Oszustwa, informacje o zagrożeniach

Fałszywa strona bezpieczeństwa Huorong infekuje użytkowników wirusem ValleyRAT

autor: Stefan Dasic | 23 lutego 2026 r.
Logo Huorong z RAT

Przekonująca podróbka popularnego programu antywirusowego Huorong Security została wykorzystana do dostarczenia ValleyRAT, zaawansowanego trojana zdalnego dostępu (RAT) opartego na frameworku Winos4.0, użytkownikom, którzy wierzyli, że poprawiają swoje bezpieczeństwo.

Kampania, przypisywana grupie Silver Fox APT — chińskojęzycznej grupie przestępczej znanej z dystrybucji trojanizowanych wersji popularnego chińskiego oprogramowania — wykorzystuje domenę typu typosquatting do serwowania trojanizowanego instalatora NSIS, który wdraża w pełni funkcjonalny backdoor z zaawansowanymi funkcjami ukrywania się w trybie użytkownika i wstrzykiwania.

Fałszywa strona stworzona w celu wyłudzenia informacji od użytkowników dbających o bezpieczeństwo

Huorong Security — znany w języku chińskim jako 火绒 — to darmowy program antywirusowy opracowany przez firmę Beijing Huorong Network Technology Co., Ltd. i szeroko stosowany w Chinach kontynentalnych.

Atakujący zarejestrowali domenę huoronga[.]com — zwróć uwagę na dodatkową literę „a” na końcu — jako niemal idealną imitację legalnej domeny huorong.cn. Ta technika typosquattingu pozwala złapać użytkowników, którzy błędnie wpisują adres lub trafiają na stronę poprzez zatrucie wyszukiwarki lub linki phishingowe. Fałszywa strona wygląda na tyle przekonująco, że większość odwiedzających nie ma wyraźnego powodu, aby podejrzewać, że coś jest nie tak.

Fałszywa strona Huorong Security

Kolejna fałszywa strona Huorong Security

Gdy odwiedzający kliknie przycisk pobierania, żądanie jest po cichu kierowane przez domenę pośredniczącą (hndqiuebgibuiwqdhr[.]cyou), zanim ostateczna zawartość zostanie dostarczona z pamięci Cloudflare R2 — legalnej usługi w chmurze wybranej ze względu na jej renomę i dostępność. Plik nosi nazwę BR火绒445[.]zip, wykorzystując chińską nazwę Huorong, aby zachować kamuflaż aż do momentu wykonania.

Co się dzieje po kliknięciu przycisku „Pobierz”?

W archiwum ZIP znajduje się zainfekowany trojanem instalator NSIS (Nullsoft Scriptable Install System), legalna platforma open source wykorzystywana przez wiele prawdziwych aplikacji. Jego użycie w tym przypadku jest celowe: plik wykonywalny utworzony za pomocą NSIS budzi mniej podejrzeń niż niestandardowy pakiet, a proces instalacji przebiega normalnie.

Po uruchomieniu instalator tworzy skrót na pulpicie o nazwie 火绒.lnk (Huorong.lnk), wzmacniając złudzenie, że program antywirusowy został pomyślnie zainstalowany.

Jednocześnie wyodrębnia grupę plików do katalogu tymczasowego użytkownika. Większość z nich to autentyczne biblioteki pomocnicze lub pliki wykonywalne służące jako przynęta, mające naśladować prawdziwą instalację, w tym kopie bibliotek multimedialnych FFmpeg, plik udający narzędzie naprawcze .NET oraz inny plik naśladujący narzędzie diagnostyczne Huorong.

Złośliwe komponenty obejmują:

  • WavesSvc64.exe: główny moduł ładujący, ukryty jako proces usługi audio Waves
  • DuiLib_u.dll: przejęta biblioteka DirectUI wykorzystywana do ładowania bibliotek DLL
  • box.ini: zaszyfrowany plik zawierający kod powłoki

Jak Windows nakłoniony do załadowania złośliwego oprogramowania

Podstawową techniką jest sideloading bibliotek DLL, czyli metoda stosowana przez atakujących w celu nakłonienia Windows załadowania złośliwego pliku zamiast pliku legalnego.

