Des chercheurs en cybersécurité ont révélé une campagne de logiciels malveillants qui utilise de faux installateurs de logiciels se faisant passer pour des outils populaires comme LetsVPN et QQ Browser pour fournir le framework Winos 4.0 .

La campagne, détectée pour la première fois par Rapid7 en février 2025, implique l’utilisation d’un chargeur résident en mémoire à plusieurs étapes appelé Catena.

« Catena utilise un shellcode intégré et une logique de changement de configuration pour placer des charges utiles comme Winos 4.0 entièrement en mémoire, échappant ainsi aux outils antivirus traditionnels », expliquent les chercheurs en sécurité Anna Širokova et Ivan Feigl . « Une fois installé, il se connecte discrètement aux serveurs contrôlés par les attaquants – principalement hébergés à Hong Kong – pour recevoir des instructions complémentaires ou des logiciels malveillants supplémentaires. »

Les attaques, comme celles qui ont déployé Winos 4.0 dans le passé, semblent se concentrer spécifiquement sur les environnements sinophones, la société de cybersécurité dénonçant la « planification minutieuse et à long terme » d’un acteur de menace très compétent.

Winos 4.0 (alias ValleyRAT) a été signalé pour la première fois par Trend Micro en juin 2024 comme étant utilisé dans des attaques ciblant des utilisateurs sinophones au moyen de fichiers Windows Installer (MSI) malveillants pour applications VPN. Cette activité a été attribuée à un groupe de menaces qu’il suit sous le nom de Void Arachne, également appelé Silver Fox.

Les campagnes ultérieures de diffusion du logiciel malveillant ont utilisé des applications liées aux jeux vidéo, telles que des outils d’installation, des accélérateurs et des utilitaires d’optimisation, comme leurres pour inciter les utilisateurs à l’installer. Une autre vague d’attaques, détaillée en février 2025, a ciblé des entités taïwanaises via des e-mails d’hameçonnage prétendument envoyés par le Bureau national des impôts.

Construit sur les fondations d’un cheval de Troie d’accès à distance connu appelé Gh0st RAT, Winos 4.0 est un framework malveillant avancé écrit en C++ qui utilise un système basé sur des plugins pour collecter des données, fournir un accès shell à distance et lancer des attaques par déni de service distribué (DDoS).

Flux d’infections basé sur QQBrowser observé en février 2025

Rapid7 a déclaré que tous les artefacts signalés en février 2025 reposaient sur des installateurs NSIS associés à des applications leurres signées, du shellcode intégré dans des fichiers « .ini » et une injection de DLL réflective pour maintenir discrètement la persistance sur les hôtes infectés et éviter toute détection. L’ensemble de la chaîne d’infection a été baptisé Catena.

« La campagne a été active jusqu’à présent tout au long de l’année 2025, montrant une chaîne d’infection cohérente avec quelques ajustements tactiques – indiquant un acteur de menace capable et adaptable », ont déclaré les chercheurs.

Le point de départ est un programme d’installation NSIS trojanisé se faisant passer pour un programme d’installation de QQ Browser, un navigateur web basé sur Chromium développé par Tencent et conçu pour déployer WinOS 4.0 via Catena. Le malware communique avec une infrastructure de commande et de contrôle (C2) codée en dur via les ports TCP 18856 et HTTPS 443.

De l’installateur LetsVPN à WinOS 4.0 en avril 2025

La persistance sur l’hôte est assurée par l’enregistrement de tâches planifiées exécutées plusieurs semaines après la compromission initiale. Bien que le logiciel malveillant vérifie explicitement la présence de paramètres chinois sur le système, il poursuit son exécution même si ce n’est pas le cas.

Cela indique qu’il s’agit d’une fonctionnalité inachevée, qui devrait être implémentée dans les versions ultérieures du malware. Cela dit, Rapid7 a déclaré avoir identifié en avril 2025 un « changement tactique » qui a non seulement modifié certains éléments de la chaîne d’exécution de Catena, mais a également intégré des fonctionnalités permettant d’échapper à la détection antivirus.

Dans la séquence d’attaque remaniée, le programme d’installation de NSIS se fait passer pour un fichier d’installation de LetsVPN et exécute une commande PowerShell qui ajoute des exclusions Microsoft Defender pour tous les lecteurs (C:\ à Z:\). Il installe ensuite des charges utiles supplémentaires, notamment un exécutable qui capture un instantané des processus en cours d’exécution et vérifie les processus liés à 360 Total Security, un antivirus développé par l’éditeur chinois Qihoo 360.

Le binaire est signé avec un certificat expiré émis par VeriSign et prétendument détenu par Tencent Technology (Shenzhen). Il était valide du 11/10/2018 au 02/02/2020. La principale fonction de l’exécutable est de charger de manière réflexive un fichier DLL qui, à son tour, se connecte à un serveur C2 (« 134.122.204[.]11:18852 » ou « 103.46.185[.]44:443 ») afin de télécharger et d’exécuter WinOS 4.0.

« Cette campagne montre une opération de malware bien organisée et ciblée au niveau régional, utilisant des installateurs NSIS trojanisés pour déposer discrètement le stager Winos 4.0 », ont déclaré les chercheurs.

Il s’appuie fortement sur des charges utiles résidant en mémoire, le chargement de DLL réflexives et des logiciels leurres signés avec des certificats légitimes pour éviter de déclencher des alertes. Les chevauchements d’infrastructures et le ciblage linguistique suggèrent des liens avec l’APT Silver Fox, dont l’activité cible probablement les environnements sinophones.