Para peneliti keamanan siber menyoroti serangkaian serangan siber yang menargetkan wilayah berbahasa Mandarin seperti Hong Kong, Taiwan, dan Tiongkok Daratan dengan malware yang dikenal sebagai ValleyRAT. Serangan ini memanfaatkan pemuat multi-tahap yang disebut PNGPlug untuk mengirimkan payload ValleyRAT.
Rantai infeksi dimulai dengan halaman phishing yang dirancang untuk mendorong korban mengunduh paket Microsoft Installer (MSI) berbahaya yang menyamar sebagai perangkat lunak sah. Setelah dijalankan, installer tersebut menginstal aplikasi yang tidak berbahaya untuk menghindari kecurigaan, sambil diam-diam mengekstrak arsip terenkripsi yang berisi payload malware. Paket MSI ini menggunakan fitur CustomAction dari Windows Installer, memungkinkan eksekusi kode berbahaya, termasuk menjalankan DLL berbahaya yang mendekripsi arsip menggunakan kata sandi hardcoded ‘hello202411’ untuk mengekstrak komponen malware inti.
Komponen-komponen ini meliputi DLL berbahaya (“libcef.dll”), aplikasi sah (“down.exe”) yang digunakan sebagai kedok untuk menyembunyikan aktivitas berbahaya, dan dua file payload yang menyamar sebagai gambar PNG (“aut.png” dan “view.png”). Tujuan utama dari DLL loader, PNGPlug, adalah mempersiapkan lingkungan untuk mengeksekusi malware utama dengan menyuntikkan “aut.png” dan “view.png” ke dalam memori untuk mengatur persistensi melalui perubahan Windows Registry dan mengeksekusi ValleyRAT.
ValleyRAT, terdeteksi sejak 2023, adalah trojan akses jarak jauh (RAT) yang mampu memberikan akses dan kontrol tidak sah kepada penyerang atas mesin yang terinfeksi. Versi terbaru dari malware ini telah mengintegrasikan fitur untuk menangkap tangkapan layar dan menghapus log peristiwa Windows. Malware ini dinilai terkait dengan kelompok ancaman bernama Silver Fox, yang juga memiliki kesamaan taktik dengan klaster aktivitas lain bernama Void Arachne karena penggunaan kerangka kerja command-and-control (C&C) yang disebut Winos 4.0.
Kampanye ini unik karena fokusnya pada demografi berbahasa Mandarin dan penggunaan perangkat lunak terkait sebagai umpan untuk mengaktifkan rantai serangan. Yang lebih mencolok adalah penggunaan perangkat lunak sah oleh penyerang sebagai mekanisme pengiriman malware, dengan mulus memadukan aktivitas berbahaya dengan aplikasi yang tampak tidak berbahaya. Adaptabilitas dari loader PNGPlug semakin meningkatkan ancaman, karena desain modularnya memungkinkan penyesuaian untuk berbagai kampanye.
Sumber