Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota HoldingHands RAT

HoldingHands RAT

Por Mezo en Herramientas de administración remota, Amenaza persistente avanzada (APT)
Traducir a:

Los actores de amenazas responsables de la familia de malware Winos 4.0 (también conocida como ValleyRAT) han extendido sus operaciones más allá de China y Taiwán, afectando a Japón y Malasia. En estas campañas recientes, el grupo distribuyó un segundo troyano de acceso remoto (RAT), identificado como HoldingHands (también conocido como Gh0stBins), utilizando documentos de phishing generados mediante ingeniería social como vector principal.

Cómo se difunde la campaña

Los atacantes distribuyen el malware mediante correos electrónicos de phishing que incluyen archivos PDF adjuntos con enlaces maliciosos. Los PDF se hacen pasar por comunicaciones oficiales —en algunos casos, se hacen pasar por documentos del Ministerio de Hacienda— y contienen múltiples enlaces, de los cuales solo uno lleva a la descarga maliciosa. En otros incidentes, el señuelo es una página web (por ejemplo, una página en japonés alojada en una URL como 'twsww[.]xin/download[.]html') que invita a las víctimas a descargar un archivo ZIP con el RAT.

Métodos de distribución y atribución

Winos 4.0 se propaga comúnmente mediante campañas de phishing y SEO envenenado que redirigen a las víctimas a páginas de descarga falsas que se hacen pasar por software legítimo (entre los ejemplos observados se incluyen instaladores falsificados para Google Chrome, Telegram, Youdao, Sogou AI, WPS Office y DeepSeek). Los investigadores de seguridad vinculan el uso de Winos a un agresivo grupo de cibercriminales conocido como Silver Fox, SwimSnake, Valley Thief (El Gran Ladrón del Valle), UTG-Q-1000 y Void Arachne. En septiembre de 2025, los investigadores informaron que este actor abusaba de un controlador vulnerable previamente no documentado incluido en un producto de un proveedor llamado WatchDog Anti-malware mediante una técnica de "traiga su propio controlador vulnerable" (BYOVD, por sus siglas en inglés) para desactivar la protección de endpoints. Anteriormente (agosto de 2025), el grupo empleó envenenamiento SEO para difundir los módulos HiddenGh0st y Winos. Un informe de junio documentó que Silver Fox utilizaba PDF con trampas para organizar infecciones de varios pasos que finalmente desplegaron el RAT HoldingHands. Entre los señuelos históricos se incluyen archivos de Excel con temática fiscal utilizados contra China desde marzo de 2024; los esfuerzos recientes se han centrado en páginas de destino de phishing dirigidas a Malasia.

Infección y persistencia en múltiples etapas

La infección suele comenzar con un ejecutable que se hace pasar por una auditoría fiscal u otro documento oficial. Este ejecutable instala una DLL maliciosa, que actúa como cargador de shellcode para una carga útil llamada "sw.dat". El cargador realiza varias acciones de antianálisis y defensivas (comprobación de máquinas virtuales, análisis de procesos en ejecución en busca de productos de seguridad conocidos y su finalización, aumento de privilegios y desactivación del Programador de tareas de Windows) antes de ceder el control a las etapas posteriores.

Archivos observados caídos al sistema:

  • svchost.ini: contiene el RVA para VirtualAlloc.
  • TimeBrokerClient.dll (el TimeBrokerClient.dll legítimo renombrado a BrokerClientCallback.dll).
  • msvchost.dat: código shell cifrado.
  • system.dat — carga útil cifrada.
  • wkscli.dll — DLL no utilizada/de marcador de posición.

Activación del programador de tareas y activación sigilosa

En lugar de basarse en el inicio explícito de un proceso, la campaña aprovecha el comportamiento del Programador de Tareas de Windows: este se ejecuta como un servicio bajo svchost.exe y, por defecto, está configurado para reiniciarse poco después de un fallo. El malware modifica los archivos de forma que, al reiniciarse el servicio del Programador de Tareas, svchost.exe carga la DLL maliciosa TimeBrokerClient.dll (rebautizada como BrokerClientCallback.dll). Esta DLL asigna memoria para el shellcode cifrado mediante la dirección VirtualAlloc almacenada en svchost.ini y, a continuación, hace que msvchost.dat descifre system.dat y extraiga la carga útil HoldingHands. Este desencadenador "reinicio del servicio → carga de la DLL" reduce la necesidad de ejecutar directamente el proceso y dificulta la detección basada en el comportamiento.

Escalada de privilegios a TrustedInstaller

Para obtener los permisos necesarios para renombrar y reemplazar componentes protegidos del sistema (por ejemplo, renombrar el archivo TimeBrokerClient.dll original), el cargador suplanta cuentas del sistema con privilegios elevados. La secuencia observada es la siguiente:

  • Habilite SeDebugPrivilege para acceder al proceso Winlogon y su token.
  • Adopte el token Winlogon para ejecutarlo como SISTEMA.
  • Desde SISTEMA, adquiera un contexto de seguridad TrustedInstaller: la cuenta utilizada por Protección de recursos de Windows para proteger archivos críticos del sistema operativo.
  • Utilizando ese contexto de TrustedInstaller, el malware puede modificar archivos protegidos en C:\Windows\System32 (una acción normalmente restringida incluso para los administradores).

Cómo se ejecuta la carga útil y se mantiene el control

El componente malicioso TimeBrokerClient asigna memoria según la RVA en svchost.ini, coloca allí el shellcode descifrado de msvchost.dat y lo ejecuta. La carga útil descifrada descomprime HoldingHands, que a su vez establece comunicación con un servidor remoto de comando y control (C2). Las capacidades observadas incluyen:

  • Enviando información del host al C2.
  • Enviando mensajes de latido cada 60 segundos para mantener el canal activo.
  • Recibir y ejecutar comandos remotos (robo de datos, ejecución de comandos arbitrarios, obtención de cargas útiles adicionales).
  • Una característica adicional que permite al operador actualizar la dirección C2 a través de una entrada del Registro de Windows.

Objetivo, enfoque lingüístico y motivo probable

Muestras y señuelos recientes indican un enfoque en víctimas de habla china, aunque el alcance geográfico ahora incluye Japón y Malasia. Los patrones operativos (reconocimiento, objetivos regionales, persistencia sigilosa y funcionalidad modular de puerta trasera) apuntan a la recopilación de inteligencia en la región, con implantes que a menudo se dejan inactivos a la espera de nuevas instrucciones.

Resumen

Los operadores vinculados a Silver Fox han ampliado la actividad de Winos 4.0 y han añadido HoldingHands RAT a sus herramientas, utilizando ingeniería social refinada (PDF y páginas web contaminadas con SEO) y una sofisticada cadena de ejecución multietapa que abusa del comportamiento del Programador de Tareas y de los privilegios de TrustedInstaller para persistir y evadir la detección. Las capacidades y la focalización de la operación sugieren una estrategia regional de recopilación de inteligencia con implantes modulares de larga duración a la espera de las órdenes del operador.

Tendencias

American Express - Estafa de intento de inicio de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes suelen aprovechar la popularidad de marcas de confianza para engañar a usuarios desprevenidos y conseguir que revelen información confidencial. La estafa "American Express - Intento de inicio de sesión bloqueado" es un claro ejemplo de esta táctica. Estos correos electrónicos se hacen pasar por alertas de seguridad de American Express, afirmando que se bloqueó un intento...

Mas Visto

Cargando...