ValleyRAT атакует через поддельные установщики и фишинговые письма
С момента своего обнаружения экспертами Proofpoint в 2023 году троян удаленного доступа ValleyRAT заметно эволюционировал, превратившись в серьезную угрозу для корпоративных сетей. Анализ последних кампаний показывает, что операторы вредоносной программы используют как минимум два хорошо проработанных вектора атак, активно применяют бесфайловые техники и сложную обфускацию, а география их целей выходит далеко за пределы одного региона.
Два вектора атак и глобальные цели
Исследователи фиксируют два основных сценария распространения ValleyRAT: поддельные установщики и вредоносные почтовые рассылки. Первый вектор ориентирован преимущественно на пользователей, говорящих на китайском языке, второй — на японоязычную аудиторию. Однако оба метода служат единой цели — скрытной компрометации системы при помощи сложных техник антианализа и уклонения от обнаружения.
Вредоносное ПО связывают с хакерской группировкой SilverFox, хотя окончательная атрибуция остается предметом дискуссий среди аналитиков: различия в используемом инструментарии между кампаниями не позволяют однозначно подтвердить авторство одной и той же группы. Тем не менее активность, зафиксированная с 2025 года, указывает на переход к более амбициозным задачам — атакам на транснациональные корпорации, что свидетельствует о способности злоумышленников обходить региональные барьеры.
Технический арсенал: бесфайловость и инжектирование кода
Отличительной чертой ValleyRAT является стремление оставаться незамеченным. Вредоносное ПО действует бесфайлово, выполняя полезную нагрузку непосредственно в памяти, что серьезно затрудняет его детектирование классическими антивирусными средствами. Для этого используются продвинутые техники внедрения в процессы:
- Process Injection в легитимные процессы, позволяющий маскировать вредоносную активность под доверенные приложения;
- Pool Party Variant 7 — специфический метод инжектирования, эксплуатирующий пулы потоков Windows и усложняющий анализ.
Кроме того, вредоносное ПО активно противодействует анализу, проверяя такие параметры среды, как объем системной памяти, количество процессоров и наличие виртуализированных или изолированных сред выполнения. DLL-компоненты, задействованные в атаках, применяют обфускацию с добавлением мусорного кода, который значительно увеличивает время, необходимое для реверс-инжиниринга. Финальная полезная нагрузка шифруется алгоритмом RC4 с уникальным ключом, встроенным в тело вредоносной программы, что дополнительно скрывает ее поведение.
Почтовые кампании 2026 года
В 2026 году были впервые задокументированы злоумышленные кампании, использующие электронную почту. Письма, замаскированные под кадровые уведомления, содержали ссылки на ZIP-архивы, внутри которых находились EXE-файл и DLL-библиотека. После запуска исполняемого файла DLL-модуль загружался и инициировал выполнение ValleyRAT. Примечательно, что одна и та же вредоносная инфраструктура использовалась как в версиях на традиционном китайском, так и на японском языке, что указывает на скоординированную работу одного злоумышленника, нацеленного на разные языковые группы через общий домен распространения.
Обнаружение и рекомендации
Усилия группы GSOC LevelBlue позволили разработать механизмы запросов для выявления активности ValleyRAT, основанные на именах модулей, извлеченных из утекшего исходного кода. Для эффективной защиты эксперты рекомендуют комплексный подход, включающий следующие меры:
- повышение осведомленности сотрудников о характерных признаках фишинговых писем и поддельных установщиков;
- развертывание современных решений для безопасности электронной почты с глубоким анализом вложений и ссылок;
- внедрение систем обнаружения и реагирования на конечных точках (EDR), способных выявлять подозрительное поведение, в том числе нетипичную подгрузку DLL и инжектирование в процессы;
- регулярный анализ журналов на предмет следов активности RAT и готовность к сценариям реагирования, предполагающим сохранение состояний системы для восстановления хронологии инцидента.
Эволюционирующий характер кампаний ValleyRAT требует непрерывного мониторинга и постоянного совершенствования стратегий детектирования, чтобы противостоять его сложному и адаптивному подходу к компрометации систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



