HoldingHands RAT

Winos 4.0マルウェアファミリー（ValleyRATとしても追跡）の背後にいる脅威アクターは、中国と台湾にとどまらず、日本とマレーシアを標的に活動を拡大しています。最近のキャンペーンでは、同グループはHoldingHands（別名Gh0stBins）と呼ばれる2つ目のリモートアクセス型トロイの木馬（RAT）を拡散させ、ソーシャルエンジニアリングを駆使したフィッシング文書を主な攻撃経路としていました。

キャンペーンの広がり方

攻撃者は、悪意のあるリンクが埋め込まれたPDFファイルを添付したフィッシングメールを通じてマルウェアを拡散します。これらのPDFファイルは、公式文書を偽装したもので、場合によっては財務省の文書を装っています。PDFファイルには複数のリンクが含まれており、そのうち1つだけが悪意のあるダウンロードにつながります。他のインシデントでは、ルアーとしてWebページ（例えば、「twsww[.]xin/download[.]html」のようなURLでホストされている日本語のページ）が使用され、被害者はRATを含むZIPアーカイブをダウンロードするよう促されます。

配布方法と帰属

Winos 4.0は、フィッシングやSEOポイズニングキャンペーンを通じて拡散されることが多く、正規ソフトウェアを装った偽のダウンロードページに被害者を誘導します（確認されている例としては、Google Chrome、Telegram、Youdao、Sogou AI、WPS Office、DeepSeekの偽インストーラーなどがあります）。セキュリティ研究者は、Winosの使用を、Silver Fox、SwimSnake、Valley Thief（The Great Thief of Valley）、UTG-Q-1000、Void Arachneなど、様々な名称で知られる攻撃的なサイバー犯罪集団と関連付けています。2025年9月、研究者らは、この攻撃者がWatchDog Anti-malwareというベンダー製品にバンドルされている、これまで文書化されていなかった脆弱なドライバをBYOVD（Bring Your Own Vulnerable Driver）手法で悪用し、エンドポイント保護を無効化したことを報告しました。以前（2025年8月）、このグループはSEOポイズニングを用いてHiddenGh0stとWinosモジュールを拡散していました。また、6月の報告書では、Silver Foxが仕掛けられたPDFを用いて多段階の感染を行い、最終的にHoldingHands RATを展開したことが記録されています。過去のルアーとしては、2024年3月に中国に対して使用された税金をテーマにしたExcelファイルなどが挙げられます。最近の活動は、マレーシアを標的としたフィッシングランディングページに移行しています。

多段階感染と持続

感染は通常、物品税監査やその他の公式文書を装った実行ファイルから始まります。この実行ファイルは、悪意のあるDLLをサイドロードします。このDLLは、「sw.dat」というペイロードのシェルコードローダーとして機能します。ローダーは、VMチェック、実行中のプロセスにおける既知のセキュリティ製品のスキャンと終了、権限の昇格、Windowsタスクスケジューラの無効化など、複数の分析回避および防御アクションを実行し、その後、制御を次の段階に渡します。

システムにドロップされたことが確認されたファイル:

• svchost.ini — VirtualAlloc の RVA が含まれています。
• TimeBrokerClient.dll (正規の TimeBrokerClient.dll が BrokerClientCallback.dll に名前変更されました)。

• msvchost.dat — 暗号化されたシェルコード。

• system.dat — 暗号化されたペイロード。

• wkscli.dll — 未使用/プレースホルダー DLL。

タスクスケジューラのトリガーとステルスアクティベーション

このキャンペーンは、明示的なプロセス起動に頼るのではなく、Windowsタスクスケジューラの動作を利用します。タスクスケジューラはsvchost.exeのサービスとして実行され、デフォルトでは障害発生後すぐに再起動するように設定されています。マルウェアはファイルを改変し、タスクスケジューラサービスが再起動すると、svchost.exeが悪意のあるTimeBrokerClient.dll（BrokerClientCallback.dllに名前変更）をロードします。このDLLは、svchost.iniに格納されているVirtualAllocアドレスを使用して暗号化されたシェルコード用のメモリを割り当て、msvchost.datにsystem.datを復号させてHoldingHandsペイロードを抽出させます。この「サービスの再起動→DLLのロード」というトリガーにより、直接的なプロセス実行の必要性が軽減され、動作ベースの検出が複雑化します。

TrustedInstallerへの権限昇格

保護されたシステムコンポーネントの名前変更や置き換え（例えば、正規のTimeBrokerClient.dllの名前変更）に必要な権限を取得するために、ローダーは高い権限を持つシステムアカウントを偽装します。確認されたシーケンスは以下のとおりです。

• SeDebugPrivilege を有効にして、Winlogon プロセスとそのトークンにアクセスします。
• Winlogon トークンを採用して SYSTEM として実行します。
• SYSTEM から、TrustedInstaller セキュリティ コンテキスト (重要な OS ファイルを保護するために Windows リソース保護によって使用されるアカウント) を取得します。
• その TrustedInstaller コンテキストを使用すると、マルウェアは C:\Windows\System32 内の保護されたファイルを変更できます (通常は管理者に対しても制限されているアクション)。

ペイロードの実行と制御の維持方法

悪意のあるTimeBrokerClientコンポーネントは、svchost.iniのRVAに従ってメモリを割り当て、msvchost.datから復号されたシェルコードをそこに配置して実行します。復号されたペイロードはHoldingHandsを解凍し、リモートコマンドアンドコントロール（C2）サーバーとの通信を確立します。確認された機能は以下のとおりです。

• ホスト情報を C2 に送信しています。
• チャネルを維持するために 60 秒ごとにハートビート メッセージを送信します。
• リモート コマンドの受信と実行 (データの盗難、任意のコマンドの実行、追加のペイロードの取得)。

• オペレーターが Windows レジストリ エントリを介して C2 アドレスを更新できるようにする追加機能。

ターゲット、言語の焦点、そしておそらく動機

最近のサンプルとルアーは、中国語圏の被害者を標的としていることを示していますが、地理的範囲には日本とマレーシアも含まれています。偵察、地域的な標的設定、ステルス的な活動継続、モジュール式のバックドア機能といった活動パターンは、この地域における情報収集を示唆しており、マルウェアはしばしば更なる指示を待つ間、休眠状態に置かれています。

まとめ

Silver Foxと関係のある攻撃者は、Winos 4.0の活動を拡大し、ツールセットにHoldingHands RATを追加しました。洗練されたソーシャルエンジニアリング（PDFやSEO対策されたページ）と、タスクスケジューラの動作とTrustedInstallerの権限を悪用して持続的に検出を回避する高度な多段階実行チェーンを駆使しています。この攻撃の能力と標的は、攻撃者の指示を待つ長寿命のモジュール型インプラントを用いた、地域をターゲットとした集中的な情報収集活動を示唆しています。