Investigadores de Intezer Labs han detectado una nueva campaña de ciberataques del troyano de acceso remoto ValleyRAT dirigidos a regiones de habla china, destacando Hong Kong, Taiwán y China. Los ataques comienzan con páginas de phishing a través de las cuales los usuarios descargan un paquete malicioso Microsoft Installer (MSI) que simula ser software legítimo.
Una vez ejecutado, el instalador despliega una aplicación benigna para evitar sospechas, mientras que extrae sigilosamente un archivo cifrado con la carga útil del malware. ValleyRAT es distribuido mediante un cargador en varias fases denominado PNGPlug, siendo su objetivo principal preparar el entorno para la ejecución del malware principal y establecer persistencia en el mismo. Por su parte, el paquete MSI utiliza la función CustomAction del instalador de Windows para ejecutar código malicioso, empleando una contraseña codificada ‘hello202411’ para extraer los componentes principales del malware.
ValleyRAT, detectado en 2023, proporciona acceso no autorizado y control sobre las máquinas infectadas, siendo asociado al actor de amenazas Silver Fox.