Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Tools zur Remoteverwaltung HoldingHands RAT

HoldingHands RAT

Von Mezo in Tools zur Remoteverwaltung, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Die Angreifer hinter der Schadsoftware-Familie Winos 4.0 (auch bekannt als ValleyRAT) haben ihre Aktivitäten über China und Taiwan hinaus auf Japan und Malaysia ausgeweitet. Im Rahmen dieser jüngsten Kampagnen verbreitete die Gruppe einen zweiten Remote-Access-Trojaner (RAT) mit der Bezeichnung HoldingHands (alias Gh0stBins) und nutzte dabei Social-Engineering-Phishing-Dokumente als primären Angriffsvektor.

Wie sich die Kampagne verbreitet

Angreifer verbreiten die Malware über Phishing-E-Mails, die PDF-Anhänge mit eingebetteten schädlichen Links enthalten. Die PDFs geben sich als offizielle Mitteilungen aus – in manchen Fällen als Dokumente des Finanzministeriums – und enthalten mehrere Links, von denen nur einer zum schädlichen Download führt. In anderen Fällen dient als Köder eine Webseite (z. B. eine japanischsprachige Seite mit einer URL wie „twsww[.]xin/download[.]html“), die die Opfer auffordert, ein ZIP-Archiv mit dem RAT herunterzuladen.

Verteilungsmethoden und Zuordnung

Winos 4.0 wird häufig über Phishing- und SEO-Poisoning-Kampagnen verbreitet, die Opfer auf gefälschte Downloadseiten umleiten, die sich als legitime Software ausgeben (Beispiele hierfür sind gefälschte Installationsprogramme für Google Chrome, Telegram, Youdao, Sogou AI, WPS Office und DeepSeek). Sicherheitsforscher bringen die Verwendung von Winos mit einem aggressiven Cyberkriminellen-Cluster in Verbindung, der unter den Namen Silver Fox, SwimSnake, Valley Thief (Der große Dieb von Valley), UTG-Q-1000 und Void Arachne bekannt ist. Im September 2025 berichteten Forscher, dass dieser Akteur einen bisher nicht dokumentierten, anfälligen Treiber, der mit einem Herstellerprodukt namens WatchDog Anti-Malware gebündelt war, mit einer BYOVD-Technik (Bring Your Own Vulnerable Driver) missbrauchte, um den Endpunktschutz zu deaktivieren. Zuvor (August 2025) nutzte die Gruppe SEO-Poisoning, um die Module HiddenGh0st und Winos zu verbreiten. Im Juni wurde dokumentiert, dass Silver Fox mithilfe präparierter PDF-Dateien mehrstufige Infektionen inszenierte, die schließlich HoldingHands RAT auslösten. Zu den historischen Ködern zählen Excel-Dateien mit Steuerthemen, die bereits seit März 2024 gegen China eingesetzt wurden. Jüngste Angriffe konzentrierten sich auf Phishing-Landingpages mit Ziellandung in Malaysia.

Mehrstufige Infektion und Persistenz

Die Infektion beginnt typischerweise mit einer ausführbaren Datei, die sich als Steuerprüfung oder ein anderes offizielles Dokument tarnt. Diese Datei lädt eine schädliche DLL, die als Shellcode-Loader für eine Nutzlast namens „sw.dat“ fungiert. Der Loader führt mehrere Anti-Analyse- und Abwehrmaßnahmen durch – Anti-VM-Checks, Scannen laufender Prozesse auf bekannte Sicherheitsprodukte und deren Beendigung, Eskalieren von Berechtigungen und Deaktivieren des Windows-Taskplaners – bevor er die Kontrolle an die nachfolgenden Phasen übergibt.

Beobachtete Dateien, die auf das System übertragen wurden:

  • svchost.ini – enthält die RVA für VirtualAlloc.
  • TimeBrokerClient.dll (die legitime TimeBrokerClient.dll, umbenannt in BrokerClientCallback.dll).
  • msvchost.dat – verschlüsselter Shellcode.
  • system.dat – verschlüsselte Nutzlast.
  • wkscli.dll – nicht verwendete/Platzhalter-DLL.

    • Taskplaner-Trigger und heimliche Aktivierung

    Anstatt auf einen expliziten Prozessstart zu setzen, nutzt die Kampagne das Verhalten des Windows-Taskplaners: Der Taskplaner läuft als Dienst unter svchost.exe und ist standardmäßig so konfiguriert, dass er kurz nach einem Fehler neu startet. Die Malware verändert Dateien so, dass svchost.exe beim Neustart des Taskplaner-Dienstes die schädliche TimeBrokerClient.dll (umbenannt in BrokerClientCallback.dll) lädt. Diese DLL reserviert Speicher für den verschlüsselten Shellcode mithilfe der in svchost.ini gespeicherten VirtualAlloc-Adresse und veranlasst anschließend msvchost.dat, system.dat zu entschlüsseln und die HoldingHands-Nutzlast zu extrahieren. Dieser Auslöser „Dienstneustart → DLL-Laden“ reduziert die Notwendigkeit einer direkten Prozessausführung und erschwert die verhaltensbasierte Erkennung.

    Rechteerweiterung auf TrustedInstaller

    Um die erforderlichen Berechtigungen zum Umbenennen und Ersetzen geschützter Systemkomponenten zu erhalten (z. B. zum Umbenennen der echten TimeBrokerClient.dll), nimmt der Loader die Identität von Systemkonten mit hohen Berechtigungen an. Die folgende Reihenfolge wird beobachtet:

    • Aktivieren Sie SeDebugPrivilege, um auf den Winlogon-Prozess und sein Token zuzugreifen.
    • Übernehmen Sie das Winlogon-Token, um als SYSTEM ausgeführt zu werden.
    • Erwerben Sie vom SYSTEM einen TrustedInstaller-Sicherheitskontext – das Konto, das vom Windows-Ressourcenschutz zum Schutz kritischer Betriebssystemdateien verwendet wird.
    • Mithilfe dieses TrustedInstaller-Kontexts kann die Malware geschützte Dateien in C:\Windows\System32 ändern (eine Aktion, die normalerweise selbst Administratoren untersagt ist).

    Wie die Nutzlast ausgeführt wird und die Kontrolle behält

    Die bösartige TimeBrokerClient-Komponente reserviert Speicher gemäß RVA in svchost.ini, platziert den entschlüsselten Shellcode aus msvchost.dat dort und führt ihn aus. Die entschlüsselte Nutzlast entpackt HoldingHands, das anschließend die Kommunikation mit einem Remote-Command-and-Control-Server (C2) herstellt. Zu den beobachteten Funktionen gehören:

    • Senden von Hostinformationen an C2.
    • Senden von Heartbeat-Nachrichten alle 60 Sekunden, um den Kanal aktiv zu halten.
  • Empfangen und Ausführen von Remote-Befehlen (Datendiebstahl, Ausführung beliebiger Befehle, Abrufen zusätzlicher Nutzdaten).
  • Eine zusätzliche Funktion, die es dem Bediener ermöglicht, die C2-Adresse über einen Windows-Registrierungseintrag zu aktualisieren.

    • Targeting, Sprachfokus und wahrscheinliches Motiv

    Aktuelle Samples und Köder deuten auf einen Fokus auf chinesischsprachige Opfer hin, obwohl der geografische Umfang nun auch Japan und Malaysia umfasst. Die Operationsmuster – Aufklärung, regionale Zielausrichtung, heimliche Persistenz und modulare Backdoor-Funktionalität – deuten auf eine Informationsbeschaffung in der Region hin, wobei Implantate häufig inaktiv bleiben und auf weitere Anweisungen warten.

    Zusammenfassung

    Mit Silver Fox verbundene Betreiber haben ihre Aktivitäten bei Winos 4.0 ausgeweitet und ihr Toolset um HoldingHands RAT erweitert. Dabei kommen ausgefeiltes Social-Engineering (PDFs und SEO-verseuchte Seiten) und eine ausgeklügelte mehrstufige Ausführungskette zum Einsatz, die das Verhalten des Taskplaners und TrustedInstaller-Berechtigungen missbraucht, um sich zu behaupten und der Erkennung zu entgehen. Die Fähigkeiten und die Zielsetzung der Operation deuten auf eine gezielte regionale Informationsbeschaffung mit langlebigen, modularen Implantaten hin, die auf Befehle der Betreiber warten.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...