Plik WavesSvc64.exe wygląda na legalny — jego ścieżka PDB odsyła do katalogu z kodem aplikacji do gier — więc Windows go bez żadnych problemów. Kiedy się uruchamia, Windows ładuje razem z nim plik DuiLib_u.dll. Ten plik DLL został zastąpiony złośliwą wersją, która odczytuje zaszyfrowany kod powłoki z pliku box.ini, odszyfrowuje go i uruchamia bezpośrednio w pamięci.

Zamiast umieszczać pojedynczy monolityczny plik wykonywalny typu backdoor, łańcuch kończy się wykonaniem kodu powłoki w pamięci, załadowanego z plików umieszczonych na dysku (np. box.ini) poprzez sideloading bibliotek DLL. Łańcuch oparty na kodzie powłoki jest zgodny ze wzorcem ładowarki Catena udokumentowanym przez Rapid7, gdzie podpisane lub wyglądające na legalne pliki wykonywalne zawierają kod ataku w plikach konfiguracyjnych .ini i wykorzystują refleksyjną iniekcję do jego wykonania, pozostawiając minimalny ślad kryminalistyczny.

Jak tylne drzwi stają się stałym elementem

Analiza behawioralna pokazuje metodyczny łańcuch infekcji:

1. Wyłączenia obrońców
Złośliwe oprogramowanie uruchamia PowerShell na wysokim poziomie integralności i nakazuje Windows ignorowanie swojego katalogu trwałości (AppData\Roaming\trvePath) oraz jego główny proces (WavesSvc64.exe). Po wykonaniu tych poleceń Windows rzadziej skanuje wybraną ścieżkę/proces złośliwego oprogramowania, co znacznie ogranicza wykrywanie natywne.

2. Wytrwałość
Tworzy zaplanowane zadanie o nazwie Batteries (obserwowane jako C:\Windows\Tasks\Batteries.job). Przy każdym kolejnym uruchomieniu zadania uruchamia się WavesSvc64.exe /run z katalogu persistence, ponownie stosuje wykluczenia programu Defender i ponownie łączy się z centrum dowodzenia i kontroli (C2).

3. Odświeżanie plików
Aby uniknąć wykrycia na podstawie sygnatur, złośliwe oprogramowanie usuwa i ponownie zapisuje pliki WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini oraz vcruntime140.dll. Samo usunięcie tych plików może nie wystarczyć do całkowitego usunięcia infekcji, ponieważ złośliwe oprogramowanie wykazuje zdolność do ponownego zapisywania podstawowych komponentów podczas wykonywania.

4. Magazyn rejestru
Dane konfiguracyjne, w tym zakodowana domena C2 yandibaiji0203.[]com, są zapisywane w HKCU\SOFTWARE\IpDates_info. Klucz drugorzędny w HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e przechowuje zaszyfrowane dane binarne, które prawdopodobnie są wykorzystywane do konfiguracji złośliwego oprogramowania lub przygotowywania ładunku.

Jak unika wykrycia

Oprócz wyłączenia programu Defender, ValleyRAT podejmuje działania mające na celu uniknięcie wykrycia i analizy.

Sprawdza obecność debuggerów i narzędzi kryminalistycznych, wyszukując charakterystyczne tytuły okien. Bada wersję BIOS-u, karty graficzne i klucze rejestru VirtualBox w celu wykrycia maszyn wirtualnych — piaskownic używanych przez badaczy do bezpiecznej analizy złośliwego oprogramowania. Sprawdza również dostępną pamięć i pojemność dysku oraz kontroluje ustawienia regionalne i językowe, prawdopodobnie jako środek geofencingowy, aby potwierdzić, że działa na systemie w języku chińskim przed pełnym wdrożeniem.

Komunikacja dowodzenia i kontroli

Program Winos4.0 stager łączy się z serwerem C2 pod adresem 161.248.87.250 przez port TCP 443. Wykorzystanie portu TCP 443 zapewnia kamuflaż na poziomie portu, jednak kontrola wykazała, że zamiast standardowego protokołu HTTPS szyfrowanego za pomocą TLS stosowany jest niestandardowy protokół binarny.

Systemy wykrywania włamań do sieci wygenerowały alerty o krytycznym znaczeniu dotyczące logowania do serwera CnC Winos4.0 i komunikatów odpowiedzi serwera oraz alert o wysokim znaczeniu dotyczący inicjalizacji ProcessKiller C2.

