Escroqueries, renseignements sur les menaces

Le faux site de sécurité Huorong infecte les utilisateurs avec ValleyRAT

par Stefan Dasic | 23 février 2026
Logo Huorong avec RAT

Une copie convaincante du célèbre antivirus Huorong Security a été utilisée pour diffuser ValleyRAT, un cheval de Troie d'accès à distance (RAT) sophistiqué basé sur le framework Winos4.0, à des utilisateurs qui pensaient améliorer leur sécurité.

La campagne, attribuée au groupe APT Silver Fox, un groupe de cybercriminels sinophones connu pour distribuer des versions trojanisées de logiciels chinois populaires, utilise un domaine typosquatté pour diffuser un programme d'installation NSIS trojanisé qui déploie une porte dérobée complète dotée de capacités avancées de furtivité et d'injection en mode utilisateur.

Un faux site créé pour piéger les utilisateurs soucieux de leur sécurité

Huorong Security, connu en chinois sous le nom de 火绒, est un antivirus gratuit développé par Beijing Huorong Network Technology Co., Ltd. et largement utilisé en Chine continentale.

Les pirates ont enregistré huoronga[.]com — notez le « a » supplémentaire à la fin — comme une imitation presque parfaite du site légitime huorong.cn. Cette technique de typosquatting piège les utilisateurs qui se trompent en tapant l'adresse ou qui arrivent sur le site via un moteur de recherche piraté ou des liens de phishing. Le faux site semble suffisamment convaincant pour que la plupart des visiteurs n'aient aucune raison évidente de soupçonner quoi que ce soit.

Site de sécurité Huorong contrefait

Un autre faux site Huorong Security

Lorsqu'un visiteur clique sur le bouton de téléchargement, la requête est acheminée de manière silencieuse via un domaine intermédiaire (hndqiuebgibuiwqdhr[.]cyou) avant que la charge utile finale ne soit fournie à partir du stockage Cloudflare R2, un service cloud légitime choisi pour sa réputation de fiabilité et sa disponibilité. Le fichier est nommé BR火绒445[.]zip, utilisant le nom chinois de Huorong afin de maintenir le déguisement jusqu'au moment de l'exécution.

Que se passe-t-il après avoir cliqué sur « Télécharger » ?

L'archive ZIP contient un programme d'installation NSIS (Nullsoft Scriptable Install System) infecté par un cheval de Troie, un framework open source légitime utilisé par de nombreuses applications réelles. Son utilisation ici est délibérée : un exécutable créé avec NSIS suscite moins de méfiance qu'un packer personnalisé, et l'expérience d'installation semble normale.

Une fois exécuté, le programme d'installation crée un raccourci sur le bureau nommé 火绒.lnk (Huorong.lnk), renforçant ainsi l'illusion que l'antivirus a été installé avec succès.

Dans le même temps, il extrait un ensemble de fichiers dans le répertoire Temp de l'utilisateur. La plupart sont des bibliothèques de support authentiques ou des exécutables leurres destinés à imiter une installation réelle, notamment des copies de DLL multimédia FFmpeg, un fichier se faisant passer pour un outil de réparation .NET et un autre imitant un utilitaire de diagnostic Huorong.

Les composants malveillants comprennent :

  • WavesSvc64.exe : le chargeur principal, déguisé en processus de service audio Waves.
  • DuiLib_u.dll : une bibliothèque DirectUI détournée utilisée pour le chargement parallèle de DLL
  • box.ini : fichier crypté contenant du code shell

Comment Windows piégé pour charger des logiciels malveillants

La technique principale est le sideloading de DLL, une technique utilisée par les pirates pour tromper Windows charger un fichier malveillant à la place d'un fichier légitime.

WavesSvc64.exe semble légitime (son chemin PDB fait référence à un répertoire de code d'application de jeu), Windows le Windows donc sans problème. Lorsqu'il s'exécute, Windows charge Windows DuiLib_u.dll en même temps. Cette DLL a été remplacée par une version malveillante qui lit le code shell crypté à partir de box.ini, le décrypte et l'exécute directement en mémoire.

Plutôt que de déposer un seul exécutable monolithique de porte dérobée, la chaîne aboutit à l'exécution d'un shellcode en mémoire chargé à partir de fichiers déposés sur le disque (par exemple, box.ini) via le chargement latéral de DLL. La chaîne basée sur le shellcode est conforme au modèle de chargeur Catena documenté par Rapid7, dans lequel des exécutables signés ou d'apparence légitime regroupent du code d'attaque dans des fichiers de configuration .ini et utilisent l'injection réfléchissante pour l'exécuter tout en laissant une empreinte minimale.

Comment la porte dérobée devient permanente

L'analyse comportementale montre une chaîne d'infection méthodique :

1. Exclusions des défenseurs
Le logiciel malveillant lance PowerShell à un niveau d'intégrité élevé et ordonne à Windows d'ignorer son répertoire de persistance (AppData\Roaming\trvePath) et son processus principal (WavesSvc64.exe). Une fois ces commandes exécutées, Windows est moins susceptible d'analyser le chemin/processus choisi par le logiciel malveillant, ce qui réduit considérablement la détection native.

2. Persévérance
Il crée une tâche planifiée nommée Batteries (observée comme C:\Windows\Tasks\Batteries.job). À chaque démarrage ultérieur, la tâche se lance. WavesSvc64.exe /run à partir du répertoire persistence, réapplique les exclusions Defender et se reconnecte à la commande et au contrôle (C2).

3. Actualisation des fichiers
Pour échapper à la détection basée sur les signatures, le logiciel malveillant supprime et réécrit les fichiers WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini et vcruntime140.dll. La suppression de ces fichiers seule peut ne pas suffire à remédier complètement à l'infection, car le logiciel malveillant est capable de réécrire des composants essentiels pendant son exécution.

4. Stockage du registre
Les données de configuration, y compris le domaine C2 codé yandibaiji0203.[]com, sont écrites dans HKCU\SOFTWARE\IpDates_info. Une clé secondaire à HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e stocke des données binaires cryptées susceptibles d'être utilisées pour la configuration de logiciels malveillants ou la préparation de charges utiles.

Comment il évite la détection

Au-delà de la désactivation de Defender, ValleyRAT prend des mesures pour éviter la détection et l'analyse.

Il recherche les débogueurs et les outils d'analyse judiciaire en recherchant les titres de fenêtres caractéristiques. Il examine la version du BIOS, les cartes graphiques et les clés de registre VirtualBox afin de détecter les machines virtuelles, c'est-à-dire les sandbox utilisées par les chercheurs pour analyser les logiciels malveillants en toute sécurité. Il vérifie également la mémoire disponible et la capacité du disque, et inspecte les paramètres régionaux et linguistiques, probablement dans le cadre d'une mesure de géolocalisation visant à confirmer qu'il fonctionne sur un système en langue chinoise avant de se déployer complètement.

Communications de commandement et de contrôle

Le stager Winos4.0 se connecte à son serveur C2 à l'adresse 161.248.87.250 via le port TCP 443. L'utilisation du port TCP 443 permet un camouflage au niveau du port ; cependant, l'inspection a révélé un protocole binaire personnalisé plutôt qu'un protocole HTTPS standard crypté TLS.

Les systèmes de détection d'intrusion réseau ont déclenché des alertes de gravité critique pour les messages de connexion CnC et de réponse du serveur Winos4.0, ainsi qu'une alerte de gravité élevée pour l'initialisation C2 de ProcessKiller.

Un trafic C2 a été observé provenant de rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

Le composant ProcessKiller est particulièrement préoccupant. La télémétrie réseau indique l'initialisation de ProcessKiller C2, ce qui correspond à un module associé dans des rapports antérieurs à la désactivation de logiciels de sécurité. Les précédentes campagnes ValleyRAT/Winos4.0 ciblaient les produits de sécurité de Qihoo 360, Huorong, Tencent et Kingsof, ce qui indique la possibilité de désactiver des logiciels de sécurité, y compris le produit qu'il imitait pour servir d'appât.

Capacités post-compromis

En bref, une fois installé, les pirates peuvent surveiller la victime, voler des informations sensibles et contrôler le système à distance. L'analyse en sandbox a confirmé les comportements suivants une fois que le logiciel malveillant a pris pied :

  • Enregistrement des frappes clavier via un hook clavier installé à l'échelle du système via SetWindowsHookExW dans le processus rundll32, capturant chaque frappe.
  • Injection de processus : WavesSvc64.exe crée des processus suspendus et écrit dans la mémoire d'autres processus afin d'exécuter du code de manière furtive.
  • Accès aux identifiants : le logiciel malveillant lit les clés de registre liées aux identifiants et modifie les fichiers cookies du navigateur.
  • Reconnaissance du système : interroge le nom d'hôte, le nom d'utilisateur, la disposition du clavier, les paramètres régionaux, les processus en cours d'exécution et les lecteurs physiques.
  • Les régions de mémoire RWX créées dans rundll32.exe sont compatibles avec l'exécution en mémoire, ce qui réduit la dépendance à l'égard d'exécutables supplémentaires à charge utile réduite.
  • Auto-nettoyage : supprime ses propres fichiers exécutés et supprime au moins 10 fichiers supplémentaires afin d'entraver la récupération des données par les enquêteurs.
  • Le logiciel malveillant crée des mutexes comprenant la chaîne datée 2026. 2. 5 et le chemin C:\ProgramData\DisplaySessionContainers.log, et écrit un fichier journal à cet emplacement.

Qui est à l'origine de cette campagne ?

Cette campagne correspond au modèle établi des opérations de Silver Fox. Le groupe a utilisé à plusieurs reprises des installateurs trojanisés de logiciels chinois largement reconnus pour distribuer ValleyRAT et le framework Winos4.0. Parmi les leurres précédents figuraient QQ Browser, LetsVPN et des applications de jeux.

Se faire passer pour un produit de sécurité augmente les enjeux. Les victimes ne sont pas seulement des utilisateurs occasionnels, elles recherchent activement une protection.

Le ciblage reste cohérent. Les noms de fichiers en chinois, le leurre Huorong et les vérifications locales intégrées indiquent tous une campagne axée sur une zone géographique spécifique.

Cependant, la divulgation publique du générateur ValleyRAT sur GitHub en mars 2025 a considérablement réduit les obstacles à l'entrée. Les chercheurs ont identifié environ 6 000 échantillons connexes entre novembre 2024 et novembre 2025, dont 85 % sont apparus au cours de la seconde moitié de cette période. Cette augmentation suggère que l'outil se répand au-delà d'un seul opérateur.

Comment rester en sécurité

Cette campagne montre à quel point la confiance peut facilement être retournée contre les utilisateurs. Les pirates n'avaient pas besoin d'un exploit zero-day. Il leur suffisait d'un site web convaincant, d'un programme d'installation réaliste et de savoir que de nombreuses personnes recherchent le nom d'un produit et cliquent sur le premier résultat.

Lorsque l'appât est un produit de sécurité, la supercherie est encore plus efficace.

Voici ce qu'il faut vérifier :

  • Vérifiez les sources de téléchargement. Le site Web officiel de Huorong Security est huorong.cn. Vérifiez toujours le nom de domaine avant de télécharger un logiciel de sécurité : un seul caractère supplémentaire peut vous rediriger vers un site malveillant.
  • Surveillez les exclusions Windows . Toute commande Add-MpPreference que vous n'avez pas lancée est un indicateur fort de compromission. Vérifiez régulièrement les exclusions.
  • Recherche d'artefacts de persistanceRecherchez les points de terminaison pour une tâche ou un travail planifié nommé Batteries (artefact observé comme C:\Windows\Tasks\Batteries.job), le %APPDATA%\trvePath\ répertoire et la clé de registre HKCU\SOFTWARE\IpDates_info.
  • Bloquez les connexions sortantes vers 161.248.87.250 au niveau du pare-feu et déployez les règles IDS pour les signatures Winos4.0 C2 (ET SID 2052875, 2059975 et 2052262).
  • Alerte en cas d'anomalies dans les processus. Rundll32.exe sans argument DLL légitime, et WavesSvc64.exe en dehors d'une installation Waves Audio authentique, sont des indicateurs très fiables.

Malwarebytes et bloque les variantes connues de ValleyRAT et son infrastructure associée.

Indicateurs de compromis (IOC)

Infrastructure

  • Faux sites web :
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Rediriger le domaine : hndqiuebgibuiwqdhr[.]cyou
  • Hôte de charge utile : pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP : 161.248.87[.]250 (TCP 443, protocole binaire personnalisé)
  • Domaine C2 codé : yandibaiji0203[.]com

Hachages de fichiers (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (programme d'installation NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL n° 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL n° 2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL n° 3)

Indicateurs basés sur l'hôte

  • Tâche planifiée nommée Batteries à C:\Windows\Tasks\Batteries.job
  • Répertoire de persistance : %APPDATA%\trvePath\
  • Clé de registre : HKCU\SOFTWARE\IpDates_info
  • Clé de registre : HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Fichier journal : C:\ProgramData\DisplaySessionContainers.log
  • Processus : WavesSvc64.exe, rundll32.exe (sans argument DLL)

MITRE ATT&CK

  • T1189 — Compromission au passage (accès initial)
  • T1059.001 — PowerShell (exécution)
  • T1053.005 — Tâche planifiée (persistance)
  • T1562.001 — Affaiblir les défenses : désactiver ou modifier les outils (contournement des défenses)
  • T1574.002 — Chargement latéral de DLL (contournement des mesures de défense)
  • T1027 — Fichiers ou informations obscurcis (contournement des mesures de défense)
  • T1218.011 — Rundll32 (Contournement de la défense)
  • T1555 — Identifiants provenant des magasins de mots de passe (accès aux identifiants)
  • T1082 — Découverte des informations système (Discovery)
  • T1057 — Découverte des processus (Discovery)
  • T1056.001 — Enregistrement des frappes clavier (collecte)
  • T1071 — Protocole de couche application (commande et contrôle)
  • T1070.004 — Suppression d'indicateurs : suppression de fichiers (contournement des mesures de défense)

Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.

Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Actualités
se souvenir des mots de passe

Les gestionnaires de mots de passe protègent vos mots de passe, sauf si...

Février 23, 2026

Des chercheurs ont étudié les affirmations de confidentialité totale des gestionnaires de mots de passe et ont découvert plusieurs scénarios d'attaque possibles.

Actualités
semaine de la sécurité

Une semaine en matière de sécurité (du 16 au 22 février)

Février 23, 2026

Liste des sujets abordés au cours de la semaine du 16 au 22 février 2026

Podcast
Un cadenas illustré est monté sur un pied de microphone et des ondes sonores sont émises par l'appareil.

Qu'est-ce que tu ne peux pas dire sur TikTok ?

Février 22, 2026

Cette semaine, dans le podcast Lock and Code, nous discutons avec Zach Hinkle et MinJi Pae de la nouvelle propriété américaine de TikTok et de ses nouvelles règles.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries