zdalnej aktualizacji adresu C2 z poziomu rejestru (komenda 0x15), dojrzałe mechanizmy anty-VM i anty-AV (Norton/Avast/Kaspersky).
• Zasięg geograficzny: Chiny → Tajwan → Japonia → Malezja (kampanie z I–X 2025).

Kontekst / historia / powiązania

Fortinet udokumentował styczniowe i lutowe 2025 ataki na Tajwan z Winos 4.0, następnie – w czerwcu – łańcuchy z HoldingHands i Gh0stCringe. We wrześniu potwierdzono falę SEO poisoning (fałszywe instalatory Chrome/Telegram/WPS/DeepL na stronach-klonach, wieloetapowe JSON-redirecty). Równolegle Check Point przypisał Silver Fox wykorzystanie podpisanego przez Microsoft podatnego sterownika WatchDog Anti-malware (amsdk.sys) w modelu BYOVD, do wyłączania EDR/AV i wdrażania ValleyRAT. Najnowszy wpis Fortinet z 17 października wiąże wszystkie te tropy, pokazując przejście kampanii na Japonie i Malezję.

Analiza techniczna / szczegóły luki

Łańcuch infekcji (wariant Malezja/Japonia, 2025-10):

1. PDF/Word/HTML z odnośnikami (często do Tencent Cloud lub domen z prefiksem „tw*”) → strona pobrania w lokalnym języku (np. japoński) → ZIP z „audyt podatkowy” EXE.
2. EXE ładuje złośliwy dokan2.dll (sideloading), który inicjuje sw.dat (loader z anty-VM, impersonacją TrustedInstaller, eskalacją uprawnień).
3. sw.dat upuszcza w C:\Windows\System32\:
   svchost.ini (RVA VirtualAlloc), TimeBrokerClient.dll (przemianowany na BrokerClientCallback.dll), msvchost.dat (zaszyfrowany shellcode), system.dat (zaszyfrowany payload), opcj. wkscli.dll. Następnie zabija usługę Harmonogramu zadań, licząc na jej automatyczny restart po 1 minucie. Po restarcie svchost.exe wczytuje złośliwy TimeBrokerClient.dll – co utrudnia reguły behawioralne oparte na „uruchomieniu procesu przez użytkownika”.
4. TimeBrokerClient.dll wylicza adres VirtualAlloc z svchost.ini, odszyfrowuje msvchost.dat, a z niego system.dat → końcowy HoldingHands ładowany w pamięci.
5. Anty-AV: enumeracja procesów (Norton/Avast/Kaspersky) i próby ich ubicia; w razie wykrycia – modyfikacja przebiegu lub przerwanie działania.
6. C2 i nowe komendy: heartbeat co 60 s, zrzuty ekranu/klawiatury, polecenia zdalne, dogrywanie modułów; aktualizacja adresu C2 przez rejestr HKCU\Software\HHClient\AdrrStrChar (komenda 0x15).

Starsze/alternatywne wektory Silver Fox (2025-05/09):

• SEO poisoning + trojanizowane instalatory (EnumW.dll → vstdlib.dll → AIDE.dll; persistence przez skróty/COM hijacking), kradzież krypto, monitor ekranów.
• BYOVD z podatnym, podpisanym sterownikiem WatchDog (amsdk.sys) – wyłączanie/terminowanie procesów AV/EDR na poziomie jądra, poza listą Microsoft Vulnerable Driver Blocklist w chwili odkrycia.

Praktyczne konsekwencje / ryzyko

• Ucieczka przed EDR: wyzwalanie przez Harmonogram zadań po restarcie usługi sprawia, iż nie widać „typowego” łańcucha procesów inicjowanego przez użytkownika.
• Trwałość i sterowalność: zdalna zmiana C2 w rejestrze pozwala utrzymać dostęp mimo blokad sieci/infrastruktury.
• Ryzyko sektorowe/regionalne: wysoka skuteczność socjotechniki w urzędach/finansach (tematy podatkowe), w tej chwili szczególnie Japonia i Malezja, wcześniej Tajwan i Chiny.

Rekomendacje operacyjne / co zrobić teraz

1. E-mail & web: blokuj HTML/PDF z osadzonymi linkami w korespondencji finansowo-podatkowej; sandboxing plików ZIP/EXE; filtruj nowe/dziwne domeny z prefiksami „tw*”, hostingi chmurowe użyte w kampanii.
2. EDR/telemetria: dodaj reguły na anomalię: restart usługi Schedule → natychmiastowe ładowanie TimeBrokerClient.dll przez svchost.exe, tworzenie plików svchost.ini / msvchost.dat / system.dat w System32. (Reguły behawioralne / Sigma/EDR custom).
3. Rejestr & procesy: monitoruj klucz HKCU\Software\HHClient (wartość AdrrStrChar) oraz nietypowe instancje taskhostw.exe inicjowane przez CreateProcessAsUser z kontekstu svchost.exe –s Schedule.
4. AV/EDR hardening: aktualizuj Microsoft Vulnerable Driver Blocklist i polityki blokowania sterowników; sprawdź obecność/ładowanie amsdk.sys (WatchDog) oraz artefaktów BYOVD wskazanych przez Check Point.
5. Proxy/DNS/Netflow: alertuj na beacon 60 s do świeżych adresów C2; utrzymuj listy wskaźników z ostatnich raportów Fortinet/Seqrite.
6. Edukacja użytkowników: kampanie uświadamiające wokół fałszywych pism ministerialnych i „audytów podatkowych”, w j. lokalnym (JP/MS).

Różnice / porównania z innymi przypadkami

• Na tle klasycznych kampanii Gh0st-rodziny Silver Fox stosuje nietypowy trigger (restart usługi Schedule) oraz modułową aktualizację C2 z rejestru – to rzadziej spotykane w prostych klonach Gh0st RAT.
• W porównaniu z wcześniejszą falą SEO-poisoning, obecne lury urzędowe (JP/MY) są bardziej ukierunkowane regionalnie i nie wymagają pozycjonowania wyszukiwarek.
• BYOVD (WatchDog/Zemana) to technika na wyższym szczeblu uprzywilejowania niż typowe „userland” sideloadingi – pozwala agresywnie wyłączać ochronę przed dostarczeniem ValleyRAT/HoldingHands.

Podsumowanie / najważniejsze wnioski

Silver Fox konsekwentnie iteruje taktyki: od phishingu podatkowego w Tajwanie (I–II 2025), przez SEO poisoning (VIII–IX 2025), aż po Japonie i Malezję (X 2025) z łańcuchem DLL/DAT wyzwalanym przez Harmonogram zadań i HoldingHands RAT jako finalnym payloadem. Nowo dodana aktualizacja C2 przez rejestr zwiększa odporność na blokady. Organizacje w regionie APAC (szczególnie finanse/administracja) powinny natychmiast wzmocnić kontrolę poczty, polityki sterowników oraz detekcje behawioralne wokół svchost.exe –s Schedule i artefaktów svchost.ini/msvchost.dat/system.dat.

Źródła / bibliografia

• The Hacker News: „Silver Fox Expands Winos 4.0 Attacks to Japan and Malaysia via HoldingHands RAT” (18 października 2025). (The Hacker News)
• Fortinet FortiGuard Labs: „Tracking Malware and Attack Expansion: A Hacker Group’s Journey across Asia” (17 października 2025). Główne źródło techniczne. (Fortinet)
• Check Point Research: „Chasing the Silver Fox: Cat & Mouse in Kernel Shadows” – nadużycie sterownika WatchDog (BYOVD) (28 sierpnia 2025). (Check Point Research)
• Seqrite Labs: „Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading (drops ValleyRAT)” (ok. 16 października 2025). (Seqrite)
• The Hacker News: „HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks” (15 września 2025). (The Hacker News)