Devis de remise multi-licences
Données concernant les menaces Outils d'administration à distance HoldingHands RAT

HoldingHands RAT

Par Mezo en Outils d'administration à distance, Menace persistante avancée (APT)
Se traduisent par :

Les auteurs de la menace à l'origine de la famille de malwares Winos 4.0 (également connue sous le nom de ValleyRAT) ont étendu leurs opérations au-delà de la Chine et de Taïwan pour cibler le Japon et la Malaisie. Lors de ces récentes campagnes, le groupe a déployé un second cheval de Troie d'accès à distance (RAT), appelé HoldingHands (alias Gh0stBins), utilisant comme vecteur principal des documents de phishing issus de l'ingénierie sociale.

Comment la campagne se propage

Les attaquants diffusent le logiciel malveillant par le biais d'e-mails d'hameçonnage contenant des pièces jointes PDF contenant des liens malveillants. Ces PDF se font passer pour des communications officielles – parfois des documents du ministère des Finances – et contiennent plusieurs liens, dont un seul mène au téléchargement malveillant. Dans d'autres cas, le leurre est une page web (par exemple, une page en japonais hébergée à une URL du type « twsww[.]xin/download[.]html ») qui invite les victimes à récupérer une archive ZIP contenant le RAT.

Méthodes de distribution et d’attribution

Winos 4.0 se propage fréquemment via des campagnes d'hameçonnage et d'empoisonnement SEO qui redirigent les victimes vers de fausses pages de téléchargement se faisant passer pour des logiciels légitimes (par exemple, des installateurs contrefaits pour Google Chrome, Telegram, Youdao, Sogou AI, WPS Office et DeepSeek). Des chercheurs en sécurité associent l'utilisation de Winos à un groupe de cybercriminels agressifs connu sous les noms de Silver Fox, SwimSnake, Valley Thief (Le Grand Voleur de la Vallée), UTG-Q-1000 et Void Arachne. En septembre 2025, des chercheurs ont signalé que cet acteur utilisait un pilote vulnérable jusqu'alors non documenté, fourni avec un produit du fournisseur appelé WatchDog Anti-malware, dans le cadre d'une technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver la protection des terminaux. Plus tôt (août 2025), le groupe avait utilisé l'empoisonnement SEO pour diffuser les modules HiddenGh0st et Winos. Un rapport de juin a documenté l'utilisation par Silver Fox de PDF piégés pour mettre en place des infections en plusieurs étapes, qui ont finalement déployé le RAT HoldingHands. Parmi les leurres historiques, on compte des fichiers Excel à thème fiscal utilisés contre la Chine depuis mars 2024 ; les efforts récents se sont concentrés sur des pages de destination de phishing ciblant la Malaisie.

Infection à plusieurs stades et persistance

L'infection commence généralement par un exécutable se faisant passer pour un rapport d'accise ou un autre document officiel. Cet exécutable installe une DLL malveillante, qui agit comme un chargeur de shellcode pour une charge utile nommée « sw.dat ». Le chargeur effectue plusieurs actions anti-analyse et défensives : vérifications anti-VM, analyse des processus en cours d'exécution à la recherche de produits de sécurité connus et leur arrêt, élévation des privilèges et désactivation du planificateur de tâches Windows, avant de passer le contrôle aux étapes suivantes.

Fichiers observés déposés sur le système :

  • svchost.ini — contient le RVA pour VirtualAlloc.
  • TimeBrokerClient.dll (le TimeBrokerClient.dll légitime renommé en BrokerClientCallback.dll).
  • msvchost.dat — shellcode crypté.
  • system.dat — charge utile chiffrée.
  • wkscli.dll — DLL inutilisée/réservée.