Zaobserwowano ruch C2 pochodzący z rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

Komponent ProcessKiller budzi szczególne obawy. Telemetria sieciowa wskazuje na inicjalizację ProcessKiller C2, co jest zgodne z modułem powiązanym w poprzednich raportach z wyłączaniem oprogramowania zabezpieczającego. Poprzednie kampanie ValleyRAT/Winos4.0 były skierowane przeciwko produktom zabezpieczającym firm Qihoo 360, Huorong, Tencent i Kingsof, co wskazuje na możliwość wyłączania oprogramowania zabezpieczającego, w tym produktu, za który się podszywało jako przynęta.

Możliwości po naruszeniu bezpieczeństwa

Krótko mówiąc, po zainstalowaniu atakujący mogą monitorować ofiarę, wykraść poufne informacje i zdalnie kontrolować system. Analiza w środowisku sandbox potwierdziła następujące zachowania po uzyskaniu przez złośliwe oprogramowanie przyczółka:

  • Rejestrowanie naciśnięć klawiszy za pomocą haka klawiatury zainstalowanego w całym systemie za pomocą funkcji SetWindowsHookExW w procesie rundll32, przechwytującego każde naciśnięcie klawisza.
  • Wstrzykiwanie procesów: WavesSvc64.exe tworzy zawieszone procesy i zapisuje dane w pamięci innych procesów w celu ukrytego wykonania kodu.
  • Dostęp do danych uwierzytelniających: złośliwe oprogramowanie odczytuje klucze rejestru związane z danymi uwierzytelniającymi i modyfikuje pliki cookie przeglądarki.
  • Rozpoznanie systemu: sprawdza nazwę hosta, nazwę użytkownika, układ klawiatury, ustawienia regionalne, uruchomione procesy i dyski fizyczne.
  • Obszary pamięci RWX utworzone wewnątrz rundll32.exe są zgodne z wykonywaniem w pamięci, co zmniejsza zależność od dodatkowych plików wykonywalnych z upuszczonym ładunkiem.
  • Samoczynne czyszczenie: usuwa własne pliki wykonawcze i wykonuje usunięcie co najmniej 10 dodatkowych plików, aby utrudnić odzyskanie danych przez ekspertów kryminalistycznych.
  • Złośliwe oprogramowanie tworzy muteksy zawierające ciąg znaków z datą 2026. 2. 5 oraz ścieżkę C:\ProgramData\DisplaySessionContainers.log i zapisuje plik dziennika w tej lokalizacji.

Kto stoi za tą kampanią?

Ta kampania wpisuje się w utarty schemat działania grupy Silver Fox. Grupa ta wielokrotnie wykorzystywała zainfekowane trojanami instalatory powszechnie zaufanego chińskiego oprogramowania do dystrybucji ValleyRAT i frameworka Winos4.0. Wcześniejsze przynęty obejmowały przeglądarkę QQ Browser, LetsVPN i aplikacje do gier.

Podszywanie się pod produkt zabezpieczający podnosi stawkę. Ofiarami nie są tylko zwykli użytkownicy — są to osoby aktywnie poszukujące ochrony.

Celowanie pozostaje spójne. Chińskie nazwy plików, przynęta Huorong i wbudowane sprawdzanie ustawień regionalnych wskazują na kampanię ukierunkowaną geograficznie.

Jednak publiczne ujawnienie narzędzia ValleyRAT builder na GitHubie w marcu 2025 r. znacznie obniżyło barierę wejścia. Badacze zidentyfikowali około 6000 powiązanych próbek między listopadem 2024 r. a listopadem 2025 r., z czego 85% pojawiło się w drugiej połowie tego okresu. Wzrost ten sugeruje, że narzędzie rozprzestrzenia się poza jednego operatora.

Jak zachować bezpieczeństwo

Ta kampania pokazuje, jak łatwo można wykorzystać zaufanie użytkowników. Atakujący nie potrzebowali exploita typu zero-day. Potrzebowali jedynie przekonującej strony internetowej, realistycznego instalatora oraz świadomości, że wiele osób wyszuka nazwę produktu i kliknie pierwszy wynik.

Gdy przynętą jest produkt związany z bezpieczeństwem, oszustwo jest jeszcze skuteczniejsze.

Oto, co należy sprawdzić:

  • Sprawdź źródła pobierania. Oficjalna strona internetowa Huorong Security to huorong.cn. Zawsze dokładnie sprawdzaj domenę przed pobraniem oprogramowania zabezpieczającego — jeden dodatkowy znak może prowadzić do złośliwej witryny.
  • Monitoruj wykluczenia Windows . Każde polecenie Add-MpPreference, którego nie zainicjowałeś, jest wyraźnym sygnałem naruszenia bezpieczeństwa. Regularnie sprawdzaj wykluczenia.
  • Poszukiwanie artefaktów trwałości. Wyszukaj punkty końcowe dla zaplanowanego zadania lub zadania o nazwie Batteries (artefakt zaobserwowany jako C:\Windows\Tasks\Batteries.job), %APPDATA%\trvePath\ katalogu i klucza rejestru HKCU\SOFTWARE\IpDates_info.
  • Zablokuj połączenia wychodzące do adresu 161.248.87.250 w zaporze sieciowej i wdroż reguły IDS dla sygnatur Winos4.0 C2 (ET SID 2052875, 2059975 i 2052262).
  • Ostrzeganie o nieprawidłowościach w procesie. Rundll32.exe bez prawidłowego argumentu DLL oraz plik WavesSvc64.exe poza oryginalną instalacją Waves Audio są wskaźnikami o wysokim stopniu pewności.

Malwarebytes i blokuje znane warianty ValleyRAT oraz powiązaną z nim infrastrukturę.

Wskaźniki kompromisu (IOC)

Infrastruktura

  • Fałszywe strony internetowe:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Przekierowanie domeny: hndqiuebgibuiwqdhr[.]cyou
  • Host ładunku: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, niestandardowy protokół binarny)
  • Zakodowana domena C2: yandibaiji0203[.]com

Suma kontrolna pliku (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (Instalator NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL nr 1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL nr 2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL nr 3)

Wskaźniki oparte na hoście

  • Zaplanowane zadanie o nazwie Batteries w C:\Windows\Tasks\Batteries.job
  • Katalog trwałości: %APPDATA%\trvePath\
  • Klucz rejestru: HKCU\SOFTWARE\IpDates_info
  • Klucz rejestru: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Plik dziennika: C:\ProgramData\DisplaySessionContainers.log
  • Procesy: WavesSvc64.exe, rundll32.exe (bez argumentu DLL)

MITRE ATT&CK

  • T1189 — Kompromis typu „drive-by” (wstępny dostęp)
  • T1059.001 — PowerShell (wykonanie)
  • T1053.005 — Zaplanowane zadanie (trwałość)
  • T1562.001 — Osłabianie obrony: wyłączanie lub modyfikowanie narzędzi (unikanie obrony)
  • T1574.002 — Ładowanie boczne bibliotek DLL (obejście zabezpieczeń)
  • T1027 — Zaszyfrowane pliki lub informacje (unikanie obrony)
  • T1218.011 — Rundll32 (Unikanie obrony)
  • T1555 — Poświadczenia z magazynów haseł (dostęp do poświadczeń)
  • T1082 — Wykrywanie informacji systemowych (Discovery)
  • T1057 — Odkrywanie procesów (Discovery)
  • T1056.001 — Rejestrowanie klawiszy (gromadzenie danych)
  • T1071 — Protokół warstwy aplikacji (polecenia i sterowanie)
  • T1070.004 — Usunięcie wskaźnika: usunięcie pliku (uniknięcie obrony)

Nie tylko informujemy o oszustwach - pomagamy je wykrywać

Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Aktualności
zapamiętywanie haseł

Menedżery haseł zapewniają bezpieczeństwo Twoich haseł, chyba że…

Luty 23, 2026

Naukowcy zbadali twierdzenia dotyczące zerowej wiedzy menedżerów haseł i odkryli kilka możliwych scenariuszy ataku.

Aktualności
tydzień w bezpieczeństwie

Tydzień w bezpieczeństwie (16 lutego – 22 lutego)

Luty 23, 2026

Lista tematów, które poruszyliśmy w tygodniu od 16 do 22 lutego 2026 r.

Podcast
Zilustrowana kłódka jest zamontowana w statywie mikrofonowym, z którego emitowane są fale dźwiękowe.

Czego nie można mówić na TikToku?

Luty 22, 2026

W tym tygodniu w podcaście Lock and Code rozmawiamy z Zachiem Hinkle i MinJi Pae o nowym amerykańskim właścicielu TikToka i nowych zasadach.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa