Uma nova campanha cibernética foi identificada por especialistas da Rapid7 envolvendo o uso de instaladores maliciosos de softwares populares, como LetsVPN e QQ Browser, para disseminar o malware Winos 4.0. O ataque, ainda ativo em 2025, utiliza uma estrutura modular de carregamento chamada Catena, projetada para operar exclusivamente na memória dos sistemas infectados — o que dificulta a detecção por soluções antivírus tradicionais.
Campanha de malware usa VPNs falsas para distribuir o Winos 4.0 com tática furtiva
De acordo com os pesquisadores Anna Širokova e Ivan Feigl, o Catena incorpora shellcode e lógica para alternar configurações, armazenando o Winos 4.0 diretamente na RAM. Após ser instalado, o malware estabelece conexão com servidores remotos — muitos deles localizados em Hong Kong — para receber comandos adicionais ou baixar novos componentes maliciosos.
Foco regional e tática avançada
A campanha parece ser altamente direcionada a ambientes com idioma chinês, sugerindo um planejamento minucioso e de longo prazo por parte de agentes de ameaça experientes. O Winos 4.0, também conhecido como ValleyRAT, foi documentado pela primeira vez pela Trend Micro em junho de 2024 e está associado ao grupo Void Arachne, ou Silver Fox.
Anteriormente, esse malware foi disseminado por meio de arquivos MSI maliciosos, simulando instaladores de VPNs. Em campanhas subsequentes, outros aplicativos populares entre gamers foram usados como isca, incluindo ferramentas de aceleração e otimização.
Origem e capacidades do Winos 4.0
Derivado do famoso Gh0st RAT, o Winos 4.0 é uma ameaça robusta escrita em C++ com estrutura modular baseada em plugins. Entre suas funcionalidades estão: coleta de dados sensíveis, acesso remoto ao shell e execução de ataques DDoS. Ele se destaca por sua persistência e capacidade de adaptação.
Na campanha mais recente, observada em fevereiro de 2025, os instaladores NSIS usados como vetor de ataque carregavam aplicativos assinados como distração, arquivos .ini com shellcode embutido e técnicas de injeção reflexiva de DLL. Todo esse conjunto recebeu o nome Catena, por sua estrutura em cadeia.
Disfarces convincentes e antivírus burlados
O ponto de partida da infecção é um instalador do QQ Browser modificado, que simula legitimidade enquanto executa a instalação furtiva do Winos 4.0. A comunicação com servidores C2 ocorre via portas TCP 18856 e HTTPS 443.
Em abril de 2025, foi observada uma mudança estratégica: o malware passou a se disfarçar como um arquivo de configuração do LetsVPN, utilizando comandos PowerShell para adicionar exclusões no Microsoft Defender — cobrindo todas as unidades do sistema (C:\ a Z:) — e instalar payloads adicionais.
Um desses arquivos é um executável responsável por capturar snapshots dos processos em execução e detectar softwares de segurança como o 360 Total Security, desenvolvido pela Qihoo 360. Curiosamente, o binário carrega um certificado expirado da VeriSign, supostamente emitido para a Tencent Technology (Shenzhen).
Esse executável injeta uma DLL reflexivamente, que então se conecta a servidores C2 nos endereços 134.122.204[.]11:18852 e 103.46.185[.]44:443, a fim de baixar o Winos 4.0.
Conclusão: sofisticação e regionalização crescentes
A campanha mostra um alto grau de organização, utilizando instaladores NSIS trojanizados e certificados legítimos para evitar alertas de segurança. O uso de payloads apenas em memória e foco em usuários que falam chinês apontam para o envolvimento contínuo do grupo Silver Fox (Void Arachne), sugerindo novas iterações e evoluções no malware.