Déclencheur du planificateur de tâches et activation furtive

Plutôt que de s'appuyer sur un lancement de processus explicite, la campagne exploite le comportement du Planificateur de tâches Windows : celui-ci s'exécute comme un service sous svchost.exe et est configuré par défaut pour redémarrer peu après une panne. Le logiciel malveillant modifie les fichiers de sorte qu'au redémarrage du service Planificateur de tâches, svchost.exe charge la DLL malveillante TimeBrokerClient.dll (renommée BrokerClientCallback.dll). Cette DLL alloue de la mémoire au shellcode chiffré à l'aide de l'adresse VirtualAlloc stockée dans svchost.ini, puis force msvchost.dat à déchiffrer le fichier system.dat et à extraire la charge utile HoldingHands. Ce déclencheur « redémarrage du service → chargement de la DLL » réduit le besoin d'exécution directe des processus et complique la détection comportementale.

Élévation des privilèges vers TrustedInstaller

Pour obtenir les autorisations nécessaires au renommage et au remplacement des composants système protégés (par exemple, renommer le fichier TimeBrokerClient.dll original), le chargeur emprunte l'identité de comptes système à privilèges élevés. La séquence observée est la suivante :

  • Activez SeDebugPrivilege pour accéder au processus Winlogon et à son jeton.
  • Adoptez le jeton Winlogon pour exécuter en tant que SYSTEM.
  • À partir de SYSTEM, obtenez un contexte de sécurité TrustedInstaller — le compte utilisé par la protection des ressources Windows pour protéger les fichiers critiques du système d’exploitation.
  • En utilisant ce contexte TrustedInstaller, le malware peut modifier les fichiers protégés dans C:\Windows\System32 (une action normalement restreinte même pour les administrateurs).

Comment la charge utile exécute et maintient le contrôle

Le composant malveillant TimeBrokerClient alloue de la mémoire conformément à la RVA dans le fichier svchost.ini, y place le shellcode déchiffré de msvchost.dat et l'exécute. La charge utile déchiffrée décompresse HoldingHands, qui établit ensuite la communication avec un serveur de commande et de contrôle (C2) distant. Les fonctionnalités observées incluent :

  • Envoi des informations de l'hôte au C2.
  • Envoi de messages de pulsation toutes les 60 secondes pour maintenir la chaîne en vie.
  • Réception et exécution de commandes à distance (vol de données, exécution de commandes arbitraires, récupération de charges utiles supplémentaires).
  • Une fonctionnalité supplémentaire permettant à l'opérateur de mettre à jour l'adresse C2 via une entrée de registre Windows.

Ciblage, focalisation linguistique et motivation probable

Des échantillons et des leurres récents indiquent une concentration sur les victimes chinoises, bien que la portée géographique s'étende désormais au Japon et à la Malaisie. Les schémas opérationnels – reconnaissance, ciblage régional, persistance furtive et fonctionnalité modulaire de porte dérobée – suggèrent une collecte de renseignements dans la région, les implants étant fréquemment laissés inactifs dans l'attente de nouvelles instructions.

Résumé

Les opérateurs liés à Silver Fox ont étendu leurs activités sous Winos 4.0 et ajouté HoldingHands RAT à leur arsenal d'outils, utilisant une ingénierie sociale sophistiquée (PDF et pages corrompues par le SEO) et une chaîne d'exécution sophistiquée en plusieurs étapes qui exploite le comportement du Planificateur de tâches et les privilèges TrustedInstaller pour persister et échapper à la détection. Les capacités et le ciblage de l'opération suggèrent une collecte de renseignements régionale ciblée, avec des implants modulaires à longue durée de vie, attendant les ordres des opérateurs.

Tendance

American Express - Arnaque au blocage de la...

Hameçonnage, Courrier indésirable
Les cybercriminels exploitent souvent la notoriété des marques de confiance pour inciter des utilisateurs peu méfiants à révéler des informations sensibles. L'arnaque « American Express - Tentative de connexion bloquée » en est un parfait exemple. Ces e-mails se font passer pour des alertes de sécurité d'American Express, affirmant qu'une tentative de connexion suspecte a été bloquée et...

Le plus regardé

Chargement...