Kelompok penjahat siber di balik malware Winos 4.0 (dikenal juga sebagai ValleyRAT) dilaporkan telah memperluas target serangannya dari Tiongkok dan Taiwan ke Jepang dan Malaysia. Dalam kampanye terbarunya, mereka menggunakan Remote Access Trojan (RAT) lain yang disebut HoldingHands RAT (atau Gh0stBins).

Menurut peneliti dari Fortinet's FortiGuard Labs, kampanye ini memanfaatkan email phishing yang berisi dokumen PDF dengan tautan berbahaya yang disematkan. Dokumen-dokumen palsu tersebut seringkali menyamar sebagai surat resmi dari lembaga terpercaya, seperti Kementerian Keuangan.

Penggunaan malware Winos 4.0 sebagian besar terkait dengan kelompok kejahatan siber Tiongkok yang agresif, dikenal sebagai Silver Fox (atau SwimSnake, The Great Thief of Valley, dsb.). Kelompok ini sebelumnya juga dikenal menyebarkan malware melalui phishing dan teknik SEO poisoning, mengarahkan korban ke situs palsu yang menyamar sebagai software populer (seperti Google Chrome atau Telegram).

Dalam kampanye HoldingHands RAT, pelaku menggunakan dokumen PDF yang menyamar sebagai draf regulasi pajak Taiwan. Dokumen itu berisi URL ke laman web berbahasa Jepang (twsww[.]xin/download[.]html), di mana korban dibujuk mengunduh arsip ZIP yang menjadi pembawa HoldingHands RAT.

Serangan ini berakar dari malware lama bernama Gh0st RAT, yang kode sumbernya bocor pada tahun 2008 dan banyak diadopsi oleh berbagai kelompok peretas Tiongkok.

Baca Juga: Malware Baru 'CAPI Backdoor' Incar Sektor Otomotif dan E-Commerce Rusia Lewat Phishing Pajak

Aksi terbaru ini menggeser fokus ke Malaysia, menggunakan halaman palsu untuk menipu penerima agar mengunduh HoldingHands RAT. Titik awal infeksi adalah berkas eksekusi yang mengaku sebagai dokumen audit cukai. Berkas ini berfungsi melakukan sideload pada DLL berbahaya, yang kemudian menjadi shellcode loader untuk muatan (sw.dat).

Muatan sw.dat memiliki fungsi vital dalam melumpuhkan pertahanan sistem:

• Anti-VM Check: Melakukan pemeriksaan untuk menghindari lingkungan mesin virtual.
• Terminasi Keamanan: Menghentikan proses keamanan yang terdeteksi dari produk antivirus populer (Avast, Norton, Kaspersky).
• Eskalasi Hak Akses: Meningkatkan hak akses menggunakan akun TrustedInstaller (akun sistem Windows tingkat tinggi), yang diperlukan untuk memanipulasi berkas sistem inti, seperti TimeBrokerClient.dll di folder C:\Windows\System32.
• Menghentikan Task Scheduler: Meskipun layanan ini akan restart dalam satu menit, muatan berbahaya sudah dimuat melalui DLL yang disalahgunakan, membuat deteksi berbasis perilaku (behavior-based detection) lebih sulit.

Setelah shellcode dieksekusi, ia akan mendekripsi muatan terakhir, yaitu HoldingHands RAT. RAT ini bertugas menghubungkan diri ke server jarak jauh (C2), mengirim informasi host, dan menerima perintah dari penyerang.

Baca Juga: Gawat! Serangan Siber F5 Ancam Lebih dari 600 Ribu Perangkat Internet

Sementara itu, Seqrite Labs juga merinci kampanye lain bernama Operation Silk Lure, yang menargetkan perusahaan Tiongkok di sektor fintech, kripto, dan perdagangan. Kampanye ini secara spesifik berupaya mendistribusikan Winos 4.0.

Pelaku dalam operasi ini mengirimkan email phishing yang sangat bertarget, menyamar sebagai pelamar kerja kepada departemen SDM. Email tersebut menyertakan berkas LNK berbahaya yang disematkan dalam dokumen resume palsu.

Setelah dieksekusi, malware Winos 4.0 akan:

• Membangun persistensi.
• Melakukan operasi pengintaian (seperti mengambil tangkapan layar dan mencuri konten clipboard).
• Berusaha menghapus produk antivirus yang terdeteksi.

Para peneliti memperingatkan bahwa motif utama di balik kampanye terbaru ini, yang sangat menargetkan penutur bahasa Mandarin, adalah pengumpulan intelijen regional, yang menimbulkan ancaman serius bagi infrastruktur organisasi dan privasi individu.