Oplichting, dreigingsinformatie

Nep-beveiligingssite van Huorong infecteert gebruikers met ValleyRAT

door Stefan Dasic | 23 februari 2026
Huorong-logo met RAT

Een overtuigende kopie van het populaire antivirusprogramma Huorong Security is gebruikt om ValleyRAT, een geavanceerde Remote Access Trojan (RAT) gebouwd op het Winos4.0-framework, te verspreiden onder gebruikers die dachten dat ze hun beveiliging verbeterden.

De campagne, die wordt toegeschreven aan de Silver Fox APT-groep – een Chinees sprekende bedreigingsgroep die bekend staat om het verspreiden van trojan-versies van populaire Chinese software – maakt gebruik van een typosquatted domein om een trojan-NSIS-installatieprogramma te verspreiden dat een volledig uitgeruste backdoor met geavanceerde user-mode stealth- en injectiemogelijkheden implementeert.

Een nepwebsite die is gebouwd om gebruikers met een hoog veiligheidsbewustzijn te misleiden.

Huorong Security, in het Chinees bekend als 火绒, is een gratis antivirusproduct dat is ontwikkeld door Beijing Huorong Network Technology Co., Ltd. en veel wordt gebruikt op het Chinese vasteland.

De aanvallers registreerden huoronga[.]com – let op de extra 'a' aan het einde – als een bijna perfecte imitatie van het legitieme huorong.cn. Deze typosquatting-techniek vangt gebruikers op die het adres verkeerd typen of via zoekmachinevergiftiging of phishinglinks terechtkomen. De nepwebsite ziet er zo overtuigend uit dat de meeste bezoekers geen duidelijke reden hebben om te vermoeden dat er iets mis is.

Nep-website van Huorong Security

Nog een valse Huorong Security-website

Wanneer een bezoeker op de downloadknop klikt, wordt het verzoek stilzwijgend doorgestuurd via een tussenliggend domein (hndqiuebgibuiwqdhr[.]cyou) voordat de uiteindelijke payload wordt geleverd vanuit Cloudflare R2-opslag, een legitieme cloudservice die is gekozen vanwege zijn betrouwbare reputatie en beschikbaarheid. Het bestand heeft de naam BR火绒445[.]zip, waarbij de Chinese naam voor Huorong wordt gebruikt om de vermomming tot het moment van uitvoering in stand te houden.

Wat gebeurt er nadat je op downloaden hebt geklikt?

In het ZIP-archief zit een trojanized NSIS-installatieprogramma (Nullsoft Scriptable Install System), een legitiem open-sourceframework dat door veel echte applicaties wordt gebruikt. Het gebruik ervan is hier bewust: een door NSIS gebouwd uitvoerbaar bestand wekt minder argwaan dan een aangepaste packer, en de installatie verloopt normaal.

Wanneer het installatieprogramma wordt uitgevoerd, wordt er een snelkoppeling op het bureaublad geplaatst met de naam 火绒.lnk (Huorong.lnk), waardoor de illusie wordt versterkt dat het antivirusprogramma met succes is geïnstalleerd.

Tegelijkertijd worden een aantal bestanden naar de map Temp van de gebruiker gekopieerd. De meeste daarvan zijn echte ondersteunende bibliotheken of nep-uitvoerbare bestanden die bedoeld zijn om een echte installatie na te bootsen, waaronder kopieën van FFmpeg multimedia DLL's, een bestand dat zich voordoet als een .NET-reparatietool en een ander bestand dat een Huorong-diagnosehulpprogramma nabootst.

De schadelijke componenten omvatten:

  • WavesSvc64.exe: de hoofdlader, vermomd als een Waves-audioserviceproces
  • DuiLib_u.dll: een gekaapte DirectUI-bibliotheek die wordt gebruikt voor het sideloaden van DLL's
  • box.ini: een versleuteld bestand dat shellcode bevat

Hoe Windows misleid om malware te laden

De kerntechniek is DLL-sideloading, een techniek die aanvallers gebruiken om Windows te misleiden Windows het een kwaadaardig bestand laadt in plaats van een legitiem bestand.

