Betrug, Bedrohungsinformationen

Gefälschte Huorong-Sicherheitswebsite infiziert Nutzer mit ValleyRAT

von Stefan Dasic | 23. Februar 2026
Huorong-Logo mit RAT

Eine überzeugende Kopie des beliebten Antivirenprogramms Huorong Security wurde verwendet, um ValleyRAT, einen ausgeklügelten Remote Access Trojaner (RAT) auf Basis des Winos4.0-Frameworks, an Benutzer zu verbreiten, die glaubten, damit ihre Sicherheit zu verbessern.

Die Kampagne, die der Silver Fox APT-Gruppe zugeschrieben wird – einer chinesischsprachigen Bedrohungsgruppe, die dafür bekannt ist, trojanisierte Versionen beliebter chinesischer Software zu verbreiten –, nutzt eine Typosquatting-Domain, um einen trojanisierten NSIS-Installer bereitzustellen, der eine voll funktionsfähige Backdoor mit fortschrittlichen Stealth- und Injektionsfunktionen im Benutzermodus einsetzt.

Eine gefälschte Website, die erstellt wurde, um sicherheitsbewusste Nutzer zu täuschen

Huorong Security – auf Chinesisch als 火绒 bekannt – ist ein kostenloses Antivirenprodukt, das von Beijing Huorong Network Technology Co., Ltd. entwickelt wurde und in ganz Festlandchina weit verbreitet ist.

Die Angreifer registrierten huoronga[.]com – beachten Sie das zusätzliche „a“ am Ende – als nahezu perfekte Imitation der legitimen Website huorong.cn. Diese Typosquatting-Technik fängt Nutzer ab, die sich bei der Eingabe der Adresse vertippen oder über Suchmaschinenvergiftung oder Phishing-Links auf die Website gelangen. Die gefälschte Website sieht so überzeugend aus, dass die meisten Besucher keinen offensichtlichen Grund hätten, etwas zu vermuten.

Gefälschte Huorong-Sicherheitswebsite

Eine weitere gefälschte Website von Huorong Security

Wenn ein Besucher auf den Download-Button klickt, wird die Anfrage unbemerkt über eine Zwischen-Domain (hndqiuebgibuiwqdhr[.]cyou) weitergeleitet, bevor die endgültige Nutzlast aus dem Cloudflare R2-Speicher bereitgestellt wird – einem legitimen Cloud-Dienst, der aufgrund seiner vertrauenswürdigen Reputation und Verfügbarkeit ausgewählt wurde. Die Datei trägt den Namen BR火绒445[.]zip, wobei der chinesische Name für Huorong verwendet wird, um die Tarnung bis zum Zeitpunkt der Ausführung aufrechtzuerhalten.

Was passiert, nachdem Sie auf „Herunterladen“ geklickt haben?

Das ZIP-Archiv enthält einen trojanisierten NSIS-Installer (Nullsoft Scriptable Install System), ein legitimes Open-Source-Framework, das von vielen echten Anwendungen verwendet wird. Seine Verwendung hier ist bewusst gewählt: Eine mit NSIS erstellte ausführbare Datei weckt weniger Misstrauen als ein benutzerdefinierter Packer, und die Installation wirkt normal.

Bei der Ausführung erstellt das Installationsprogramm eine Desktop-Verknüpfung mit dem Namen 火绒.lnk (Huorong.lnk) und verstärkt so den Eindruck, dass das Antivirenprogramm erfolgreich installiert wurde.

Gleichzeitig extrahiert es eine Reihe von Dateien in das Temp-Verzeichnis des Benutzers. Bei den meisten handelt es sich um echte unterstützende Bibliotheken oder Schein-Executables, die eine echte Installation imitieren sollen, darunter Kopien von FFmpeg-Multimedia-DLLs, eine Datei, die sich als .NET-Reparaturtool ausgibt, und eine weitere, die ein Huorong-Diagnoseprogramm imitiert.

Zu den schädlichen Komponenten gehören:

  • WavesSvc64.exe: Der Hauptlader, getarnt als Waves-Audiodienstprozess.
  • DuiLib_u.dll: eine gekaperte DirectUI-Bibliothek, die für das Sideloading von DLLs verwendet wird
  • box.ini: eine verschlüsselte Datei, die Shellcode enthält

Wie Windows dazu gebracht Windows , Malware zu laden

Die Kerntechnik ist das DLL-Sideloading, eine Technik, mit der Angreifer Windows bringen Windows eine schädliche Datei anstelle einer legitimen Datei Windows laden.

