黑客利用VPN和浏览器安装程序投递 Winos 4.0 恶意软件

网络安全研究人员披露了一项新型攻击活动，该活动通过伪造的安装程序冒充热门应用（如 LetsVPN 和 QQ 浏览器）传播名为 Winos 4.0 的恶意框架。

该攻击活动最早由 Rapid7 于 2025 年 2 月发现，其核心是一个名为 Catena 的多阶段、内存常驻型加载器。

安全研究人员 Anna Širokova 和 Ivan Feigl 表示：“Catena 使用嵌入的 shellcode 及配置切换逻辑，在内存中加载类似 Winos 4.0 的有效负载，从而绕过传统杀毒工具的检测。一旦成功安装，它会悄悄连接到攻击者控制的服务器（多数位于香港），以接收后续指令或进一步的恶意软件。”

与以往部署 Winos 4.0 的攻击一样，这次行动显然仍集中针对中文使用环境。安全公司指出，攻击者展现出“细致而长期的筹划”，具备较高的技术水平。

Winos 4.0（又名 ValleyRAT）最早由趋势科技于 2024 年 6 月公开披露，攻击对象主要为中文用户，采用恶意 Windows 安装文件（MSI）伪装为 VPN 应用进行传播。该攻击活动被归类于一个被称为 Void Arachne（又称 Silver Fox）的攻击组织。

后续的攻击行动中，攻击者也曾利用与游戏相关的应用程序（如安装工具、提速软件和优化工具）诱导用户中招。2025 年 2 月，一波新的攻击针对台湾机构，钓鱼邮件伪装成国家税务机关发送。

Winos 4.0 基于已知的远程访问木马 Gh0st RAT 构建，是一套用 C++ 编写的高级恶意软件框架，采用插件式架构，能够采集信息、提供远程 shell 访问功能，并发起分布式拒绝服务（DDoS）攻击。Rapid7 表示，2025 年 2 月发现的所有恶意样本都使用 NSIS 安装包，并捆绑有签名的诱饵程序、嵌入 .ini 文件的 shellcode 以及反射式 DLL 注入技术，从而在受害系统上维持隐蔽持久性并规避检测。整条感染链被命名为 Catena。

研究人员指出，该攻击活动贯穿整个 2025 年，其感染链保持一致，仅在战术上有所调整，显示出攻击者的成熟性和适应能力。

攻击链的起点是一份被篡改的 NSIS 安装包，它伪装成腾讯开发的 Chromium 内核浏览器 QQ 浏览器的安装程序，通过 Catena 投递 Winos 4.0。该恶意软件通过硬编码的 C2 基础设施通信，使用 TCP 端口 18856 和 HTTPS 端口 443。为实现持久驻留，它会注册计划任务，在初次感染数周后才开始执行。尽管其代码中包含检查系统语言是否为中文的逻辑，即使不是中文环境，它也会继续执行，这表明该功能尚未完善，可能在后续版本中正式启用。

Rapid7 在 2025 年 4 月还识别出一项“策略性转变”，不仅调整了 Catena 的执行链，还加入了规避杀毒软件的新功能。在这版攻击序列中，NSIS 安装包伪装为 LetsVPN 的安装程序，运行一段 PowerShell 命令，将 Microsoft Defender 的所有盘符（C: 至 Z:）加入排除列表。随后它会释放更多有效负载，包括一个可执行文件，该文件会抓取系统中正在运行的进程快照，并检查是否存在与奇虎 360 开发的“360 安全卫士”相关的进程。

该二进制文件使用的是一份已过期的 VeriSign 证书签名，名义上属于“腾讯科技（深圳）有限公司”，证书有效期为 2018 年 10 月 11 日至 2020 年 2 月 2 日。它的主要功能是反射式加载一个 DLL 文件，而该 DLL 文件会连接至 C2 服务器

（如“134.122.204[.]11:18852”或“103.46.185[.]44:443”），用于下载并执行 Winos 4.0。

研究人员表示：“此次行动展现了一场有组织、区域聚焦的恶意软件作业，利用被植入木马的 NSIS 安装程序悄然投放 Winos 4.0 初始载荷。”

“它高度依赖内存中的有效负载、反射式 DLL 加载，以及签名诱饵程序以躲避检测。攻击基础设施之间存在重叠，语言偏向的目标策略也暗示了其与 Silver Fox APT 的联系，其攻击目标很可能仍是中文使用环境。”