Gefälschte VPN-Installer schleusen Winos 4.0-Malware ein : Zero Trust als Antwort auf veraltete Systeme und neue Bedrohungen
Cyberkriminelle tarnen ihre Schadsoftware als legitime Software – unter anderem als VPN-Dienste und Browser-Installationspakete. Im Hintergrund läuft eine ausgeklügelte Angriffskette, die schwer zu erkennen ist. Besonders brisant: Die Malware Winos 4.0 operiert vollständig im Arbeitsspeicher – und bleibt damit für viele Schutzsysteme unsichtbar.
Was aussieht wie ein harmloser Installer für den beliebten QQ-Browser oder den VPN-Dienst LetsVPN, ist in Wahrheit der Einstiegspunkt für eine ausgefeilte Malware-Kampagne. Sicherheitsanalysten von Rapid7 beobachteten die Angriffe erstmals im Februar 2025. Der Tarnmechanismus: Nullsoft Scriptable Install System (NSIS)-Installationspakete, die auf den ersten Blick authentisch erscheinen, aber im Hintergrund eine komplexe und gut getarnte Schadsoftware laden – das Winos 4.0-Framework.
Unsichtbar im Arbeitsspeicher: Catena lädt Winos 4.0
Herzstück der Angriffskette ist ein sogenannter Memory-Loader namens Catena. Er lädt die Malware vollständig im Arbeitsspeicher – ohne Spuren auf der Festplatte zu hinterlassen. Dazu nutzt Catena eingebetteten Shellcode, verschlüsselte Konfigurationsdaten und eine reflektive DLL-Injektion. Die Technik ist besonders effektiv, um Antivirenlösungen zu umgehen.
Einmal aktiv, verbindet sich die Malware mit Servern, die überwiegend in Hongkong („134.122.204[.]11:18852“ oder „103.46.185[.]44:443“) gehostet sind, um weitere Befehle oder Schadsoftware nachzuladen. Die Kompromittierung bleibt oft über Wochen unbemerkt.
Zielgruppe: Chinesischsprachige Nutzerinnen und Nutzer
Die Angriffe richten sich laut Rapid7 vor allem an chinesischsprachige Nutzerumgebungen. Der Schadcode enthält Routinen, um die Spracheinstellungen des Betriebssystems zu überprüfen – auch wenn die Spracherkennung bisher noch nicht konsequent umgesetzt ist. Das deutet auf eine gezielte Entwicklung hin, die in kommenden Versionen noch weiter verfeinert werden dürfte.
Gefährliches Erbe: Winos 4.0 basiert auf Gh0st RAT
Winos 4.0, auch bekannt als ValleyRAT, wurde ursprünglich im Juni 2024 von Trend Micro dokumentiert. Die Schadsoftware basiert auf dem bekannten Fernzugriffstrojaner Gh0st RAT und bietet umfassende Kontrollfunktionen: Datendiebstahl, Remote-Zugriff per Shell und sogar DDoS-Angriffe lassen sich damit ausführen. Ein modulares Pluginsystem ermöglicht es, die Funktionen flexibel zu erweitern – je nach Ziel und Angriffsstrategie.
Neue Taktiken, bekannte Absichten
Im April 2025 registrierten Experten eine neue Angriffswelle: Statt des QQ-Browsers kam diesmal ein gefälschter Installer für LetsVPN zum Einsatz. Besonders hinterhältig: Vor der eigentlichen Infektion deaktiviert ein PowerShell-Skript gezielt den Schutz von Microsoft Defender für alle Laufwerke. Anschließend wird ein weiteres Schadprogramm ausgeführt, das laufende Prozesse analysiert und gezielt nach chinesischer Sicherheitssoftware wie „360 Total Security“ sucht.
Der Schadcode ist mit einem abgelaufenen Zertifikat von VeriSign signiert, das angeblich von Tencent stammt. Auch das ist Teil der Täuschung: Durch den vermeintlich legitimen Ursprung sollen Schutzmechanismen umgangen und das Vertrauen der Nutzenden gewonnen werden.
Verbindungen zur APT-Gruppe „Silver Fox“ vermutet
Laut Rapid7 deuten verschiedene Hinweise – etwa wiederverwendete Serverinfrastruktur und sprachspezifisches Targeting – auf eine Verbindung zur bekannten Hackergruppe Silver Fox hin, auch bekannt als Void Arachne. Diese Gruppe ist bereits durch frühere Kampagnen mit Bezug zu chinesischsprachigen Zielgruppen aufgefallen.
In weiteren Angriffswellen nutzten die Täter scheinbar harmlose Programme aus dem Gaming-Bereich – etwa Installationshilfen, Tuning-Tools oder Leistungs-Booster –, um Nutzerinnen und Nutzer zur Installation der Schadsoftware zu verleiten. Im Februar 2025 wurde zudem eine gezielte Phishing-Kampagne bekannt, bei der Unternehmen in Taiwan mit gefälschten E-Mails attackiert wurden. Diese gaben sich als Mitteilungen der nationalen Steuerbehörde aus.
Die aktuelle Malware-Kampagne zeichnet sich durch hohe Professionalität, langfristige Planung und kontinuierliche Weiterentwicklung aus.
Fazit: Gefälschte Installationsdateien werden zur Cyberwaffe
Die neue Welle von Angriffen mit trojanisierten NSIS-Installern zeigt eindrücklich, wie sich alltägliche Softwareinstallationen in Türöffner für hochentwickelte Malware verwandeln können. Unternehmen und private Nutzerinnen und Nutzer sollten daher größte Vorsicht walten lassen – insbesondere beim Download von Anwendungen aus inoffiziellen Quellen.
Die Angreifer setzen auf raffinierte Tarnung, Geduld und technische Raffinesse. Wer sich effektiv schützen will, braucht mehr als klassische Antivirensoftware: Awareness, aktuelle Systeme und mehrstufige Sicherheitskonzepte sind entscheidend – gerade in Zeiten, in denen Schadsoftware kaum noch Spuren hinterlässt.