WavesSvc64.exe erscheint legitim – sein PDB-Pfad verweist auf ein Verzeichnis mit Spielanwendungscode –, sodass Windows es ohne Beanstandung Windows . Wenn es ausgeführt wird, lädt Windows DuiLib_u.dll mit. Diese DLL wurde durch eine bösartige Version ersetzt, die verschlüsselten Shellcode aus box.ini liest, ihn entschlüsselt und direkt im Speicher ausführt.

Anstatt eine einzelne monolithische Backdoor-Ausführungsdatei abzulegen, gipfelt die Kette in der Ausführung von Shellcode im Arbeitsspeicher, der aus Dateien geladen wird, die über DLL-Sideloading auf die Festplatte (z. B. box.ini) abgelegt wurden. Die Shellcode-basierte Kette entspricht dem von Rapid7 dokumentierten Catena-Loader-Muster, bei dem signierte oder legitim aussehende Ausführungsdateien Angriffscode in .ini-Konfigurationsdateien bündeln und ihn mithilfe von reflektierender Injektion ausführen, wobei nur minimale forensische Spuren hinterlassen werden.

Wie die Hintertür dauerhaft wird

Die Verhaltensanalyse zeigt eine methodische Infektionskette:

1. Ausschlüsse von Verteidigern
Die Malware startet PowerShell mit hoher Integritätsstufe und weist Windows an, ihr Persistenzverzeichnis zu ignorieren (AppData\Roaming\trvePath) und dessen Hauptprozess (WavesSvc64.exe). Nach Ausführung dieser Befehle ist es weniger wahrscheinlich, dass Windows den vom Malware-Programm gewählten Pfad/Prozess scannt, wodurch die native Erkennung erheblich reduziert wird.

2. Beharrlichkeit
Es wird eine geplante Aufgabe mit dem Namen „Batteries“ erstellt (beobachtet als C:\Windows\Tasks\Batteries.job). Bei jedem nachfolgenden Start wird die Aufgabe ausgeführt. WavesSvc64.exe /run aus dem Persistenzverzeichnis, wendet Defender-Ausschlüsse erneut an und stellt die Verbindung zu Befehl und Kontrolle (C2) wieder her.

3. Datei-Aktualisierungs
Um die signaturbasierte Erkennung zu umgehen, löscht die Malware die Dateien WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini und vcruntime140.dll und schreibt sie neu. Das Löschen dieser Dateien allein reicht möglicherweise nicht aus, um die Infektion vollständig zu beheben, da die Malware in der Lage ist, während der Ausführung Kernkomponenten neu zu schreiben.

4. Registrierungsspeicher
Konfigurationsdaten, einschließlich der verschlüsselten C2-Domäne yandibaiji0203.[]com, werden geschrieben in HKCU\SOFTWARE\IpDates_infoEin sekundärer Schlüssel bei HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e speichert verschlüsselte Binärdaten, die wahrscheinlich für die Konfiguration von Malware oder die Bereitstellung von Payloads verwendet werden.

Wie es der Erkennung entgeht

Neben der Deaktivierung von Defender unternimmt ValleyRAT weitere Schritte, um eine Erkennung und Analyse zu vermeiden.

Es sucht nach Debuggern und forensischen Tools, indem es nach charakteristischen Fenstertiteln sucht. Es überprüft die BIOS-Version, die Grafikkarten und die VirtualBox-Registrierungsschlüssel, um virtuelle Maschinen zu erkennen – die Sandboxes, die Forscher zur sicheren Analyse von Malware verwenden. Außerdem überprüft es den verfügbaren Speicher und die Festplattenkapazität und kontrolliert die Ländereinstellungen und Spracheinstellungen, wahrscheinlich als Geofencing-Maßnahme, um vor der vollständigen Bereitstellung sicherzustellen, dass es auf einem chinesischsprachigen System läuft.

Befehls- und Kontrollkommunikation

Der Winos4.0-Stager verbindet sich über den TCP-Port 443 mit seinem C2-Server unter der Adresse 161.248.87.250. Die Verwendung von TCP 443 dient der Tarnung auf Port-Ebene. Eine Untersuchung ergab jedoch, dass es sich um ein benutzerdefiniertes Binärprotokoll und nicht um standardmäßiges TLS-verschlüsseltes HTTPS handelt.

Netzwerk-Intrusion-Detection-Systeme lösten Warnmeldungen mit kritischem Schweregrad für Winos4.0 CnC-Anmeldungen und Server-Antwortmeldungen sowie eine Warnmeldung mit hohem Schweregrad für die Initialisierung von ProcessKiller C2 aus.

Es wurde C2-Verkehr beobachtet, der von rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

Die ProcessKiller-Komponente ist besonders besorgniserregend. Netzwerktelemetrie zeigt die Initialisierung von ProcessKiller C2 an, was mit einem Modul übereinstimmt, das in früheren Berichten mit der Beendigung von Sicherheitssoftware in Verbindung gebracht wurde. Frühere ValleyRAT/Winos4.0-Kampagnen richteten sich gegen Sicherheitsprodukte von Qihoo 360, Huorong, Tencent und Kingsof – was auf die Möglichkeit hindeutet, Sicherheitssoftware zu beenden, einschließlich des Produkts, als das sie sich als Köder ausgaben.

Fähigkeiten nach Kompromittierung

Kurz gesagt: Sobald die Malware installiert ist, können Angreifer das Opfer überwachen, sensible Informationen stehlen und das System fernsteuern. Sandbox-Analysen bestätigten die folgenden Verhaltensweisen, sobald sich die Malware etabliert hat:

  • Keylogging über einen systemweiten Tastatur-Hook, der über SetWindowsHookExW im rundll32-Prozess installiert wird und jeden Tastenanschlag erfasst.
  • Prozessinjektion: WavesSvc64.exe erstellt angehaltene Prozesse und schreibt in den Speicher anderer Prozesse, um heimlich Code auszuführen.
  • Zugriff auf Anmeldedaten: Die Malware liest Registrierungsschlüssel, die sich auf Anmeldedaten beziehen, und greift auf Browser-Cookie-Dateien zu.
  • Systemerkundung: Abfrage von Hostname, Benutzername, Tastaturlayout, Gebietsschema, laufenden Prozessen und physischen Laufwerken.
  • In rundll32.exe erstellte RWX-Speicherbereiche, die mit der Ausführung im Arbeitsspeicher übereinstimmen, wodurch die Abhängigkeit von zusätzlichen ausgeführten Payload-Dateien verringert wird.
  • Selbstbereinigung: Löscht seine eigenen ausgeführten Dateien und führt die Löschung von 10 oder mehr zusätzlichen Dateien durch, um die forensische Wiederherstellung zu verhindern.
  • Die Malware erstellt Mutexe mit der datierten Zeichenfolge „2026. 2. 5“ und dem Pfad „C:\ProgramData\DisplaySessionContainers.log“ und schreibt eine Protokolldatei an diesem Speicherort.

Wer steht hinter dieser Kampagne?

Diese Kampagne entspricht dem bekannten Muster der Silver Fox-Operationen. Die Gruppe hat wiederholt trojanisierte Installationsprogramme von weit verbreiteter, vertrauenswürdiger chinesischer Software verwendet, um ValleyRAT und das Winos4.0-Framework zu verbreiten. Zu den bisherigen Ködern gehörten QQ Browser, LetsVPN und Gaming-Anwendungen.

Die Vortäuschung eines Sicherheitsprodukts erhöht den Einsatz. Die Opfer sind nicht nur gelegentliche Nutzer – sie suchen aktiv nach Schutz.

Die Zielausrichtung bleibt konsistent. Chinesische Dateinamen, der Köder „Huroung“ und integrierte Lokalisierungsprüfungen deuten allesamt auf eine geografisch fokussierte Kampagne hin.

Die öffentliche Veröffentlichung des ValleyRAT-Builders auf GitHub im März 2025 senkte jedoch die Einstiegshürde erheblich. Forscher identifizierten zwischen November 2024 und November 2025 etwa 6.000 verwandte Samples, von denen 85 % in der zweiten Hälfte dieses Zeitraums auftraten. Dieser Anstieg deutet darauf hin, dass sich das Tool über einen einzelnen Betreiber hinaus verbreitet.

Wie man sicher bleibt

Diese Kampagne zeigt, wie leicht Vertrauen gegen Nutzer ausgenutzt werden kann. Die Angreifer benötigten keinen Zero-Day-Exploit. Sie brauchten lediglich eine überzeugende Website, ein realistisches Installationsprogramm und das Wissen, dass viele Menschen nach einem Produktnamen suchen und auf das erste Ergebnis klicken würden.

Wenn es sich bei dem Köder um ein Sicherheitsprodukt handelt, ist die Täuschung sogar noch wirkungsvoller.

