Publié le 18 octobre 2025 11h47:00. Un groupe de cybercriminels chinois, connu sous le nom de Silver Fox, étend ses activités malveillantes au Japon et en Malaisie en utilisant de nouvelles techniques de phishing et des chevaux de Troie sophistiqués, après avoir ciblé la Chine et Taïwan.
- Les auteurs de logiciels malveillants Winos 4.0 (alias ValleyRAT) et HoldingHands RAT (alias Gh0stBins) utilisent des emails de phishing contenant des fichiers PDF piégés.
- Silver Fox exploite des vulnérabilités dans des pilotes et utilise des techniques d’empoisonnement SEO pour diffuser ses logiciels malveillants.
- Les chevaux de Troie sont capables de désactiver les logiciels de sécurité, de voler des informations sensibles et d’établir une persistance sur les systèmes compromis.
Une nouvelle campagne de phishing, baptisée Opération Silk Lure, cible les entreprises chinoises des secteurs de la technologie financière et de la cryptomonnaie. Les attaquants se font passer pour des demandeurs d’emploi et envoient des CV malveillants contenant des fichiers .LNK qui téléchargent et exécutent le logiciel malveillant Winos 4.0.
Selon Pei Han Liao, chercheur chez FortiGuard Labs de Fortinet, la campagne repose sur des emails de phishing contenant des fichiers PDF avec des liens malveillants intégrés.
« Ces fichiers se faisaient passer pour des documents officiels du ministère des Finances et comprenaient de nombreux liens en plus de celui qui a livré Winos 4.0. »
Pei Han Liao, chercheur chez FortiGuard Labs de Fortinet
Winos 4.0, souvent diffusé par phishing et par l’empoisonnement des moteurs de recherche (SEO), redirige les utilisateurs vers de faux sites web imitant des logiciels populaires tels que Google Chrome, Telegram, WPS Office et DeepSeek. Le groupe Silver Fox, également connu sous les noms de SwimSnake, The Great Thief of Valley, UTG-Q-1000 et Void Arachne, est principalement associé à l’utilisation de Winos 4.0.
Le mois dernier, Check Point a révélé que Silver Fox exploitait une vulnérabilité dans un pilote lié à WatchDog Anti-malware dans une attaque BYOVD (Bring Your Own Vulnerable Driver) visant à désactiver les logiciels de sécurité. Fortinet a également mis en lumière une campagne d’août 2025 utilisant l’empoisonnement SEO pour distribuer HiddenGh0st et des modules associés à Winos.
Le ciblage de Taïwan et du Japon par Silver Fox avec HoldingHands RAT a été documenté en juin par une société de cybersécurité et un chercheur en sécurité nommé somedieyoungZZ. Les attaquants utilisaient des emails de phishing contenant des documents PDF piégés pour déployer le cheval de Troie.
Winos 4.0 et HoldingHands RAT s’inspirent de Gh0st RAT, dont le code source a été divulgué en 2008 et largement adopté par divers groupes de hackers chinois.
Fortinet a identifié des documents PDF se présentant comme un projet de réglementation fiscale pour Taïwan, incluant une URL vers une page web en japonais (“twsww[.]xin/télécharger[.]html”) qui invite les victimes à télécharger une archive ZIP contenant HoldingHands RAT. Des attaques ciblant la Chine utilisaient des documents Microsoft Excel sur le thème de la fiscalité, remontant à mars 2024, pour distribuer Winos. Les campagnes de phishing récentes se concentrent sur la Malaisie, utilisant de fausses pages de destination pour inciter au téléchargement de HoldingHands RAT.
L’analyse de Fortinet révèle qu’un exécutable se faisant passer pour un document de contrôle des accises est utilisé pour charger une DLL malveillante, qui sert de chargeur de shellcode pour “sw.dat”. Cette charge utile effectue des vérifications anti-machine virtuelle, énumère les processus actifs pour identifier les produits de sécurité d’Avast, Norton et Kaspersky, et les termine si nécessaire. Elle augmente également les privilèges et met fin au Planificateur de tâches.
Plusieurs fichiers sont déposés dans le dossier C:\Windows\System32 :
- svchost.ini, contenant l’adresse virtuelle relative (RVA) de la fonction VirtualAlloc.
- TimeBrokerClient.dll, une version renommée de la DLL légitime TimeBrokerClient.dll (BrokerClientCallback.dll).
- msvchost.dat, contenant le shellcode crypté.
- system.dat, contenant la charge utile chiffrée.
- wkscli.dll, une DLL inutilisée.
Le Planificateur de tâches, un service Windows hébergé par svchost.exe, est configuré pour redémarrer une minute après un échec. Au redémarrage, svchost.exe charge la DLL malveillante TimeBrokerClient.dll, un mécanisme de déclenchement discret qui ne nécessite pas le lancement direct d’un processus, rendant la détection basée sur le comportement plus difficile.
TimeBrokerClient.dll alloue de la mémoire pour le shellcode chiffré dans msvchost.dat en utilisant la valeur RVA spécifiée dans svchost.ini. Ensuite, msvchost.dat déchiffre la charge utile stockée dans system.dat pour récupérer HoldingHands. HoldingHands peut se connecter à un serveur distant, envoyer des informations sur l’hôte, envoyer des signaux de battement de cœur toutes les 60 secondes et exécuter des commandes émises par l’attaquant, permettant le vol d’informations sensibles, l’exécution de commandes arbitraires et le téléchargement de charges utiles supplémentaires. Une nouvelle fonctionnalité permet de mettre à jour l’adresse du serveur de commande et de contrôle (C2) via une entrée de registre Windows.
Seqrite Labs a détaillé l’Opération Silk Lure, qui exploite l’infrastructure C2 hébergée aux États-Unis pour cibler les entreprises chinoises des secteurs de la technologie financière et de la cryptomonnaie.
« Les adversaires créent des e-mails très ciblés se faisant passer pour des demandeurs d’emploi et les envoient aux départements RH et aux équipes techniques de recrutement des entreprises chinoises. »
Dixit Panchal, Soumen Burma et Kartik Jivani, chercheurs Seqrite Labs
Ces emails contiennent des fichiers .LNK malveillants intégrés dans des CV ou des portfolios, qui téléchargent et exécutent des charges utiles lors de leur lancement.
Les charges utiles abandonnées sont CreateHiddenTask.vbs (créant une tâche planifiée pour lancer keytool.exe), keytool.exe (utilisant le chargement latéral de DLL pour charger jli.dll) et jli.dll (une DLL malveillante lançant le malware Winos 4.0 crypté). Le malware déployé établit une persistance sur le système compromis, capture des captures d’écran, récolte le contenu du presse-papiers et exfiltre les métadonnées du système. Il tente également de désinstaller les produits antivirus détectés et de désactiver les connexions réseau associées aux programmes de sécurité tels que Kingsoft Antivirus, Huorong ou 360 Total Security.
Les chercheurs de Seqrite Labs soulignent que ces informations exfiltrées augmentent considérablement le risque de cyberespionnage, de vol d’identité et de compromission des informations d’identification, posant une menace sérieuse à la fois à l’infrastructure organisationnelle et à la vie privée des individus.
À ne pas manquer
