資安研究人員揭露一起大規模惡意軟體攻擊活動，駭客利用偽裝成熱門工具如LetsVPN和QQ瀏覽器的假冒軟體安裝程式，散布Winos 4.0惡意框架。Winos 4.0又稱ValleyRAT。此次攻擊顯示威脅行為者對中文用戶環境的精準鎖定，展現高度組織化的長期攻擊策略。

多階段記憶體攻擊鏈「Catena」現身
Rapid7於今年2月首次偵測到這波攻擊活動，發現駭客使用名為「Catena」的多階段記憶體駐留載入器作為主要攻擊工具。資安研究員Anna Širokova與Ivan Feigl指出：「Catena使用嵌入式shellcode和配置切換邏輯，將Winos 4.0等載荷完全載入記憶體中執行，成功規避傳統防毒工具偵測。」
一旦安裝完成，惡意軟體會悄悄連接到攻擊者控制的伺服器，目前觀察到伺服器主要託管於香港，接收後續指令或下載額外惡意軟體。研究人員強調，這些攻擊展現出「精心策劃的長期規劃」，背後是技術能力極強的威脅行為者。

Winos 4.0：基於Gh0st RAT的進階框架
Winos 4.0，又稱ValleyRAT，首次於2024年6月由趨勢科技公開記錄，當時發現其透過VPN應用程式的惡意Windows安裝檔（MSI）攻擊中文用戶。此活動被歸因於名為Void Arachne，又名Silver Fox的威脅組織。

這個建構於知名遠端存取木馬Gh0st RAT基礎上的進階惡意框架，採用C++撰寫並使用外掛式系統架構，具備資料竊取、遠端Shell存取及發動分散式拒絕服務（DDoS）攻擊等多重功能。

2025年2月觀察到的攻擊波次主要透過偽裝成QQ瀏覽器（騰訊開發的Chromium基礎網頁瀏覽器）安裝程式進行。所有樣本均依賴NSIS安裝程式與簽署的誘餌應用程式、嵌入「.ini」檔案的shellcode，以及反射式DLL注入技術來維持持續性並避免偵測。

惡意軟體透過TCP埠18856和HTTPS埠443與硬編碼的命令控制（C2）基礎設施通訊，並透過註冊計畫工作在初次入侵數週後執行來維持系統持續性。

4月戰術轉變：加強反偵測能力
Rapid7於4月發現攻擊者的「戰術轉變」，不僅調整了Catena執行鏈的部分元素，更加入新功能來規避防毒偵測。
在更新的攻擊序列中，NSIS安裝程式偽裝成LetsVPN設定檔，執行PowerShell命令為所有磁碟機（C:\至Z:\）新增Microsoft Defender排除項目。隨後投放額外載荷，包括一個能擷取執行程序快照並檢查360全方位安全軟體相關程序的執行檔。
該執行檔使用已過期的VeriSign憑證簽署，聲稱屬於騰訊科技，憑證有效期為2018年10月11日至2020年2月2日。其主要功能是反射式載入DLL檔案，進而連接C2伺服器下載並執行Winos 4.0。

防護建議
面對此類精密攻擊，資安專家建議：
提高警覺性：避免從非官方來源下載軟體，特別是VPN和瀏覽器應用程式
加強端點防護：部署能偵測記憶體駐留威脅的進階端點防護解決方案
監控網路流量：密切關注異常的TCP和HTTPS連線活動
定期更新：確保防毒軟體和作業系統保持最新狀態
使用者教育：加強員工對社交工程和偽裝軟體的認知訓練
隨著Winos 4.0持續演進並採用更精密的規避技術，組織必須採取多層次防禦策略來對抗這類進階持續性威脅。

資料來源：資安人INFO SECURITY