Truffe, informazioni sulle minacce

Il sito di sicurezza falso Huorong infetta gli utenti con ValleyRAT

di Stefan Dasic | 23 febbraio 2026
Logo Huorong con RAT

Una copia convincente del popolare antivirus Huorong Security è stata utilizzata per diffondere ValleyRAT, un sofisticato trojan di accesso remoto (RAT) basato sul framework Winos4.0, agli utenti che credevano di migliorare la propria sicurezza.

La campagna, attribuita al gruppo APT Silver Fox, un gruppo di hacker di lingua cinese noto per la distribuzione di versioni trojanizzate di popolari software cinesi, utilizza un dominio typosquatted per distribuire un installer NSIS trojanizzato che implementa una backdoor completa con funzionalità avanzate di stealth e iniezione in modalità utente.

Un sito falso creato per ingannare gli utenti attenti alla sicurezza

Huorong Security, noto in cinese come 火绒, è un prodotto antivirus gratuito sviluppato dalla Beijing Huorong Network Technology Co., Ltd. e ampiamente utilizzato in tutta la Cina continentale.

Gli aggressori hanno registrato huoronga[.]com (notare la "a" aggiuntiva alla fine) come imitazione quasi perfetta del legittimo huorong.cn. Questa tecnica di typosquatting cattura gli utenti che digitano erroneamente l'indirizzo o arrivano tramite avvelenamento dei motori di ricerca o link di phishing. Il sito falso sembra abbastanza convincente da non destare alcun sospetto nella maggior parte dei visitatori.

Sito falso Huorong Security

Un altro sito falso di Huorong Security

Quando un visitatore clicca sul download , la richiesta viene instradata silenziosamente attraverso un dominio intermedio (hndqiuebgibuiwqdhr[.]cyou) prima che il payload finale venga servito dallo storage Cloudflare R2, un servizio cloud legittimo scelto per la sua reputazione affidabile e la sua disponibilità. Il file è denominato BR火绒445[.]zip, utilizzando il nome cinese di Huorong per mantenere il travestimento fino al momento dell'esecuzione.

Cosa succede dopo aver cliccato su " download

All'interno dell'archivio ZIP è presente un programma di installazione NSIS (Nullsoft Scriptable Install System) trojanizzato, un framework open source legittimo utilizzato da molte applicazioni reali. Il suo utilizzo in questo caso è deliberato: un eseguibile creato con NSIS suscita meno sospetti rispetto a un packer personalizzato e l'esperienza di installazione appare normale.

Una volta eseguito, il programma di installazione crea un collegamento sul desktop denominato 火绒.lnk (Huorong.lnk), rafforzando l'illusione che l'antivirus sia stato installato correttamente.

Allo stesso tempo, estrae un gruppo di file nella directory Temp dell'utente. La maggior parte sono librerie di supporto autentiche o eseguibili esca destinati a imitare una vera installazione, tra cui copie delle DLL multimediali FFmpeg, un file che si finge uno strumento di riparazione .NET e un altro che imita un'utilità diagnostica Huorong.

I componenti dannosi includono:

  • WavesSvc64.exe: il caricatore principale, camuffato da processo di servizio audio Waves
  • DuiLib_u.dll: una libreria DirectUI dirottata utilizzata per il sideloading di DLL
  • box.ini: un file crittografato contenente codice shell

Come Windows indotto a caricare malware

La tecnica principale è il sideloading delle DLL, una tecnica utilizzata dagli hacker per indurre Windows caricare un file dannoso invece di uno legittimo.

WavesSvc64.exe sembra legittimo (il suo percorso PDB fa riferimento a una directory di codice di un'applicazione di gioco), quindi Windows lo Windows senza problemi. Quando viene eseguito, Windows carica Windows anche DuiLib_u.dll. Tale DLL è stata sostituita con una versione dannosa che legge il codice shell crittografato da box.ini, lo decrittografa e lo esegue direttamente nella memoria.

Anziché rilasciare un unico eseguibile backdoor monolitico, la catena culmina nell'esecuzione di shellcode in memoria caricato da file rilasciati su disco (ad esempio, box.ini) tramite sideloading DLL. La catena basata su shellcode è coerente con il modello di caricatore Catena documentato da Rapid7, in cui eseguibili firmati o dall'aspetto legittimo raggruppano codice di attacco in file di configurazione .ini e utilizzano l'iniezione riflettente per eseguirlo lasciando una traccia forense minima.

Come la backdoor diventa permanente

L'analisi comportamentale mostra una catena di infezione metodica:

1. Esclusioni dei difensori
Il malware genera PowerShell con un elevato livello di integrità e ordina a Windows di ignorare la sua directory di persistenza (AppData\Roaming\trvePath) e il suo processo principale (WavesSvc64.exe). Dopo l'esecuzione di questi comandi, Windows è meno propenso a eseguire la scansione del percorso/processo scelto dal malware, riducendo in modo significativo il rilevamento nativo.

2. Perseveranza
Crea un'attività pianificata denominata Batterie (osservata come C:\Windows\Tasks\Batteries.job). Ad ogni avvio successivo, l'attività viene avviata. WavesSvc64.exe /run dalla directory persistence, riapplica le esclusioni di Defender e si riconnette al comando e controllo (C2).

3. Aggiornamento dei file
Per eludere il rilevamento basato sulle firme, il malware elimina e riscrive WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini e vcruntime140.dll. La sola eliminazione di questi file potrebbe non essere sufficiente a risolvere completamente l'infezione, poiché il malware dimostra la capacità di riscrivere i componenti principali durante l'esecuzione.

4. Archiviazione del registro
I dati di configurazione, compreso il dominio C2 codificato yandibaiji0203.[]com, vengono scritti su HKCU\SOFTWARE\IpDates_info. Una chiave secondaria in HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e memorizza dati binari crittografati probabilmente utilizzati per la configurazione di malware o lo staging di payload.

Come evita di essere rilevato

Oltre a disabilitare Defender, ValleyRAT adotta misure per evitare il rilevamento e l'analisi.

Verifica la presenza di debugger e strumenti forensi cercando titoli di finestre caratteristici. Esamina la versione del BIOS, le schede video e le chiavi di registro di VirtualBox per rilevare le macchine virtuali, ovvero le sandbox utilizzate dai ricercatori per analizzare il malware in modo sicuro. Controlla anche la memoria disponibile e la capacità del disco e ispeziona le impostazioni locali e linguistiche, probabilmente come misura di geofencing per confermare che sia in esecuzione su un sistema in lingua cinese prima di procedere alla distribuzione completa.

Comunicazioni di comando e controllo

Lo stager Winos4.0 si connette al proprio server C2 all'indirizzo 161.248.87.250 tramite la porta TCP 443. L'uso della porta TCP 443 garantisce un camuffamento a livello di porta; tuttavia, l'ispezione ha rivelato un protocollo binario personalizzato anziché l'HTTPS standard crittografato con TLS.

I sistemi di rilevamento delle intrusioni di rete hanno generato avvisi di gravità critica per i messaggi di accesso CnC e di risposta del server di Winos4.0 e un avviso di gravità elevata per l'inizializzazione di ProcessKiller C2.

È stato osservato traffico C2 proveniente da rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

Il componente ProcessKiller è particolarmente preoccupante. La telemetria di rete indica l'inizializzazione di ProcessKiller C2, in linea con un modulo associato in precedenti segnalazioni alla chiusura di software di sicurezza. Le precedenti campagne ValleyRAT/Winos4.0 hanno preso di mira i prodotti di sicurezza di Qihoo 360, Huorong, Tencent e Kingsof, indicando la possibilità di chiudere software di sicurezza, compreso il prodotto che ha impersonato come esca.

Capacità post-compromissione

In breve, una volta installato, gli aggressori possono monitorare la vittima, rubare informazioni sensibili e controllare il sistema da remoto. L'analisi sandbox ha confermato i seguenti comportamenti una volta che il malware ha preso piede:

  • Keylogging tramite un hook della tastiera a livello di sistema installato tramite SetWindowsHookExW nel processo rundll32, che cattura ogni battitura.
  • Iniezione di processi: WavesSvc64.exe crea processi sospesi e scrive nella memoria di altri processi per l'esecuzione di codice nascosto.
  • Accesso alle credenziali: il malware legge le chiavi di registro relative alle credenziali e modifica i file cookie del browser.
  • Ricognizione del sistema: richiede nome host, nome utente, layout tastiera, impostazioni locali, processi in esecuzione e unità fisiche.
  • Le regioni di memoria RWX create all'interno di rundll32.exe sono coerenti con l'esecuzione in memoria, riducendo la dipendenza da ulteriori eseguibili di payload rilasciati.
  • Autopulizia: elimina i propri file eseguiti ed esegue la cancellazione di altri 10 o più file per ostacolare il recupero forense.
  • Il malware crea mutex che includono la stringa datata 2026. 2. 5 e il percorso C:\ProgramData\DisplaySessionContainers.log, e scrive un file di log in quella posizione.

Chi c'è dietro questa campagna?

Questa campagna rientra nel modello consolidato delle operazioni di Silver Fox. Il gruppo ha ripetutamente utilizzato programmi di installazione trojanizzati di software cinese ampiamente affidabile per distribuire ValleyRAT e il framework Winos4.0. Le esche precedenti includevano QQ Browser, LetsVPN e applicazioni di gioco.

Fingersi un prodotto di sicurezza aumenta la posta in gioco. Le vittime non sono semplici utenti occasionali, ma persone che cercano attivamente protezione.

Il targeting rimane coerente. I nomi dei file in lingua cinese, l'esca Huorong e i controlli locali integrati indicano tutti una campagna incentrata su un'area geografica specifica.

Tuttavia, la divulgazione pubblica del builder ValleyRAT su GitHub nel marzo 2025 ha notevolmente abbassato la barriera all'ingresso. I ricercatori hanno identificato circa 6.000 campioni correlati tra novembre 2024 e novembre 2025, con l'85% che è apparso nella seconda metà di tale periodo. Tale aumento suggerisce che lo strumento si sta diffondendo oltre un singolo operatore.

Come stare al sicuro

Questa campagna dimostra quanto sia facile sfruttare la fiducia degli utenti a proprio vantaggio. Gli autori dell'attacco non hanno avuto bisogno di uno zero-day exploit. Gli sono bastati un sito web convincente, un programma di installazione realistico e la consapevolezza che molte persone cercano il nome di un prodotto e cliccano sul primo risultato.

Quando l'esca è un prodotto di sicurezza, l'inganno è ancora più efficace.

Ecco cosa controllare:

  • Verificate download . Il sito web ufficiale di Huorong Security è huorong.cn. Controllate sempre il dominio prima di scaricare software di sicurezza: un solo carattere in più può portare a un sito dannoso.
  • Monitorare le esclusioni Windows . Qualsiasi comando Add-MpPreference non avviato dall'utente è un forte indicatore di compromissione. Controllare regolarmente le esclusioni.
  • Caccia agli artefatti di persistenza. Cerca gli endpoint per un'attività o un processo pianificato denominato Batteries (artefatto osservato come C:\Windows\Tasks\Batteries.job), il %APPDATA%\trvePath\ directory e la chiave di registro HKCU\SOFTWARE\IpDates_info.
  • Bloccare le connessioni in uscita verso 161.248.87.250 sul firewall e implementare regole IDS per le firme C2 di Winos4.0 (ET SID 2052875, 2059975 e 2052262).
  • Avviso sulle anomalie di processo. Rundll32.exe senza un argomento DLL legittimo e WavesSvc64.exe al di fuori di un'installazione originale di Waves Audio sono indicatori altamente affidabili.

Malwarebytes e blocca le varianti note di ValleyRAT e la relativa infrastruttura associata.

Indicatori di compromesso (IOC)

Infrastrutture

  • Siti web falsi:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Reindirizza dominio: hndqiuebgibuiwqdhr[.]cyou
  • Host del carico utile: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, protocollo binario personalizzato)
  • Dominio C2 codificato: yandibaiji0203[.]com

Hash dei file (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (Programma di installazione NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL n. 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL n. 2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL n. 3)

Indicatori basati sull'host

  • Attività pianificata denominata Batteries a C:\Windows\Tasks\Batteries.job
  • Directory di persistenza: %APPDATA%\trvePath\
  • Chiave di registro: HKCU\SOFTWARE\IpDates_info
  • Chiave di registro: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • File di log: C:\ProgramData\DisplaySessionContainers.log
  • Processi: WavesSvc64.exe, rundll32.exe (senza argomento DLL)

MITRE ATT&CK

  • T1189 — Compromissione drive-by (accesso iniziale)
  • T1059.001 — PowerShell (Esecuzione)
  • T1053.005 — Attività pianificata (persistenza)
  • T1562.001 — Compromettere le difese: disabilitare o modificare gli strumenti (elusione delle difese)
  • T1574.002 — Caricamento laterale delle DLL (elusione della difesa)
  • T1027 — File o informazioni oscurati (elusione della difesa)
  • T1218.011 — Rundll32 (Evasione della difesa)
  • T1555 — Credenziali dagli archivi password (accesso alle credenziali)
  • T1082 — Rilevamento delle informazioni di sistema (Discovery)
  • T1057 — Process Discovery (Scoperta)
  • T1056.001 — Keylogging (raccolta)
  • T1071 — Protocollo del livello applicativo (comando e controllo)
  • T1070.004 — Rimozione dell'indicatore: cancellazione dei file (elusione della difesa)

Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

AI
Logo OpenClaw

OpenClaw: che cos'è e si può usare in modo sicuro?

Febbraio 23, 2026

OpenClaw è un argomento molto dibattuto al momento. Ma cos'è e come è possibile utilizzare l'assistente AI 24/7 in modo sicuro?

Notizie
ricordare le password

I gestori di password mantengono le tue password al sicuro, a meno che...

Febbraio 23, 2026

I ricercatori hanno esaminato le affermazioni relative alla conoscenza zero dei gestori di password e hanno individuato alcuni possibili scenari di attacco.

Notizie
Settimana della sicurezza

Una settimana dedicata alla sicurezza (16 febbraio – 22 febbraio)

Febbraio 23, 2026

Elenco degli argomenti trattati nella settimana dal 16 al 22 febbraio 2026

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe