Silver Fox : L'expansion agressive des attaques Winos 4.0 vers l'Asie

Célestine Rochefour

Silver Fox : L’expansion agressive des attaques Winos 4.0 vers l’Asie

Le groupe cybercriminel connu sous le nom de Silver Fox a intensifié ses activités malveillantes en 2025, élargissant significativement son périmètre d’attaque de la Chine et de Taïwan vers le Japon et la Malaisie. Cette expansion agressive s’effectue au moyen de deux chevaux de Troie à accès distincts : Winos 4.0 (également nommé ValleyRAT) et HoldingHands RAT (aussi appelé Gh0stBins). Ces menaces sophistiquées exploitent des techniques de phishing de plus en plus élaborées, mettant en péril les organisations à travers toute l’Asie. L’analyse des récentes campagnes révèle une évolution stratégique préoccupante de ce groupe, qui semble se concentrer sur des cibles économiquement sensibles dans la région.

Le groupe Silver Fox : Menaces et méthodes d’attaque

Silver Fox, un groupe cybercriminal d’origine chinoise, opère sous plusieurs aliases including SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000, et Void Arachne. Ce groupe a démontré une agressivité remarquable dans ses méthodes d’attaque, combinant ingénierie sociale vulnérable et techniques d’exploitation avancées. Selon les analyses récentes, Silver Fox a notamment été identifié comme responsable d’attaques sophistiquées visant des organisations gouvernementales et des entreprises privées à travers plusieurs pays asiatiques.

Historique et évolution des tactiques

Les activités de Silver Fox ont été documentées depuis plusieurs années, mais leur évolution récente témoigne d’une adaptation constante aux contre-mesures de sécurité. En septembre 2025, le groupe a été associé à l’exploitation d’un pilote vulnérable associé au logiciel WatchDog Anti-malware dans le cadre d’une attaque BYOVD (Bring Your Own Vulnerable Driver). Cette technique permettait de désactiver les logiciels de sécurité installés sur les systèmes compromis, ouvrant la voie à des infections plus profondes.

Cibles privilégiées et motivations

Les analyses des campagnes menées par Silver Fox révèlent une préférence pour les secteurs économiques stratégiques. En particulier, les entreprises des domaines de la fintech, des cryptomonnaies et des plateformes de trading semblent être des cibles de choix pour le groupe. Cette focalisation suggère une motivation financière primaire, bien que des activités d’espionnage industriel ne puissent être exclues. La sélection de cibles spécifiques indique une capacité d’analyse et de reconnaissance préalable des environnements visés.

Winos 4.0 et HoldingHands RAT : Deux menaces complémentaires

Le succès des opérations de Silver Fox repose en grande partie sur l’utilisation de deux familles de malwares distinctes mais complémentaires : Winos 4.0 et HoldingHands RAT. Chacune de ces menaces possède des caractéristiques techniques spécifiques qui les rendent particulièrement efficaces dans des contextes d’attaque différents.

Caractéristiques techniques de Winos 4.0

Winos 4.0, également connu sous le nom de ValleyRAT, représente une évolution significative des précédentes versions du malware. Ce cheval de Troie à accès distant se propage principalement via deux vecteurs principaux : le phishing et le référencement abusif (SEO poisoning). Dans le cas du SEO poisoning, les attaquants créent de faux sites web se faisant passer pour des logiciels populaires tels que Google Chrome, Telegram, Youdao, Sogou AI, WPS Office et DeepSeek, afin d’attirer les utilisateurs non avertis.

“Les fichiers PDF malveillants se font passer pour des documents officiels du ministère des Finances, incluant de nombreux liens en plus de celui qui livrait Winos 4.0,” explique Pei Han Liao, chercheur chez Fortinet’s FortiGuard Labs.

Fonctionnalités de HoldingHands RAT

HoldingHands RAT, ou Gh0stBins, constitue une menace plus récente et spécifiquement déployée dans les campagnes visant le Japon et la Malaisie. Ce malware est conçu pour établir une communication persistante avec un serveur de commandement et de contrôle (C2), envoyer des informations détaillées sur l’hôte infecté, et maintenir une connexion active via des signaux d’envoi de heartbeat toutes les 60 secondes. Une fonctionnalité particulièrement notable est sa capacité à mettre à jour dynamiquement l’adresse C2 via une entrée du Registre Windows, ce qui complique considérablement les tentatives de blocage et d’analyse.

Techniques d’infection comparées

Les deux malwares utilisent des vecteurs d’infection distincts mais complémentaires. Winos 4.0 privilégie les documents PDF malveillants et le SEO poisoning, tandis que HoldingHands RAT est principalement distribué via des documents Excel présentés comme des audits fiscaux. Une différence significative réside dans leur mécanisme de persistance : Winos 4.0 utilise des tâches planifiées Windows, tandis que HoldingHands RAT exploite le service Task Scheduler pour redémarrer automatiquement le processus en cas d’échec.