Folgendes sollten Sie überprüfen:

  • Überprüfen Sie die Download-Quellen. Die legitime Website von Huorong Security lautet huorong.cn. Überprüfen Sie vor dem Herunterladen von Sicherheitssoftware immer die Domain – schon ein einziges zusätzliches Zeichen kann zu einer bösartigen Website führen.
  • Überwachen Sie die Ausschlüsse Windows . Jeder Add-MpPreference-Befehl, den Sie nicht selbst initiiert haben, ist ein deutlicher Hinweis auf eine Kompromittierung. Überprüfen Sie die Ausschlüsse regelmäßig.
  • Suche nach Persistenzartefakten. Suchen Sie Endpunkte für eine geplante Aufgabe oder einen geplanten Job mit dem Namen „Batteries“ (Artefakt beobachtet als C:\Windows\Tasks\Batteries.job), die %APPDATA%\trvePath\ Verzeichnis und den Registrierungsschlüssel HKCU\SOFTWARE\IpDates_info.
  • Blockieren Sie ausgehende Verbindungen zu 161.248.87.250 in der Firewall und implementieren Sie IDS-Regeln für Winos4.0 C2-Signaturen (ET SIDs 2052875, 2059975 und 2052262).
  • Warnung bei Prozessanomalien. Rundll32.exe ohne ein legitimes DLL-Argument und WavesSvc64.exe außerhalb einer echten Waves Audio-Installation sind Indikatoren mit hoher Zuverlässigkeit.

Malwarebytes und blockiert bekannte Varianten von ValleyRAT und die damit verbundene Infrastruktur.

Indikatoren für Kompromisse (IOCs)

Infrastruktur

  • Gefälschte Websites:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Domain umleiten: hndqiuebgibuiwqdhr[.]cyou
  • Nutzlast-Host: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, benutzerdefiniertes Binärprotokoll)
  • Kodierte C2-Domäne: yandibaiji0203[.]com

Datei-Hashes (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (NSIS-Installationsprogramm)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL Nr. 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL Nr. 2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL Nr. 3)

Hostbasierte Indikatoren

  • Geplante Aufgabe mit dem Namen Batteries bei C:\Windows\Tasks\Batteries.job
  • Persistenzverzeichnis: %APPDATA%\trvePath\
  • Registrierungsschlüssel: HKCU\SOFTWARE\IpDates_info
  • Registrierungsschlüssel: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Logdatei: C:\ProgramData\DisplaySessionContainers.log
  • Prozesse: WavesSvc64.exe, rundll32.exe (ohne DLL-Argument)

MITRE ATT&CK

  • T1189 — Drive-by-Kompromittierung (Erstzugriff)
  • T1059.001 — PowerShell (Ausführung)
  • T1053.005 — Geplante Aufgabe (Persistenz)
  • T1562.001 — Abwehrmaßnahmen beeinträchtigen: Werkzeuge deaktivieren oder modifizieren (Umgehung von Abwehrmaßnahmen)
  • T1574.002 — DLL-Side-Loading (Umgehung von Schutzmaßnahmen)
  • T1027 — Verschleierte Dateien oder Informationen (Umgehung von Abwehrmaßnahmen)
  • T1218.011 — Rundll32 (Umgehung der Verteidigung)
  • T1555 — Anmeldedaten aus Passwortspeichern (Zugriff auf Anmeldedaten)
  • T1082 — Ermittlung von Systeminformationen (Discovery)
  • T1057 — Prozessermittlung (Discovery)
  • T1056.001 — Keylogging (Erfassung)
  • T1071 — Anwendungsschichtprotokoll (Befehl und Steuerung)
  • T1070.004 — Indikatorentfernung: Dateilöschung (Umgehung der Abwehr)

Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken

Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Nachrichten
Passwörter merken

Passwortmanager schützen Ihre Passwörter, es sei denn…

Februar 23, 2026

Forscher untersuchten die Zero-Knowledge-Behauptungen von Passwort-Managern – und fanden einige mögliche Angriffsszenarien.

Nachrichten
Woche der Sicherheit

Eine Woche in Sachen Sicherheit (16. Februar – 22. Februar)

Februar 23, 2026

Eine Liste der Themen, die wir in der Woche vom 16. bis 22. Februar 2026 behandelt haben

Podcast
Ein abgebildetes Vorhängeschloss ist in einen Mikrofonständer eingebaut, wobei Schallwellen von dem Gerät ausgehen.

Was darf man auf TikTok nicht sagen?

Februar 22, 2026

Diese Woche sprechen wir im Lock and Code-Podcast mit Zach Hinkle und MinJi Pae über den neuen amerikanischen Eigentümer von TikTok – und dessen neue Regeln.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug