Recentemente, i ricercatori di sicurezza informatica hanno lanciato l'allarme su una serie di attacchi informatici che hanno preso di mira le regioni di lingua cinese come Hong Kong, Taiwan e la Cina continentale. Questi attacchi utilizzano un malware noto come ValleyRAT, distribuito attraverso un loader multi-stage denominato PNGPlug. Secondo un rapporto tecnico pubblicato da Intezer, l'attacco inizia con una pagina di phishing progettata per convincere le vittime a scaricare un pacchetto MSI di Microsoft Installer maligno mascherato come software legittimo.

Una volta eseguito, l'installer distribuisce un'applicazione innocua per evitare di destare sospetti, mentre estrae furtivamente un archivio crittografato contenente il payload del malware. L'MSI sfrutta la funzione CustomAction del Windows Installer per eseguire codice maligno, inclusa l'esecuzione di una DLL incorporata che decripta l'archivio utilizzando una password preimpostata per estrarre i componenti principali del malware.

Tra questi componenti vi sono una DLL canaglia, un'applicazione legittima utilizzata come copertura e due file payload che si spacciano per immagini PNG. Il compito principale del loader DLL, PNGPlug, è preparare l'ambiente per l'esecuzione del malware principale iniettando i file PNG in memoria e impostando la persistenza mediante modifiche al Registro di Windows per eseguire ValleyRAT.

ValleyRAT, individuato in natura dal 2023, è un trojan di accesso remoto (RAT) capace di fornire agli aggressori accesso non autorizzato e controllo sulle macchine infette. Le versioni recenti del malware hanno incorporato funzionalità per catturare schermate e cancellare i log degli eventi di Windows. È stato valutato che ValleyRAT sia collegato a un gruppo di minaccia chiamato Silver Fox, che condivide somiglianze tattiche con un altro cluster di attività denominato Void Arachne, grazie all'uso di un framework di comando e controllo chiamato Winos 4.0.

La campagna si distingue per il suo focus sul demografico di lingua cinese e l'utilizzo di esche legate al software per attivare la catena di attacco. Notevole è anche l'uso sofisticato da parte degli aggressori di software legittimo come meccanismo di distribuzione del malware, integrando senza soluzione di continuità le attività malevole con applicazioni apparentemente innocue. L'adattabilità del loader PNGPlug eleva ulteriormente la minaccia, poiché il suo design modulare consente di adattarlo a più campagne.