Silver Fox étend ses attaques Winos 4.0 au Japon et en Malaisie via le HoldingHands RAT

Apollinaire Monteclair

Silver Fox étend ses attaques Winos 4.0 au Japon et en Malaisie via le HoldingHands RAT

Le groupe de cybercriminalité connu sous le nom de Silver Fox a récemment élargi son champ d’action, passant de la Chine et de Taïwan pour cibler désormais le Japon et la Malaisie avec une nouvelle variante de remote access trojan (RAT) appelée HoldingHands RAT, également désignée sous le nom de Gh0stBins. Selon les chercheurs de Fortinet’s FortiGuard Labs, cette campagne repose sur des e-mails de phishing contenant des documents PDF intégrants des liens malveillants. Ces fichiers se font passer pour des documents officiels du Ministère des Finances, incluant de multiples liens en plus de celui qui distribue Winos 4.0. Cette expansion géographique inquiétant les professionnels de la cybersécurité, il devient crucial de comprendre les mécanismes de cette attaque et les moyens de s’en protéger.

Origines et évolution du malware HoldingHands RAT

HoldingHands RAT s’inscrit dans la longue lignée des RAT chinois dont le code source a été divulgué en 2008, notamment le célèbre Gh0st RAT. Cette lignée malveillaire a été largement adoptée par divers groupes de hackers chinois au fil des ans. Silver Fox, également connu sous les noms de SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 et Void Arachne, a démontré une agressivité remarquable dans l’utilisation de cette technologie. En septembre 2025, ce groupe a déjà été attribué à l’exploitation d’un pilote vulnérable associé à WatchDog Anti-malware dans le cadre d’une attaque BYOVD (Bring Your Own Vulnerable Driver) visant à désactiver les logiciels de sécurité installés sur les hôtes compromis.

Techniques d’infection et propagation

La propagation de HoldingHands RAT s’effectue principalement par le biais de campagnes de phishing sophistiquées et d’empoisonnement du référencement SEO (Search Engine Optimization). Les attaquants créent des sites web usurpant l’identité de logiciels populaires tels que Google Chrome, Telegram, Youdao, Sogou AI, WPS Office et DeepSeek. Dans le cas spécifique des attaques ciblant le Japon, Fortinet a identifié des documents PDF se faisant passer pour un projet de réglementation fiscale pour Taïwan, incluant une URL menant à une page web en japonais (« twsww[.]xin/download[.html] ») d’où les victimes sont incitées à télécharger une archive ZIP contenant le RAT.

Selon les chercheurs de Fortinet, ces campagnes ont évolué depuis mars 2024, où des documents Excel thématiques sur la fiscalité étaient utilisés pour cibler la Chine, vers des approches plus diversifiées incluant la Malaisie avec de fausses pages d’atterrissage. Cette évolution témoigne de l’adaptabilité constante des acteurs de la menace.

Caractéristiques techniques du malware

Le processus d’infection commence par l’exécution d’un fichier prétendant être un document de vérification des accises. Ce dernier utilise une technique de DLL side-loading pour charger une DLL malveillante fonctionnant comme chargeur de shellcode pour « sw.dat ». Cette charge est conçue pour effectuer diverses opérations :

  • Vérifications anti-machine virtuelle (VM)
  • Énumération des processus actifs contre une liste de produits de sécurité (Avast, Norton, Kaspersky)
  • Terminaison des processus détectés
  • Élévation de privilèges
  • Arrêt du Planificateur de tâches

Le malware dépose ensuite plusieurs fichiers dans le dossier C:\Windows\System32 :

FichierFonction
svchost.iniContient l’Adresse Virtuelle Relative (RVA) de la fonction VirtualAlloc
TimeBrokerClient.dllDLL légitime renommée en BrokerClientCallback.dll
msvchost.datContient le shellcode chiffré
system.datContient la charge utile chiffrée
wkscli.dllDLL inutilisée

« Le Planificateur de tâches est un service Windows hébergé par svchost.exe qui permet aux utilisateurs de contrôler quand des opérations ou processus spécifiques sont exécutés », explique l’équipe de Fortinet. « Le paramètre de récupération du Planificateur de tâches est configuré pour redémarrer le service une minute après son échec par défaut. »

Stratégies de phishing et de social engineering exploités par Silver Fox

Silver Fox a développé des méthodes d’ingénierie sociale particulièrement sophistiquées, adaptées à chaque cible géographique et sectorielle. L’une de leurs campagnes les plus récentes, nommée « Operation Silk Lure » par Seqrite Labs, cible spécifiquement les entreprises chinoises dans les secteurs de la fintech, de la crypto-monnaie et des plateformes de trading. Cette campagne utilise une infrastructure de commande et de contrôle (C2) hébergée aux États-Unis, indiquant une volonté de dissimuler l’origine des attaques.