Campagnes d’attaque récentes et stratégies de phishing

En octobre 2025, Fortinet a documenté une campagne particulièrement sophistiquée où Silver Fox a utilisé des documents PDF se faisant passer pour des projets de réglementation fiscale destinés à Taïwan. Ces documents contenaient un URL menant à une page web en japonais (“twsww[.]xin/download[.html]”), où les victimes étaient invitées à télécharger une archive ZIP responsable de la distribution de HoldingHands RAT. Cette approche démontre une adaptation culturelle et linguistique sophistiquée des campagnes d’attaque.

Opération Silk Lure : Une campagne ciblant la Chine

Parallèlement à ses activités internationales, Silver Fox a mené une campagne d’ingénierie sociale hautement ciblée contre des entreprises chinoises, nommée “Operation Silk Lure” par les chercheurs de Seqrite Labs. Cette campagne utilisait une infrastructure C2 hébergée aux États-Unis et visait spécifiquement les secteurs de la fintech, des cryptomonnaies et des plateformes de trading.

“Les adversaires rédigent des e-mails très ciblés se faisant passer pour des demandeurs d’emploi et les envoient aux départements RH et aux équipes techniques d’embauche au sein d’entreprises chinoises,” expliquent les chercheurs Dixit Panchal, Soumen Burma et Kartik Jivani.

Ces e-mails contenaient des fichiers LNK (raccourcis Windows) intégrés dans des documents CV ou portfolio apparemment légitimes. Lors de l’exécution, ces fichiers LNK agissaient comme des chargeurs, initiant l’exécution de charges utiles permettant la compromission initiale.

Analyse technique de l’infection

Le processus d’infection commence par l’exécution d’un fichier LNK qui lance du code PowerShell pour télécharger un faux CV PDF, tout en discrètement déposant trois charges supplémentaires dans le dossier “C:\Users<user>\AppData\Roaming\Security”. Les fichiers déposés sont :

  1. CreateHiddenTask.vbs - Crée une tâche planifiée pour lancer “keytool.exe” quotidiennement à 8h00
  2. keytool.exe - Utilise le chargement DLL pour charger jli.dll
  3. jli.dll - DLL malveillante qui lance le malware Winos 4.0 encrypté et intégré dans keytool.exe

Une fois déployé, le malware établit une persistance dans le système compromis et lance diverses opérations de reconnaissance, notamment la capture d’écrans, le vol de contenu du presse-papiers et l’exfiltration de métadonnées système critiques.

Techniques d’évasion et de persistance

Silver Fox a démontré une sophistication remarquable dans ses techniques d’évasion des systèmes de détection. Les deux malwares, Winos 4.0 et HoldingHands RAT, intègrent des mécanismes avancés pour contourner les solutions de sécurité traditionnelles.

Mécanismes d’anti-analyse

HoldingHands RAT intègre plusieurs techniques d’anti-analyse, notamment :

  • Vérification d’exécution dans une machine virtuelle (VM)
  • Énumération des processus actifs par rapport à une liste de produits de sécurité (Avast, Norton, Kaspersky)
  • Terminaison des processus détectés
  • Élévation de privilèges
  • Arrêt du Task Scheduler

Ces mécanismes rendent l’analyse comportementale particulièrement difficile, car le malware modifie son comportement en fonction de l’environnement d’exécution.

Techniques de persistance avancées

La persistance des malwares de Silver Fox repose sur l’exploitation de composants légitimes de Windows. Par exemple, HoldingHands RAT modifie le service Task Scheduler pour redémarrer automatiquement le processus en cas d’échec. Cette approche ne nécessite pas le lancement direct de processus, rendant la détection basée sur le comportement plus complexe.

Le processus technique se déroule comme suit :

  1. Un fichier exécutable se faisant passer pour un document d’audit fiscal est utilisé pour charger une DLL malveillante
  2. Cette DLL agit comme un chargeur de shellcode pour “sw.dat”
  3. Plusieurs fichiers sont déposés dans C:\Windows\System32 :
    • svchost.ini - Contient l’adresse RVA de la fonction VirtualAlloc
    • TimeBrokerClient.dll - Renommé en BrokerClientCallback.dll
    • msvchost.dat - Contient le shellcode encrypté
    • system.dat - Contient la charge utile encryptée
    • wkscli.dll - DLL inutilisée

Lorsque le Task Scheduler est redémarré, svchost.exe exécute et charge la DLL malveillante TimeBrokerClient.dll, qui alloue la mémoire pour le shellcode contenu dans msvchost.dat. Cette étape suivante déchiffre la charge utile stockée dans system.dat pour récupérer la charge utile HoldingHands.

Impact sur les entreprises et conséquences

Les campagnes menées par Silver Fox représentent une menace significative pour les organisations à travers l’Asie. Les conséquences de ces infections vont au-delà du simple vol de données, impliquant des risques opérationnels, financiers et réputationnels considérables.

Risques pour les organisations ciblées

Les entreprises infectées par Winos 4.0 ou HoldingHands RAT subissent plusieurs types de dommages :

  • Vol d’informations sensibles - Captures d’écrans, contenu du presse-papiers, métadonnées système
  • Espionnage industriel - Surveillance des activités et des communications internes
  • Perturbation des opérations - Interruption des services critiques
  • Dommage réputationnel - Perte de confiance des clients et partenaires

Selon les estimations de l’ANSSI, le coût moyen d’une violation de données pour une entreprise française dépasse 4,35 millions d’euros, incluant les pertes directes, les coûts de réponse et l’impact réputationnel.

Cas concrets : Le secteur de la fintech

Les campagnes d’ingénierie sociale ciblant les entreprises de fintech présentent des risques particulièrement élevés. Dans ces cas, les attaquants cherchent à accéder à des informations financières sensibles, des identifiants de trading, ou à compromettre des plateformes de paiement. Une analyse des campagnes menées par Silver Fox montre une sélection minutieuse des cibles au sein de ces organisations, souvent au niveau des départements RH et techniques.

Pertes potentielles et enjeux économiques

L’impact financier des attaques de Silver Fox peut être considérable. Les entreprises du secteur des cryptomonnaies sont particulièrement vulnérables, car une compromission pourrait conduire au vol de portefeuilles numériques ou à l’interception de transactions. Dans certains cas, les pertes directes ont été estimées à plusieurs millions de dollars, selon des rapports spécialisés.

Recommandations de protection

Face à l’évolution constante des techniques d’attaque de Silver Fox, les organisations doivent adopter une approche défensive multicouche combinant prévention, détection et réponse aux incidents.

Mesures préventives

  1. Formation à la sensibilisation - Éduquer les employés aux techniques de phishing et d’ingénierie sociale
  2. Gestion rigoureuse des pièces jointes - Contrôle strict des fichiers PDF et Office exécutables
  3. Mises à jour régulières - Maintenir tous les systèmes et applications à jour
  4. Segmentation du réseau - Limiter la propagation potentielle des malwares

Détection des menaces

  1. Surveillance comportementale - Détection d’anomalies dans les processus système
  2. Analyse des communications C2 - Surveillance des connexions sorties suspectes
  3. Détection des chargements DLL suspects - Surveillance des processus légitimes chargeant des DLL inhabituelles
  4. Monitoring du Registre - Détection des modifications suspectes des clés système

Réponse aux incidents

En cas d’identification d’une infection par les malwares de Silver Fox, les organisations doivent :

  1. Isoler immédiatement les systèmes compromis du réseau
  2. Conserver les artefacts pour l’analyse (mémoire, disque)
  3. Restaurer à partir de sauvegardes propres
  4. Analyser la portée complète de la compromission

“La persistance des malwares modernes comme ceux utilisés par Silver Fox nécessite une approche méthodique de la réponse aux incidents,” souligne un rapport récent de l’ANSSI. “Les organisations doivent être prêtes à mener des investigations approfondies pour identifier toutes les portes dérobées potentiellement installées par l’attaquant.”

Conclusion et perspectives

L’expansion récente des activités de Silver Fox vers le Japon et la Malaisie témoigne d’une adaptation stratégique aux écosystèmes technologiques et économiques locaux. La sophistication croissante des malwares comme Winos 4.0 et HoldingHands RAT, combinée à des techniques d’ingénierie sociale de plus en plus élaborées, représente un défi majeur pour les organisations à travers toute l’Asie.

Face à cette menace évolutive, une vigilance constante et une défense multicouche sont essentielles. Les entreprises doivent non seulement renforcer leurs mesures de sécurité technique, mais aussi investir dans la formation de leurs équipes et l’établissement de protocoles de réponse aux incidents robustes. À mesure que Silver Fox continue d’évoluer, la communauté de la cybersécurité doit rester proactive dans le développement de nouvelles défenses et le partage d’informations sur les menaces émergentes.

En 2025, l’arsenal de Silver Fox s’enrichit régulièrement de nouvelles fonctionnalités et techniques d’évasion, rendant la détection et la neutralisation de leurs activités de plus en plus complexes. Les organisations qui négligent cette menace s’exposent à des risques financiers et opérationnels considérables, tandis que celles qui adoptent une approche proactive de la cybersécurité seront mieux préparées pour faire face aux défis futurs.