WavesSvc64.exe lijkt legitiem – het PDB-pad verwijst naar een codemap van een game-applicatie – dus Windows het zonder problemen. Wanneer het wordt uitgevoerd, laadt Windows ook DuiLib_u.dll. Die DLL is vervangen door een kwaadaardige versie die versleutelde shellcode uit box.ini leest, deze ontsleutelt en direct in het geheugen uitvoert.

In plaats van één monolithisch backdoor-uitvoerbaar bestand te droppen, culmineert de keten in de uitvoering van shellcode in het geheugen, geladen vanuit bestanden die via DLL-sideloading op de schijf zijn gedropt (bijvoorbeeld box.ini). De op shellcode gebaseerde keten komt overeen met het Catena-loaderpatroon dat door Rapid7 is gedocumenteerd, waarbij ondertekende of legitiem ogende uitvoerbare bestanden aanvalscode bundelen in .ini-configuratiebestanden en reflectieve injectie gebruiken om deze uit te voeren, terwijl ze een minimale forensische voetafdruk achterlaten.

Hoe de achterdeur permanent wordt

Gedragsanalyse toont een methodische infectieketen aan:

1. Uitsluitingen van verdedigers
De malware start PowerShell op met een hoog integriteitsniveau en geeft Windows de opdracht om de persistentiedirectory te negeren (AppData\Roaming\trvePath) en het hoofdproces ervan (WavesSvc64.exe). Nadat deze opdrachten zijn uitgevoerd, is de kans kleiner dat Windows het door de malware gekozen pad/proces scant, waardoor de native detectie aanzienlijk wordt verminderd.

2. Doorzettingsvermogen
Het maakt een geplande taak aan met de naam Batterijen (waargenomen als C:\Windows\Tasks\Batteries.job). Bij elke volgende opstart wordt de taak gestart. WavesSvc64.exe /run vanuit de persistentiedirectory, past Defender-uitsluitingen opnieuw toe en maakt opnieuw verbinding met command and control (C2).

3. Bestandsvernieuwings
Om detectie op basis van handtekeningen te omzeilen, verwijdert en herschrijft de malware WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini en vcruntime140.dll. Het verwijderen van deze bestanden alleen is mogelijk niet voldoende om de infectie volledig te verhelpen, aangezien de malware tijdens de uitvoering de mogelijkheid heeft om kerncomponenten te herschrijven.

4. Registratieopslag
Configuratiegegevens, waaronder het gecodeerde C2-domein yandibaiji0203.[]com, worden geschreven naar HKCU\SOFTWARE\IpDates_info. Een secundaire sleutel bij HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e opslagplaatsen voor versleutelde binaire gegevens die waarschijnlijk worden gebruikt voor malwareconfiguratie of payload staging.

Hoe het detectie voorkomt

Naast het uitschakelen van Defender neemt ValleyRAT maatregelen om detectie en analyse te voorkomen.

Het controleert op debuggers en forensische tools door te zoeken naar karakteristieke venstertitels. Het onderzoekt de BIOS-versie, beeldschermadapters en VirtualBox-registersleutels om virtuele machines te detecteren – de sandboxes die onderzoekers gebruiken om malware veilig te analyseren. Het controleert ook het beschikbare geheugen en de schijfcapaciteit en inspecteert de locale- en taalinstellingen, waarschijnlijk als een geofencing-maatregel om te bevestigen dat het op een Chinees systeem draait voordat het volledig wordt geïmplementeerd.

Command-and-control-communicatie

De Winos4.0-stager maakt verbinding met zijn C2-server op 161.248.87.250 via TCP-poort 443. Het gebruik van TCP 443 zorgt voor camouflage op poortniveau, maar uit onderzoek bleek dat er sprake was van een aangepast binair protocol in plaats van standaard TLS-versleutelde HTTPS.

Netwerkintrusiedetectiesystemen hebben kritieke waarschuwingen geactiveerd voor Winos4.0 CnC-aanmeldingen en serverresponsberichten, en een ernstige waarschuwing voor ProcessKiller C2-initialisatie.

Er werd C2-verkeer waargenomen afkomstig van rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

De ProcessKiller-component is bijzonder zorgwekkend. Netwerktelemetrie wijst op initialisatie van ProcessKiller C2, wat overeenkomt met een module die in eerdere rapportages in verband werd gebracht met het beëindigen van beveiligingssoftware. Eerdere ValleyRAT/Winos4.0-campagnes waren gericht op beveiligingsproducten van Qihoo 360, Huorong, Tencent en Kingsof, wat wijst op de mogelijkheid om beveiligingssoftware te beëindigen, inclusief het product dat als lokmiddel werd gebruikt.

Mogelijkheden na compromittering

Kortom, zodra het is geïnstalleerd, kunnen aanvallers het slachtoffer volgen, gevoelige informatie stelen en het systeem op afstand bedienen. Sandbox-analyse bevestigde de volgende gedragingen zodra de malware voet aan de grond heeft gekregen:

  • Keylogging via een systeembrede toetsenbordhook die is geïnstalleerd via SetWindowsHookExW in het rundll32-proces, waarbij elke toetsaanslag wordt vastgelegd.
  • Procesinjectie: WavesSvc64.exe creëert opgeschorte processen en schrijft naar het geheugen van andere processen om stiekem code uit te voeren.
  • Toegang tot inloggegevens: de malware leest registersleutels die betrekking hebben op inloggegevens en raakt cookiebestanden van de browser aan.
  • Systeemverkenning: vraagt hostnaam, gebruikersnaam, toetsenbordindeling, locale, actieve processen en fysieke schijven op.
  • RWX-geheugengebieden die zijn aangemaakt in rundll32.exe, consistent met uitvoering in het geheugen, waardoor de afhankelijkheid van extra uitgevoerde uitvoerbare bestanden wordt verminderd.
  • Zelfopruiming: verwijdert zijn eigen uitgevoerde bestanden en verwijdert 10 of meer extra bestanden om forensisch herstel te verhinderen.
  • De malware maakt mutexen aan met de datumstring 2026. 2. 5 en het pad C:\ProgramData\DisplaySessionContainers.log, en schrijft een logbestand op die locatie.

Wie zit er achter deze campagne?

Deze campagne past in het vaste patroon van Silver Fox-operaties. De groep heeft herhaaldelijk gebruikgemaakt van met trojans geïnfecteerde installatieprogramma's van algemeen vertrouwde Chinese software om ValleyRAT en het Winos4.0-framework te verspreiden. Eerdere lokmiddelen waren onder meer QQ Browser, LetsVPN en gamingapplicaties.

Het zich voordoen als een beveiligingsproduct verhoogt de inzet. De slachtoffers zijn niet zomaar gewone gebruikers, maar mensen die actief op zoek zijn naar bescherming.

De doelgerichtheid blijft consistent. Bestandsnamen in het Chinees, het lokmiddel Huorong en ingebouwde locale-controles wijzen allemaal op een geografisch gerichte campagne.

De openbare lek van de ValleyRAT-builder op GitHub in maart 2025 heeft de toegangsdrempel echter aanzienlijk verlaagd. Onderzoekers hebben tussen november 2024 en november 2025 ongeveer 6000 gerelateerde voorbeelden geïdentificeerd, waarvan 85% in de tweede helft van die periode. Die toename suggereert dat de tooling zich buiten één enkele operator verspreidt.

Hoe blijf ik veilig

Deze campagne laat zien hoe gemakkelijk vertrouwen tegen gebruikers kan worden gebruikt. De aanvallers hadden geen zero-day-exploit nodig. Ze hadden een overtuigende website nodig, een realistisch installatieprogramma en de wetenschap dat veel mensen naar een productnaam zoeken en op het eerste resultaat klikken.

Wanneer het lokmiddel een beveiligingsproduct is, is de misleiding nog effectiever.

Dit moet u controleren:

  • Controleer de downloadbronnen. De legitieme website van Huorong Security is huorong.cn. Controleer altijd het domein voordat u beveiligingssoftware downloadt. Eén extra teken kan al leiden tot een schadelijke website.
  • Controleer de uitsluitingen Windows . Elke Add-MpPreference-opdracht die u niet zelf hebt geïnitieerd, is een sterke aanwijzing voor een inbreuk. Controleer uitsluitingen regelmatig.
  • Zoek naar artefacten van volhardingZoek eindpunten voor een geplande taak of job met de naam Batterijen (artefact waargenomen als C:\Windows\Tasks\Batteries.job), de %APPDATA%\trvePath\ directory en de registersleutel HKCU\SOFTWARE\IpDates_info.
  • Blokkeer uitgaande verbindingen naar 161.248.87.250 bij de firewall en implementeer IDS-regels voor Winos4.0 C2-handtekeningen (ET SID's 2052875, 2059975 en 2052262).
  • Waarschuwing bij procesafwijkingen. Rundll32.exe zonder een legitiem DLL-argument en WavesSvc64.exe buiten een echte Waves Audio-installatie zijn zeer betrouwbare indicatoren.

Malwarebytes en blokkeert bekende varianten van ValleyRAT en de bijbehorende infrastructuur.

Indicatoren van compromissen (IOC's)

Infrastructuur

  • Nepwebsites:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Domein omleiden: hndqiuebgibuiwqdhr[.]cyou
  • Host voor payload: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, aangepast binair protocol)
  • Gecodeerd C2-domein: yandibaiji0203[.]com

Bestandshashes (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (NSIS-installatieprogramma)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL #1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL #2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL #3)

Hostgebaseerde indicatoren

  • Geplande taak met de naam Batteries bij C:\Windows\Tasks\Batteries.job
  • Persistentie-directory: %APPDATA%\trvePath\
  • Registratiesleutel: HKCU\SOFTWARE\IpDates_info
  • Registratiesleutel: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Logbestand: C:\ProgramData\DisplaySessionContainers.log
  • Processen: WavesSvc64.exe, rundll32.exe (zonder DLL-argument)

MITRE ATT&CK

  • T1189 — Drive-by-compromittering (eerste toegang)
  • T1059.001 — PowerShell (uitvoering)
  • T1053.005 — Geplande taak (persistentie)
  • T1562.001 — Verzwak verdedigingsmechanismen: schakel hulpmiddelen uit of wijzig ze (verdedigingsontwijking)
  • T1574.002 — DLL-side-loading (verdedigingsontwijking)
  • T1027 — Verborgen bestanden of informatie (ontwijking van verdediging)
  • T1218.011 — Rundll32 (Verdediging omzeilen)
  • T1555 — Inloggegevens uit wachtwoordopslagplaatsen (toegang tot inloggegevens)
  • T1082 — Systeeminformatie ontdekken (Discovery)
  • T1057 — Procesontdekking (Discovery)
  • T1056.001 — Keylogging (verzameling)
  • T1071 — Applicatielaagprotocol (commando en controle)
  • T1070.004 — Verwijdering van indicatoren: verwijdering van bestanden (ontwijking van verdediging)

We rapporteren niet alleen over zwendel, we helpen ook bij het opsporen ervan

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Als iets u verdacht lijkt, controleer dan of het om oplichting gaat met Malwarebytes Guard. Stuur een screenshot, plak verdachte inhoud of deel een link, tekst of telefoonnummer, en wij vertellen u of het om oplichting gaat of dat het legitiem is. Beschikbaar met Malwarebytes Premium voor al uw apparaten en in de Malwarebytes voor iOS Android.

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Nieuws
wachtwoorden onthouden

Wachtwoordbeheerders houden uw wachtwoorden veilig, tenzij...

Februari 23, 2026

Onderzoekers hebben de zero-knowledge claims van wachtwoordbeheerders onderzocht en enkele mogelijke aanvalsscenario's gevonden.

Nieuws
week in veiligheid

Een week in veiligheid (16 februari – 22 februari)

Februari 23, 2026

Een lijst met onderwerpen die we hebben behandeld in de week van 16 tot 22 februari 2026

Podcast
Een geïllustreerd hangslot is gemonteerd in een microfoonstandaard met geluidsgolven die uit het apparaat komen.

Wat mag je niet zeggen op TikTok?

Februari 22, 2026

Deze week spreken we in de Lock and Code-podcast met Zach Hinkle en MinJi Pae over de nieuwe Amerikaanse eigenaar van TikTok en de nieuwe regels.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting