Firme aquí: cómo una carta falsa sobre impuestos abre la puerta a los espías
Los delincuentes idean cómo entrar sin hacer ruido.
En Taiwán se ha registrado una serie de ataques dirigidos que utilizan una versión actualizada de la herramienta maliciosa Winos 4.0, también conocida como ValleyRat. Las campañas se basan en correos de phishing y documentos falsos que se hacen pasar por notificaciones oficiales sobre auditorías fiscales y facturas electrónicas. Según los especialistas de FortiGuard Labs, los ataques se distinguen por una infraestructura bien diseñada y el uso activo de métodos para eludir las protecciones de Windows.
Los atacantes envían archivos comprimidos disfrazados de documentos fiscales. En su interior hay un acceso directo LNK y una carnada en forma de archivo aparentemente inocuo. Al ejecutarlo, el acceso directo invoca el intérprete de comandos del sistema y descarga la siguiente etapa del ataque desde un dominio externo. Para ocultarse se renombra la utilidad estándar curl.exe, lo que ayuda a eludir una filtración simple por nombre de archivo. El instalador descargado extrae un componente ejecutable oculto y lo coloca en el directorio ProgramData, estableciendo la base para la posterior carga de Winos 4.0 y de un controlador que ayuda a ocultar la actividad.
En una segunda oleada de ataques se empleó un enfoque distinto. En lugar de accesos directos, se distribuyen archivos comprimidos que contienen una aplicación legítima y una biblioteca maliciosa que se carga mediante la técnica de DLL sideloading. Los enlaces en los correos imitan direcciones oficiales de las autoridades fiscales de Taiwán, pero conducen a almacenamientos en la nube en la China continental. El análisis de las rutas internas dentro de la biblioteca maliciosa reveló la mención del proyecto «大馬專案(二)», lo que indica una organización estructurada del trabajo del grupo atacante.
Tras consolidarse en el sistema, Winos 4.0 comprueba si dispone de privilegios administrativos y, si es necesario, elude el control de cuentas mediante una combinación de llamadas al servicio AppInfo y la interceptación del Debug Object. A continuación se utiliza la técnica conocida como Bring Your Own Vulnerable Driver. En el sistema se carga un controlador firmado, wsftprm.sys, cuyas vulnerabilidades permiten obtener privilegios a nivel de núcleo y desactivar las medidas de protección.
El módulo malicioso analiza los procesos en ejecución y finaliza la actividad de antivirus y sistemas de protección, incluidos Microsoft Defender, soluciones de Trend Micro, Symantec, 360 y otros. La dirección del servidor de control se oculta en el código como una cadena en Base64 y, tras su descifrado, se establece conexión con el nodo 47.76.86.151. Complementos adicionales, encargados de la gestión de archivos, el acceso remoto y la captura de pantalla, se guardan directamente en el registro y funcionan en memoria, sin crear archivos visibles en el disco.
El análisis de los datos de registro de los dominios mostró una relación con el nombre Li Jiqiang y con una dirección de correo asociada a un dominio universitario en China. Los metadatos de los archivos maliciosos también contienen un identificador de máquina que ya apareció en la actividad del grupo Silver Fox en el verano de 2025. La coincidencia de infraestructura, los métodos de carga del controlador y el servidor de control permiten relacionar las campañas actuales con la misma unidad de Silver Fox.
Los especialistas estiman que los ataques continuarán. El grupo cambia activamente de dominios y de métodos de entrega, apostando por carnadas localizadas y por la ejecución de módulos en memoria. Esa táctica dificulta la detección y aumenta el riesgo de compromiso de redes corporativas.