Estafas, información sobre amenazas

El sitio web falso de seguridad Huorong infecta a los usuarios con ValleyRAT.

por Stefan Dasic | 23 de febrero de 2026
Logotipo de Huorong con RAT

Se ha utilizado una réplica muy convincente del popular antivirus Huorong Security para distribuir ValleyRAT, un sofisticado troyano de acceso remoto (RAT) basado en el marco Winos4.0, a usuarios que creían estar mejorando su seguridad.

La campaña, atribuida al grupo APT Silver Fox —un grupo de amenazas de habla china conocido por distribuir versiones troyanizadas de populares programas informáticos chinos—, utiliza un dominio typosquatted para servir un instalador NSIS troyanizado que despliega una puerta trasera con todas las funciones y capacidades avanzadas de inyección y ocultación en modo usuario.

Un sitio falso creado para atrapar a usuarios preocupados por la seguridad.

Huorong Security, conocido en chino como 火绒, es un producto antivirus gratuito desarrollado por Beijing Huorong Network Technology Co., Ltd. y ampliamente utilizado en toda China continental.

Los atacantes registraron huoronga[.]com —fíjese en la «a» adicional al final— como una imitación casi perfecta del sitio legítimo huorong.cn. Esta técnica de typosquatting atrapa a los usuarios que escriben mal la dirección o llegan a través de enlaces de phishing o de motores de búsqueda manipulados. El sitio falso parece lo suficientemente convincente como para que la mayoría de los visitantes no tengan motivos evidentes para sospechar que algo anda mal.

Sitio web falso de Huorong Security

Otro sitio falso de Huorong Security

Cuando un visitante hace clic en el botón de descarga, la solicitud se enruta silenciosamente a través de un dominio intermediario (hndqiuebgibuiwqdhr[.]cyou) antes de que la carga útil final se sirva desde el almacenamiento Cloudflare R2, un servicio en la nube legítimo elegido por su reputación de confianza y disponibilidad. El archivo se llama BR火绒445[.]zip, utilizando el nombre chino de Huorong para mantener el disfraz hasta el momento de la ejecución.

¿Qué ocurre después de hacer clic en «Descargar»?

Dentro del archivo ZIP hay un instalador NSIS (Nullsoft Scriptable Install System) troyanizado, un marco de código abierto legítimo utilizado por muchas aplicaciones reales. Su uso aquí es deliberado: un ejecutable creado con NSIS levanta menos sospechas que un empaquetador personalizado, y la experiencia de instalación parece normal.

Cuando se ejecuta, el instalador crea un acceso directo en el escritorio llamado 火绒.lnk (Huorong.lnk), lo que refuerza la ilusión de que el antivirus se ha instalado correctamente.

Al mismo tiempo, extrae un conjunto de archivos al directorio Temp del usuario. La mayoría son bibliotecas de apoyo genuinas o ejecutables señuelo destinados a imitar una instalación real, incluidas copias de DLL multimedia FFmpeg, un archivo que se hace pasar por una herramienta de reparación .NET y otro que imita una utilidad de diagnóstico Huorong.

Los componentes maliciosos incluyen:

  • WavesSvc64.exe: el cargador principal, camuflado como un proceso del servicio de audio Waves.
  • DuiLib_u.dll: una biblioteca DirectUI secuestrada utilizada para la carga lateral de DLL.
  • box.ini: un archivo cifrado que contiene código shell.

Cómo Windows engaña a Windows para que cargue malware

La técnica principal es la carga lateral de DLL, una técnica que utilizan los atacantes para engañar a Windows cargue un archivo malicioso en lugar de uno legítimo.

WavesSvc64.exe parece legítimo (su ruta PDB hace referencia a un directorio de código de una aplicación de juegos), por lo que Windows lo Windows sin problemas. Cuando se ejecuta, Windows carga Windows DuiLib_u.dll junto con él. Ese archivo DLL ha sido sustituido por una versión maliciosa que lee el código shell cifrado de box.ini, lo descifra y lo ejecuta directamente en la memoria.

En lugar de soltar un único ejecutable monolítico de puerta trasera, la cadena culmina en la ejecución de código shell en memoria cargado desde archivos depositados en el disco (por ejemplo, box.ini) a través de la carga lateral de DLL. La cadena basada en código shell es coherente con el patrón del cargador Catena documentado por Rapid7, en el que los ejecutables firmados o de aspecto legítimo agrupan el código de ataque en archivos de configuración .ini y utilizan la inyección reflexiva para ejecutarlo, dejando una huella forense mínima.

Cómo la puerta trasera se convierte en permanente

El análisis del comportamiento muestra una cadena de infección metódica:

1. Exclusiones de defensores
El malware genera PowerShell con un alto nivel de integridad e instruye a Windows para que ignore su directorio de persistencia (AppData\Roaming\trvePath) y su proceso principal (WavesSvc64.exe). Una vez ejecutados estos comandos, Windows es menos propenso a escanear la ruta/proceso elegido por el malware, lo que reduce considerablemente la detección nativa.

2. Persistencia
Crea una tarea programada denominada «Baterías» (observada como C:\Windows\Tasks\Batteries.job). En cada arranque posterior, la tarea se inicia. WavesSvc64.exe /run desde el directorio de persistencia, vuelve a aplicar las exclusiones de Defender y se vuelve a conectar al comando y control (C2).

3. Actualización de archivos
Para evadir la detección basada en firmas, el malware elimina y reescribe WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini y vcruntime140.dll. La eliminación de estos archivos por sí sola puede no ser suficiente para remediar completamente la infección, ya que el malware demuestra la capacidad de reescribir componentes centrales durante la ejecución.

4. Almacenamiento del registro
Los datos de configuración, incluido el dominio C2 codificado yandibaiji0203.[]com, se escriben en HKCU\SOFTWARE\IpDates_info. Una clave secundaria en HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e almacena datos binarios cifrados que probablemente se utilizan para la configuración de malware o la preparación de cargas útiles.

Cómo evita ser detectado

Además de desactivar Defender, ValleyRAT toma medidas para evitar su detección y análisis.

Comprueba si hay depuradores y herramientas forenses buscando títulos de ventanas característicos. Examina la versión del BIOS, los adaptadores de pantalla y las claves de registro de VirtualBox para detectar máquinas virtuales, los entornos aislados que utilizan los investigadores para analizar el malware de forma segura. También comprueba la memoria disponible y la capacidad del disco, e inspecciona la configuración regional y de idioma, probablemente como medida de geolocalización para confirmar que se está ejecutando en un sistema en chino antes de implementarse por completo.

Comunicaciones de mando y control

El stager Winos4.0 se conecta a su servidor C2 en 161.248.87.250 a través del puerto TCP 443. El uso de TCP 443 proporciona camuflaje a nivel de puerto; sin embargo, la inspección reveló un protocolo binario personalizado en lugar del HTTPS cifrado con TLS estándar.

Los sistemas de detección de intrusiones en la red activaron alertas de gravedad crítica para los mensajes de inicio de sesión y respuesta del servidor de Winos4.0 CnC, y una alerta de gravedad alta para la inicialización de ProcessKiller C2.

Se observó tráfico C2 procedente de rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

El componente ProcessKiller es especialmente preocupante. La telemetría de red indica la inicialización de ProcessKiller C2, lo que concuerda con un módulo asociado en informes anteriores con la terminación de software de seguridad. Las campañas anteriores de ValleyRAT/Winos4.0 se dirigían a productos de seguridad de Qihoo 360, Huorong, Tencent y Kingsof, lo que indica la posibilidad de terminar el software de seguridad, incluido el producto que suplantaba como señuelo.

Capacidades posteriores al compromiso

En resumen, una vez instalado, los atacantes pueden vigilar a la víctima, robar información confidencial y controlar el sistema de forma remota. El análisis del entorno aislado confirmó los siguientes comportamientos una vez que el malware se ha instalado:

  • Registro de teclas mediante un gancho de teclado para todo el sistema instalado a través de SetWindowsHookExW en el proceso rundll32, que captura cada pulsación de tecla.
  • Inyección de procesos: WavesSvc64.exe crea procesos suspendidos y escribe en la memoria de otros procesos para ejecutar código de forma sigilosa.
  • Acceso a credenciales: el malware lee las claves del registro relacionadas con las credenciales y accede a los archivos de cookies del navegador.
  • Reconocimiento del sistema: consulta el nombre del host, el nombre de usuario, la distribución del teclado, la configuración regional, los procesos en ejecución y las unidades físicas.
  • Las regiones de memoria RWX creadas dentro de rundll32.exe son coherentes con la ejecución en memoria, lo que reduce la dependencia de ejecutables de carga útil adicionales eliminados.
  • Autolimpieza: elimina sus propios archivos ejecutados y borra otros 10 o más archivos adicionales para impedir la recuperación forense.
  • El malware crea mutexes que incluyen la cadena con fecha 2026. 2. 5 y la ruta C:\ProgramData\DisplaySessionContainers.log, y escribe un archivo de registro en esa ubicación.

¿Quién está detrás de esta campaña?

Esta campaña se ajusta al patrón establecido de las operaciones de Silver Fox. El grupo ha utilizado repetidamente instaladores troyanizados de software chino de amplia confianza para distribuir ValleyRAT y el marco Winos4.0. Entre los señuelos anteriores se incluyen QQ Browser, LetsVPN y aplicaciones de juegos.

Hacerse pasar por un producto de seguridad aumenta los riesgos. Las víctimas no son solo usuarios ocasionales, sino personas que buscan activamente protección.

El objetivo sigue siendo el mismo. Los nombres de archivo en chino, el señuelo Huorong y las comprobaciones de configuración regional integradas apuntan a una campaña centrada geográficamente.

Sin embargo, la filtración pública del generador ValleyRAT en GitHub en marzo de 2025 redujo significativamente la barrera de entrada. Los investigadores identificaron aproximadamente 6000 muestras relacionadas entre noviembre de 2024 y noviembre de 2025, y el 85 % apareció en la segunda mitad de ese período. Ese aumento sugiere que la herramienta se está extendiendo más allá de un solo operador.

Cómo mantenerse seguro

Esta campaña muestra lo fácil que es aprovecharse de la confianza de los usuarios. Los atacantes no necesitaron un exploit de día cero. Solo necesitaron un sitio web convincente, un instalador realista y saber que mucha gente buscaría el nombre de un producto y haría clic en el primer resultado.

Cuando el señuelo es un producto de seguridad, el engaño es aún más eficaz.

Esto es lo que hay que comprobar:

  • Verifique las fuentes de descarga. El sitio web legítimo de Huorong Security es huorong.cn. Compruebe siempre el dominio antes de descargar software de seguridad: un solo carácter adicional puede conducir a un sitio malicioso.
  • Supervise las exclusiones Windows . Cualquier comando Add-MpPreference que no haya iniciado usted mismo es un claro indicio de compromiso. Audite las exclusiones con regularidad.
  • Búsqueda de artefactos de persistencia. Buscar puntos finales para una tarea programada o un trabajo denominado «Baterías» (artefacto observado como C:\Windows\Tasks\Batteries.job), el %APPDATA%\trvePath\ directorio y la clave del registro HKCU\SOFTWARE\IpDates_info.
  • Bloquee las conexiones salientes a 161.248.87.250 en el firewall e implemente reglas IDS para las firmas C2 de Winos4.0 (ET SID 2052875, 2059975 y 2052262).
  • Alerta sobre anomalías en los procesos. Rundll32.exe sin un argumento DLL legítimo, y WavesSvc64.exe fuera de una instalación genuina de Waves Audio, son indicadores de alta confianza.

Malwarebytes y bloquea las variantes conocidas de ValleyRAT y su infraestructura asociada.

Indicadores de compromiso (IOC)

Infraestructura

  • Sitios web falsos:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Redirigir dominio: hndqiuebgibuiwqdhr[.]cyou
  • Host de carga útil: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, protocolo binario personalizado)
  • Dominio C2 codificado: yandibaiji0203[.]com

Hashes de archivo (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (Instalador NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL n.º 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL n.º 2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL n.º 3)

Indicadores basados en el host

  • Tarea programada denominada Batteries en C:\Windows\Tasks\Batteries.job
  • Directorio de persistencia: %APPDATA%\trvePath\
  • Clave del Registro: HKCU\SOFTWARE\IpDates_info
  • Clave del Registro: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Archivo de registro: C:\ProgramData\DisplaySessionContainers.log
  • Procesos: WavesSvc64.exe, rundll32.exe (sin argumento DLL)

MITRE ATT&CK

  • T1189 — Compromiso desde el coche (acceso inicial)
  • T1059.001 — PowerShell (Ejecución)
  • T1053.005 — Tarea programada (persistencia)
  • T1562.001 — Debilitar las defensas: desactivar o modificar herramientas (evasión de defensas).
  • T1574.002 — Carga lateral de DLL (evasión de defensas)
  • T1027 — Archivos o información ofuscados (evasión de la defensa)
  • T1218.011 — Rundll32 (Evasión de defensa)
  • T1555 — Credenciales de almacenes de contraseñas (acceso a credenciales)
  • T1082 — Descubrimiento de información del sistema (Descubrimiento)
  • T1057 — Descubrimiento de procesos (Descubrimiento)
  • T1056.001 — Registro de teclas (Recopilación)
  • T1071 — Protocolo de capa de aplicación (comando y control)
  • T1070.004 — Eliminación de indicadores: Eliminación de archivos (evasión de la defensa)

No sólo informamos de las estafas, sino que ayudamos a detectarlas.

Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Noticias
recordar contraseñas

Los gestores de contraseñas mantienen tus contraseñas seguras, a menos que...

Febrero 23, 2026

Los investigadores analizaron las afirmaciones de conocimiento cero de los gestores de contraseñas y encontraron algunos posibles escenarios de ataque.

Noticias
semana de la seguridad

Una semana en materia de seguridad (del 16 al 22 de febrero)

Febrero 23, 2026

Lista de temas que tratamos durante la semana del 16 al 22 de febrero de 2026.

Podcast
Un candado ilustrado se monta en un pie de micrófono y el dispositivo emite ondas sonoras.

¿Qué no se puede decir en TikTok?

Febrero 22, 2026

Esta semana, en el podcast Lock and Code, hablamos con Zach Hinkle y MinJi Pae sobre la nueva propiedad estadounidense de TikTok y sus nuevas normas.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas