Silver Fox（银狐）利用伪造的 VPN 和浏览器 NSIS 安装程序传播

Rapid7研究人员披露了一项恶意软件活动，该活动使用伪装成 LetsVPN 和 QQ 浏览器等流行工具的虚假软件安装程序来传播Winos 4.0框架。

该活动于 2025 年 2 月首次被 Rapid7 发现，涉及使用名为 Catena 的多阶段内存驻留加载器。

Rapid7研究人员表示： “Catena 使用嵌入式 Shellcode 和配置切换逻辑，将类似 Winos 4.0 的有效载荷完全存储在内存中，从而规避了传统的防病毒工具。一旦安装，它就会悄悄连接到攻击者控制的服务器（主要托管在香港），以接收后续指令或其他恶意软件。”

此次攻击与过去部署 Winos 4.0 的攻击类似，专门针对中文环境。

Winos 4.0（又名 ValleyRAT）最早于 2024 年 6 月由趋势科技 (Trend Micro) 公开记录，该恶意软件利用伪装成 VPN的恶意 Windows Installer (MSI) 文件针对中文用户发起攻击。该活动被归咎于名为 Void Arachne 的威胁集群，该集群也被称为 Silver Fox（银狐）。

感染链一

Silver Fox（银狐）恶意软件的传播活动利用游戏相关应用程序（例如安装工具、加速器和优化实用程序）为诱饵，诱骗用户安装。

Winos 4.0 建立在已知远程访问木马 Gh0st RAT 的基础上，是一个用 C++ 编写的高级恶意框架，它利用基于插件的系统来收集数据、提供远程 shell 访问以及发起分布式拒绝服务 (DDoS) 攻击。

Rapid7 表示，2025 年 2 月标记的所有恶意软件都依赖于与签名诱饵应用程序捆绑的 NSIS 安装程序、嵌入在“.ini”文件中的 Shellcode 以及反射式 DLL 注入，从而隐蔽地在受感染主机上保持持久性并避免被检测到。整个感染链被命名为 Catena。

研究人员表示：“该活动迄今为止一直活跃于 2025 年全年，显示出一致的感染链，并进行了一些战术调整，这表明存在一个能力强且适应性强的威胁组织。”

攻击的起点是一个被木马化的NSIS安装程序，该安装程序伪装成QQ浏览器的安装程序。该恶意软件通过TCP端口18856和HTTPS端口443与硬编码的命令与控制（C2）基础设施进行通信。

感染链二

通过注册计划任务，该任务在首次入侵后数周内执行，从而实现在主机上的持久化。

Rapid7 表示，它在 2025 年 4 月发现了一项“战术转变”，不仅改变了 Catena 执行链的一些元素，还加入了规避杀毒软件检测的功能。

在改进的攻击序列中，NSIS 安装程序会伪装成 LetsVPN 的安装文件，并运行 PowerShell 命令，为所有驱动器（C: 至 Z:）添加Microsoft Defender 排除项。然后，它会释放额外的有效载荷，包括一个可执行文件，该可执行文件会截取正在运行的进程的快照，并检查与 360 杀毒软件相关的进程。

该二进制文件使用 VeriSign 颁发的过期证书进行签名，该文件的主要功能是反射加载 DLL 文件，该文件随后连接到 C2 服务器（“134.122.204[.]11:18852”或“103.46.185[.]44:443”），以下载并执行 Winos 4.0。

研究人员表示：“此次活动表明恶意软件操作组织严密、针对特定区域，使用木马化的 NSIS 安装程序悄悄植入 Winos 4.0 阶段性程序。”

它严重依赖内存驻留载荷、反射式 DLL 加载以及使用合法证书签名的诱饵软件来避免触发警报。基础设施重叠和基于语言的攻击目标暗示其与 Silver Fox 威胁组织存在关联，其活动可能针对的是中文环境。

技术报告：

https://www.rapid7.com/blog/post/2025/05/22/nsis-abuse-and-srdi-shellcode-anatomy-of-the-winos-4-0-campaign/

新闻链接：

https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html