Campagnes ciblées par secteur géographique

L’analyse des campagnes menées par Silver Fox révèle une segmentation géographique fine des cibles :

  1. Chine : Attaques via documents Excel sur le thème fiscal et campagnes d’e-mails se faisant passer pour des demandeurs d’emploi ciblant les départements RH
  2. Taïwan : Documents PDF usurpant des réglementations fiscales locales
  3. Japon : Campagnes en japonais avec pages d’atterrissage spécifiques
  4. Malaisie : Utilisation de fausses pages d’atterrissage et de documents localisés

« Les adversaires rédigent des e-mails hautement ciblés se faisant passer pour des demandeurs d’emploi et les envoient aux départements RH et aux équipes techniques de recrutement au sein d’entreprises chinoises », expliquent les chercheurs de Seqrite Labs. « Ces e-mails contiennent souvent des fichiers .LNK (raccourcis Windows) intégrés dans des documents CV ou de portfolio apparemment légitimes. »

Méthodes d’ingénierie sociale utilisées

Lorsqu’une victime ouvre un fichier .LNK malveillant, plusieurs actions se produisent simultanément :

  1. Le raccourcis exécute du code PowerShell pour télécharger un CV PDF de diversion
  2. Trois charges utiles supplémentaires sont discrètement déposées dans « C:\Users\\\\AppData\\Roaming\\Security »
  3. Le script « CreateHiddenTask.vbs » crée une tâche planifiée pour lancer « keytool.exe » tous les jours à 8h00
  4. « keytool.exe » utilise le DLL side-loading pour charger « jli.dll »
  5. « jli.dll », une DLL malveillante, lance le malware Winos 4.0 chiffré et intégré dans keytool.exe

Cette approche multistage permet aux attaquants de contourner les mesures de sécurité basées sur le comportement tout en établissant une persistance durable dans les systèmes compromis.

Impact sur les systèmes compromis et techniques d’évasion

Une fois installé, HoldingHands RAT établit une communication avec un serveur distant, envoyant des informations sur l’hôte et maintenant une connexion via un signal de battement de cœur envoyé toutes les 60 secondes. Le malware est conçu pour recevoir et traiter des commandes émises par les attaquants, permettant ainsi :

  • La capture d’informations sensibles
  • L’exécution de commandes arbitraires
  • Le téléchargement de charges utiles supplémentaires

Une nouveauté récente dans cette version est l’ajout d’une commande permettant de mettre à jour dynamiquement l’adresse de C2 utilisée pour les communications via une entrée du Registre Windows. Cette capacité de self-updating rend le suivi et la neutralisation des infrastructures de commande et de contrôle particulièrement complexes pour les équipes de sécurité.

Processus d’infection détaillé

Le processus d’infection complet peut être résumé comme suit :

  1. La victime reçoit un e-mail de phishing contenant un PDF avec liens malveillants
  2. Le document se fait passer pour un document officiel (fiscal, emploi, etc.)
  3. La victime clique sur le lien, téléchargeant un exécutable ou un archive
  4. L’exécutable utilise des techniques de chargement DLL pour masquer l’activité malveillante
  5. Le malware effectue des vérifications anti-VM et anti-sandbox
  6. Il énumère les processus actifs pour identifier et désactiver les solutions de sécurité
  7. Le malware établit une persistance via le Planificateur de tâches Windows
  8. Il contacte le serveur C2 et envoie des informations sur la machine compromise
  9. Les attaquants peuvent alors prendre le contrôle distant du système

Mécanismes de persistance et de détection

Silver Fox a mis en œuvre plusieurs techniques pour contourner les solutions de sécurité traditionnelles :

  • DLL side-loading : Utilisation de DLL légitimes pour charger du code malveillant
  • Abus du Planificateur de tâches : Configuration du service pour redémarrer automatiquement en cas d’échec
  • Chiffrement des charges utiles : Stockage du code malveillant sous forme chiffrée
  • Anti-analyses : Détection des environnements virtuels et sandbox
  • Désinstallation des antivirus : Tentatives de désinstallation des produits de sécurité détectés
  • Interférence avec les connexions réseau : Terminaison des connexions associées aux programmes de sécurité

Dans le cas spécifique de l’Operation Silk Lure, les chercheurs de Seqrite ont observé que le malware « établit une persistance dans le système compromis et initie diverses opérations de reconnaissance, notamment la capture d’écrans, le harvesting du contenu du presse-papiers et l’exfiltration de métadonnées système critiques ».

Recommandations de défense contre les menaces HoldingHands RAT

Face à ces menaces émergentes, les organisations doivent mettre en place des stratégies de défense multicouches. Selon l’ANSSI, la prévention reste l’approche la plus efficace contre les menaces de type RAT. Les recommandations incluent :

Mesures préventives

  1. Formation à la sécurité : Sensibiliser les employés aux techniques de phishing et d’ingénierie sociale
  2. Filtrage des e-mails : Mettre en place des solutions avancées de détection de phishing
  3. Gestion des applications : Utiliser des solutions de whitelisting pour n’autoriser que les applications approuvées
  4. Mises à jour régulières : Maintenir les systèmes et logiciels à jour pour修补 les vulnérabilités
  5. Segmentation du réseau : Limiter la portée potentielle d’une compromission

Détection et réponse aux incidents

Pour détecter et répondre efficacement aux infections par HoldingHands RAT, les organisations devraient :

  1. Surveillance des processus : Mettre en place des alertes pour les processus suspect
  2. Analyse du trafic réseau : Surveiller les connexions sortantes vers des destinations inconnues
  3. Examen des tâches planifiées : Audit régulier des entrées du Planificateur de tâches
  4. Détection des comportements anormaux : Utiliser des solutions EDR (Endpoint Detection and Response)
  5. Isolement des systèmes compromis : Préparer des procédures de mise en quarantaine rapide

« Cette information exfiltrée élève considérablement le risque de cyber-espionnage avancé, de vol d’identité et de compromission d’identifiants, posant ainsi une sérieuse menace pour les infrastructures organisationnelles et la vie privée des individus », avertissent les chercheurs de Seqrite.

En pratique, les équipes de sécurité doivent combiner la technologie, les processus et la sensibilisation pour créer une défense robuste contre ces menaces persistantes. La complexité croissante des techniques d’attaque rend la simple dépendance aux solutions de sécurité traditionnelles insuffisante.

Conclusion et perspectives pour 2025

L’expansion géographique des activités de Silver Fox avec le HoldingHands RAT représente une évolution préoccupante du paysage des menaces cybersécurité en 2025. La capacité du groupe à adapter ses campagnes à différents contextes culturels et sectoriels, couplée à l’utilisation sophistiquée de techniques d’ingénierie sociale et de techniques d’évasion avancées, en fait une menace particulièrement redoutable pour les organisations à travers l’Asie et au-delà.

La menace HoldingHands RAT illustre parfaitement la tendance croissante des acteurs de la menace à développer des malwares modulaires et évolutifs, capables de s’adapter aux environnements de cibles et de contourner les défenses traditionnelles. Alors que nous approchons du milieu de l’année 2025, il est impératif que les organisations renforcent leurs postures de sécurité, en particulier concernant la formation des utilisateurs, la filtrage avancé des e-mails et la surveillance proactive du trafic réseau et des comportements des systèmes.

La collaboration entre les chercheurs en sécurité privés et les agences gouvernementales comme l’ANSSI reste essentielle pour suivre l’évolution de ces menaces et partager efficacement les indicateurs de compromission (IoC). Seule une approche proactive et collaborative permettra de contrer efficacement les menaces émergentes comme HoldingHands RAT et de protéger les infrastructures critiques face à des acteurs de la menace aussi agiles et persistants que Silver Fox.