中國駭客組織「銀狐」藉 HoldingHands RAT 將 Winos 4.0 攻擊擴至日本與馬來西亞

中國駭客組織 「銀狐（Silver Fox）」 近期大幅擴張攻擊版圖，從原本鎖定中國與台灣，延伸至日本與馬來西亞。該組織同時部署 Winos 4.0（又稱 ValleyRAT）與 HoldingHands RAT（又稱 Gh0stBins）兩款遠端存取木馬，展現高度組織化的攻擊能力。Fortinet FortiGuard Labs 最新研究揭露，Silver Fox 運用 DLL 側載、TrustedInstaller 權限濫用等進階技術，成功繞過多層防禦機制。

雙木馬技術架構比較

Silver Fox（又稱 SwimSnake、Valley Thief、UTG-Q-1000）採用雙木馬並行策略。兩款木馬都源自 2008 年外洩的 Gh0st RAT 原始碼，但技術實作各有特色。

Winos 4.0 透過搜尋引擎最佳化（SEO）毒化散布，建立偽裝成 Google Chrome、Telegram、搜狗 AI、DeepSeek 等軟體的假冒網站。HoldingHands RAT 則使用釣魚郵件，內含偽裝成政府公文的 PDF 檔案。技術架構上，兩款木馬共享 C2 通訊機制，都實作 60 秒心跳訊號（Heartbeat）維持連線。關鍵差異在於 HoldingHands RAT 採用更隱蔽的 Task Scheduler 服務劫持技術實現持續化。

相關文章：Winos4.0透過遊戲應用程式傳播發起威脅活動

五階段攻擊鏈解構

第一階段：釣魚郵件投放
攻擊始於含有惡意 PDF 的釣魚郵件。以台灣為例，使用「稅務法規草案」誘餌，PDF 內嵌多個連結，僅一個指向惡意網站「twsww[.]xin」。針對中國金融科技企業的「絲綢誘餌行動」（Operation Silk Lure）則使用 LNK 檔案偽裝成求職履歷。

第二階段：DLL 側載執行
惡意執行檔利用 DLL 側載技術載入惡意 DLL，該 DLL 作為 shellcode 載入器，執行反虛擬機器（Anti-VM）檢查並終止 Avast、Norton、Kaspersky 等防毒軟體。關鍵檔案部署至 System32 目錄，包括 svchost.ini、TimeBrokerClient.dll、msvchost.dat（加密 shellcode）、system.dat（加密載荷）。

第三階段：TrustedInstaller 權限提升
這是 Silver Fox 最具技術含量的突破。惡意程式啟用 SeDebugPrivilege 權限，取得 Winlogon 程序存取權並竊取安全令牌（Security Token）。透過 Winlogon 令牌以 SYSTEM 權限執行後，進一步獲取 TrustedInstaller 上下文。Fortinet 研究員 Rachael Pei 指出：「TrustedInstaller 是 Windows 內建系統帳戶，某些檔案只能以此帳戶存取。」

第四階段：Task Scheduler 劫持
Silver Fox 利用 Task Scheduler 服務的自動復原機制。服務預設失敗後一分鐘重啟，重啟時 svchost.exe 載入惡意 TimeBrokerClient.dll。「這個觸發機制不需要直接啟動任何程序，使基於行為的偵測更具挑戰性。」Fortinet 報告指出。

第五階段：木馬部署與 C2 通訊
最終載荷解密後釋放 HoldingHands RAT 或 Winos 4.0。木馬建立 C2 連線、發送主機資訊、維持心跳訊號。支援螢幕截圖、剪貼簿竊取、任意指令執行、額外載荷下載。新版本可透過 Windows Registry 動態更新 C2 位址。

在地化攻擊策略

Silver Fox 展現高度在地化能力。台灣攻擊使用繁體中文稅務文件誘餌，瞄準企業財務部門。日本攻擊雖使用中文誘餌，但惡意網站切換日文介面，可能針對在台日商。馬來西亞攻擊使用假冒軟體下載頁面。中國「絲綢誘餌行動」鎖定金融科技、加密貨幣產業，使用簡體中文履歷，內容包含真實技術描述。

Seqrite Labs 研究團隊表示：「對手精心製作針對性電子郵件，冒充求職者發送給中國企業人資部門。PDF 履歷經過在地化調整，顯著提升社交工程成功率。」

技術創新挑戰

TrustedInstaller 權限濫用突破 Windows 資源保護機制。Task Scheduler 劫持避開傳統程序監控，多數端點偵測與回應系統難以偵測。多層加密與模組化設計增加分析難度。Check Point 上月揭露 Silver Fox 濫用 WatchDog Anti-malware 漏洞驅動程式，執行自帶易受攻擊驅動程式（BYOVD）攻擊。

防禦建議

技術防護：監控 Task Scheduler 異常重啟、限制 System32 寫入權限、實施 PowerShell 執行政策。

權限管理：審查 SeDebugPrivilege 權限帳戶、限制 TrustedInstaller 使用、實施最小權限原則。

偵測指標：檢查 C:\Users\AppData\Roaming\Security 可疑檔案、監控 CreateHiddenTask.vbs 排程任務、偵測 keytool.exe、jli.dll 等已知惡意檔案、分析 60 秒固定心跳訊號模式。

Fortinet 總結：「最可能動機是區域情報蒐集，惡意軟體保持休眠等待指令。」這暗示 Silver Fox 可能具國家級背景。隨著該組織持續擴張與技術升級，台灣企業需提高警覺，立即檢視針對 DLL 側載、權限提升、服務劫持等進階技術的偵測能力。

延伸閱讀：中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊

本文轉載自thehackernews。