Golpes, Inteligência de Ameaças

Site falso de segurança Huorong infecta usuários com ValleyRAT

por Stefan Dasic | 23 de fevereiro de 2026
Logotipo Huorong com RAT

Uma versão convincente do popular antivírus Huorong Security foi usada para distribuir o ValleyRAT, um sofisticado cavalo de Troia de acesso remoto (RAT) desenvolvido na estrutura Winos4.0, a usuários que acreditavam estar melhorando sua segurança.

A campanha, atribuída ao grupo Silver Fox APT — um grupo de ameaças de língua chinesa conhecido por distribuir versões trojanizadas de softwares chineses populares — usa um domínio typosquatted para servir um instalador NSIS trojanizado que implanta um backdoor completo com recursos avançados de injeção e ocultação em modo de usuário.

Um site falso criado para atrair usuários preocupados com a segurança

Huorong Security — conhecido em chinês como 火绒 — é um produto antivírus gratuito desenvolvido pela Beijing Huorong Network Technology Co., Ltd. e amplamente utilizado na China continental.

Os invasores registraram huoronga[.]com — observe o “a” extra no final — como uma imitação quase perfeita do site legítimo huorong.cn. Essa técnica de typosquatting captura usuários que digitam o endereço incorretamente ou chegam ao site por meio de links de phishing ou de mecanismos de busca corrompidos. O site falso parece convincente o suficiente para que a maioria dos visitantes não tenha motivos óbvios para suspeitar que algo está errado.

Site falso da Huorong Security

Outro site falso da Huorong Security

Quando um visitante clica no botão de download, a solicitação é silenciosamente encaminhada por um domínio intermediário (hndqiuebgibuiwqdhr[.]cyou) antes que a carga final seja servida a partir do armazenamento Cloudflare R2 — um serviço em nuvem legítimo escolhido por sua reputação confiável e disponibilidade. O arquivo é chamado BR火绒445[.]zip, usando o nome chinês para Huorong para manter o disfarce até o momento da execução.

O que acontece depois que você clica em baixar

Dentro do arquivo ZIP está um instalador NSIS (Nullsoft Scriptable Install System) trojanizado, uma estrutura de código aberto legítima usada por muitos aplicativos reais. Seu uso aqui é deliberado: um executável criado com NSIS levanta menos suspeitas do que um empacotador personalizado, e a experiência de instalação parece normal.

Quando executado, o instalador cria um atalho na área de trabalho chamado 火绒.lnk (Huorong.lnk), reforçando a ilusão de que o antivírus foi instalado com sucesso.

Ao mesmo tempo, ele extrai um conjunto de arquivos para o diretório Temp do usuário. A maioria são bibliotecas de suporte genuínas ou executáveis falsos destinados a imitar uma instalação real, incluindo cópias de DLLs multimídia FFmpeg, um arquivo que se apresenta como uma ferramenta de reparo .NET e outro que imita um utilitário de diagnóstico Huorong.

Os componentes maliciosos incluem:

  • WavesSvc64.exe: o carregador principal, disfarçado como um processo de serviço de áudio Waves
  • DuiLib_u.dll: uma biblioteca DirectUI sequestrada usada para sideloading de DLL
  • box.ini: um arquivo criptografado contendo código shell

Como Windows enganado para carregar malware

A técnica principal é o sideloading de DLL, uma técnica que os invasores utilizam para induzir Windows carregar um arquivo malicioso em vez de um legítimo.

O WavesSvc64.exe parece legítimo — seu caminho PDB faz referência a um diretório de código de aplicativo de jogos —, portanto, Windows o Windows sem reclamar. Quando ele é executado, Windows carrega Windows o DuiLib_u.dll junto com ele. Essa DLL foi substituída por uma versão maliciosa que lê o shellcode criptografado do box.ini, descriptografa-o e o executa diretamente na memória.

Em vez de soltar um único executável backdoor monolítico, a cadeia culmina na execução de shellcode na memória carregado a partir de arquivos soltos no disco (por exemplo, box.ini) por meio de sideloading de DLL. A cadeia baseada em shellcode é consistente com o padrão do carregador Catena documentado pela Rapid7, em que executáveis assinados ou com aparência legítima agrupam códigos de ataque em arquivos de configuração .ini e usam injeção reflexiva para executá-los, deixando um rastro forense mínimo.

Como a porta dos fundos se torna permanente

A análise comportamental mostra uma cadeia de infecção metódica:

1. Exclusões de defensores
O malware gera o PowerShell em alto nível de integridade e instrui Windows a ignorar seu diretório de persistência (AppData\Roaming\trvePath) e seu processo principal (WavesSvc64.exe). Após a execução desses comandos, Windows fica menos propenso a verificar o caminho/processo escolhido pelo malware, reduzindo significativamente a detecção nativa.

2. Persistência
Cria uma tarefa agendada chamada Baterias (observada como C:\Windows\Tasks\Batteries.job). Em cada inicialização subsequente, a tarefa é iniciada. WavesSvc64.exe /run a partir do diretório de persistência, reaplica as exclusões do Defender e se reconecta ao comando e controle (C2).

3. Atualização de arquivos
Para evitar a detecção baseada em assinatura, o malware exclui e reescreve os arquivos WavesSvc64.exe, DuiLib_u.dll, libexpat.dll, box.ini e vcruntime140.dll. A exclusão desses arquivos por si só pode não remediar totalmente a infecção, pois o malware demonstra a capacidade de reescrever componentes essenciais durante a execução.

4. Armazenamento do registro
Os dados de configuração, incluindo o domínio C2 codificado yandibaiji0203.[]com, são gravados em HKCU\SOFTWARE\IpDates_info. Uma chave secundária em HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e armazena dados binários criptografados provavelmente usados para configuração de malware ou preparação de carga útil.

Como evita a detecção

Além de desativar o Defender, o ValleyRAT toma medidas para evitar a detecção e a análise.

Ele verifica se há depuradores e ferramentas forenses procurando títulos de janelas característicos. Ele examina a versão do BIOS, adaptadores de vídeo e chaves de registro do VirtualBox para detectar máquinas virtuais — as sandboxes que os pesquisadores usam para analisar malware com segurança. Ele também verifica a memória disponível e a capacidade do disco, além de inspecionar as configurações regionais e de idioma, provavelmente como uma medida de geofencing para confirmar se está sendo executado em um sistema em chinês antes de ser totalmente implantado.

Comunicações de comando e controle

O Winos4.0 stager se conecta ao seu servidor C2 em 161.248.87.250 pela porta TCP 443. O uso da porta TCP 443 fornece camuflagem no nível da porta; no entanto, a inspeção revelou um protocolo binário personalizado em vez do HTTPS padrão criptografado por TLS.

Os sistemas de detecção de intrusão na rede acionaram alertas de gravidade crítica para o login do Winos4.0 CnC e mensagens de resposta do servidor, além de um alerta de alta gravidade para a inicialização do ProcessKiller C2.

Foi observado tráfego C2 originário de rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.

O componente ProcessKiller é particularmente preocupante. A telemetria de rede indica a inicialização do ProcessKiller C2, consistente com um módulo associado em relatórios anteriores ao encerramento de software de segurança. Campanhas anteriores do ValleyRAT/Winos4.0 tinham como alvo produtos de segurança da Qihoo 360, Huorong, Tencent e Kingsof — indicando o potencial para encerrar software de segurança, incluindo o produto que ele personificava como isca.

Recursos pós-comprometimento

Em resumo, uma vez instalado, os invasores podem monitorar a vítima, roubar informações confidenciais e controlar remotamente o sistema. A análise em sandbox confirmou os seguintes comportamentos assim que o malware se instala:

  • Keylogging através de um hook de teclado instalado em todo o sistema através do SetWindowsHookExW no processo rundll32, capturando cada tecla pressionada.
  • Injeção de processos: O WavesSvc64.exe cria processos suspensos e grava na memória de outros processos para a execução furtiva de código.
  • Acesso a credenciais: o malware lê chaves de registro relacionadas a credenciais e acessa arquivos de cookies do navegador.
  • Reconhecimento do sistema: consulta o nome do host, nome de usuário, layout do teclado, localidade, processos em execução e unidades físicas.
  • Regiões de memória RWX criadas dentro do rundll32.exe consistentes com a execução na memória, reduzindo a dependência de executáveis de carga útil adicionais descartados.
  • Autolimpeza: exclui seus próprios arquivos executados e realiza a exclusão de 10 ou mais arquivos adicionais para impedir a recuperação forense.
  • O malware cria mutexes incluindo a string datada 2026. 2. 5 e o caminho C:\ProgramData\DisplaySessionContainers.log, e grava um arquivo de log nesse local.

Quem está por trás desta campanha?

Esta campanha segue o padrão estabelecido das operações do Silver Fox. O grupo tem usado repetidamente instaladores trojanizados de softwares chineses amplamente confiáveis para distribuir o ValleyRAT e a estrutura Winos4.0. Iscas anteriores incluíram o QQ Browser, o LetsVPN e aplicativos de jogos.

Fingir ser um produto de segurança aumenta os riscos. As vítimas não são apenas usuários casuais — elas estão procurando ativamente por proteção.

O alvo permanece consistente. Nomes de arquivos em chinês, a isca Huorong e verificações de localidade integradas apontam para uma campanha com foco geográfico.

No entanto, o vazamento público do construtor ValleyRAT no GitHub em março de 2025 reduziu significativamente a barreira de entrada. Os pesquisadores identificaram aproximadamente 6.000 amostras relacionadas entre novembro de 2024 e novembro de 2025, com 85% aparecendo na segunda metade desse período. Esse aumento sugere que a ferramenta está se espalhando além de um único operador.

Como se manter seguro

Esta campanha mostra como a confiança pode ser facilmente usada contra os usuários. Os invasores não precisaram de uma exploração zero-day. Eles precisavam de um site convincente, um instalador realista e o conhecimento de que muitas pessoas pesquisariam o nome de um produto e clicariam no primeiro resultado.

Quando a isca é um produto de segurança, o engano é ainda mais eficaz.

Veja o que deve verificar:

  • Verifique as fontes de download. O site legítimo da Huorong Security é huorong.cn. Sempre verifique o domínio antes de baixar um software de segurança — um único caractere a mais pode levar a um site malicioso.
  • Monitore as exclusões Windows . Qualquer comando Add-MpPreference que você não tenha iniciado é um forte indicador de comprometimento. Audite as exclusões regularmente.
  • Busca por artefatos de persistência. Pesquise pontos finais para uma tarefa ou trabalho agendado chamado Baterias (artefato observado como C:\Windows\Tasks\Batteries.job), o %APPDATA%\trvePath\ diretório e a chave do registro HKCU\SOFTWARE\IpDates_info.
  • Bloqueie as conexões de saída para 161.248.87.250 no firewall e implemente regras IDS para assinaturas Winos4.0 C2 (ET SIDs 2052875, 2059975 e 2052262).
  • Alerta sobre anomalias no processo. Rundll32.exe sem um argumento DLL legítimo e WavesSvc64.exe fora de uma instalação genuína do Waves Audio são indicadores de alta confiança.

Malwarebytes e bloqueia variantes conhecidas do ValleyRAT e sua infraestrutura associada.

Indicadores de Compromisso (IOCs)

Infraestrutura

  • Sites falsos:
    • huoronga[.]com
    • huorongcn[.]com
    • huorongh[.]com
    • huorongpc[.]com
    • huorongs[.]com
  • Redirecionar domínio: hndqiuebgibuiwqdhr[.]cyou
  • Host de carga útil: pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev
  • C2 IP: 161.248.87[.]250 (TCP 443, protocolo binário personalizado)
  • Domínio C2 codificado: yandibaiji0203[.]com

Hashes de arquivo (SHA-256)

  • 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4  (Instalador NSIS)
  • db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e  (WavesSvc64.exe)
  • d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2  (DuiLib_u.dll)
  • 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d  (WinosStager DLL #1)
  • 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9  (WinosStager DLL #2)
  • 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f  (WinosStager DLL #3)

Indicadores baseados no host

  • Tarefa agendada denominada Batteries em C:\Windows\Tasks\Batteries.job
  • Diretório de persistência: %APPDATA%\trvePath\
  • Chave do Registro: HKCU\SOFTWARE\IpDates_info
  • Chave do Registro: HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e
  • Arquivo de log: C:\ProgramData\DisplaySessionContainers.log
  • Processos: WavesSvc64.exe, rundll32.exe (sem argumento DLL)

MITRE ATT&CK

  • T1189 — Comprometimento drive-by (acesso inicial)
  • T1059.001 — PowerShell (Execução)
  • T1053.005 — Tarefa agendada (persistência)
  • T1562.001 — Prejudicar as defesas: desativar ou modificar ferramentas (evasão de defesa)
  • T1574.002 — Carregamento lateral de DLL (evasão de defesa)
  • T1027 — Arquivos ou informações ofuscados (evasão de defesa)
  • T1218.011 — Rundll32 (Evasão de Defesa)
  • T1555 — Credenciais de armazenamentos de senhas (acesso a credenciais)
  • T1082 — Descoberta de informações do sistema (Descoberta)
  • T1057 — Descoberta de processos (Descoberta)
  • T1056.001 — Keylogging (Coleta)
  • T1071 — Protocolo da camada de aplicação (comando e controle)
  • T1070.004 — Remoção de indicadores: exclusão de arquivos (evasão de defesa)

Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las

Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

Os gerenciadores de senhas mantêm suas senhas seguras, a menos que...

Fevereiro 23, 2026

Pesquisadores investigaram as alegações de conhecimento zero dos gerenciadores de senhas e encontraram alguns cenários possíveis de ataque.

Notícias
semana em segurança

Uma semana em segurança (16 a 22 de fevereiro)

Fevereiro 23, 2026

Lista de tópicos abordados na semana de 16 a 22 de fevereiro de 2026

Podcast
Um cadeado ilustrado é montado em um suporte de microfone com ondas sonoras emitidas pelo dispositivo.

O que você não pode dizer no TikTok?

Fevereiro 22, 2026

Esta semana, no podcast Lock and Code, conversamos com Zach Hinkle e MinJi Pae sobre a nova propriedade americana do TikTok — e suas novas regras.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes