Китайские тени в вашем ноутбуке: новый вирус ведёт себя как агент разведки

Специалисты компании "Гарда" сообщили о новой целевой кибератаке, в ходе которой злоумышленники применили обновлённую версию вредоносного ПО под названием Winos 4.0. Эта атака оказалась особенно примечательной: в ней обнаружены методы, ранее характерные для другой известной хакерской группировки — APT41 (Winnti), которую западные эксперты связывают с кибершпионажем в интересах китайского правительства.

Что известно о новой атаке SilverFox

Аналитики "Гарды" зафиксировали активность хакерской группы SilverFox, которая использовала Winos 4.0 для целевого проникновения в корпоративную сеть. Вредонос распространялся через тщательно подготовленные фишинговые письма — не только с привычными ссылками, но и с QR-кодами, побуждающими жертву перейти на заражённый ресурс.

"Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах", — сказала старший аналитик сетевой безопасности группы компаний "Гарда" Евгения Устинова.

По данным экспертов, заражение начинается с запуска самораспаковывающегося архива WinRAR SFX, который загружает следующий компонент вредоноса. После установки Winos 4.0 закрепляется в системе через планировщик задач (AtLogOn), обеспечивая автоматический запуск при входе пользователя в систему.

Как работает Winos 4.0

Новая версия вредоноса отличается повышенной сложностью и гибкостью. После первичного заражения основной модуль обращается к командному серверу (CC) для загрузки дополнительных компонентов. Для обмена данными используется не только модифицированный протокол, но и ещё один, ранее ассоциировавшийся исключительно с группой APT41. Это стало первым случаем, когда SilverFox применили подобную технику.

Также были зафиксированы продвинутые методы сокрытия:
• загрузка кода напрямую в память процессов,
• обфускация строк и импортов,
• минимизация артефактов в файловой системе,
• использование легитимных утилит Windows для скрытого выполнения команд.

Сравнение группировок SilverFox и APT41

Схожесть инструментов и сетевых протоколов заставляет исследователей предполагать возможную связь между группировками или обмен технологиями между ними.

Советы шаг за шагом: как защититься от подобных атак

1. Проверяйте вложения. Не открывайте файлы из подозрительных писем, особенно содержащие архивы .exe или .sfx.

2. Не сканируйте QR-коды из неизвестных источников. Хакеры всё чаще используют их для перехода на заражённые сайты.

3. Используйте многоуровневую защиту. Установите антивирус с функцией поведенческого анализа (например, Kaspersky Endpoint Security, ESET Protect, Dr. Web Enterprise).

4. Ограничьте права пользователей. Запрещайте выполнение установочных файлов без подтверждения администратора.

5. Следите за планировщиком задач. Появление новых неизвестных заданий — частый признак закрепления вредоноса.

6. Регулярно обновляйте ПО. Большинство подобных атак используют известные, но не закрытые уязвимости.

Ошибка → Последствие → Альтернатива

• Ошибка: открытие письма от неизвестного отправителя с вложением.
  Последствие: заражение системы и утечка корпоративных данных.
  Альтернатива: фильтрация почты через сервисы защиты, например Microsoft Defender for Office 365 или Proofpoint.

• Ошибка: отсутствие контроля за сетевыми подключениями.
  Последствие: вредонос устанавливает связь с внешними CC-серверами.
  Альтернатива: использовать фаервол с системой обнаружения вторжений (IDS/IPS).

• Ошибка: игнорирование обновлений Windows.
  Последствие: эксплуатация старых уязвимостей злоумышленниками.
  Альтернатива: автоматическое обновление системы и приложений.

А что если организация уже подверглась атаке?

Если есть признаки заражения — замедление работы, подозрительные процессы, неизвестные задания в планировщике — необходимо немедленно:
• изолировать поражённые узлы от сети;
• провести анализ логов и сетевого трафика;
• сменить пароли всех учетных записей;
• обратиться в службу реагирования на инциденты (SOC).

Своевременное реагирование позволяет остановить распространение вредоноса и минимизировать ущерб.

Плюсы и минусы автоматизированных средств защиты

FAQ

Что такое Winos 4.0?
Это многофункциональное вредоносное ПО, предназначенное для удалённого управления, кражи данных и шпионажа.

Можно ли обнаружить Winos 4.0 стандартным антивирусом?
Современные антивирусы с эвристическим анализом способны выявить активность вредоноса, но лишь при регулярных обновлениях баз.

Кого чаще атакует SilverFox?
Организации, работающие в сфере технологий, телекоммуникаций и промышленности, где есть доступ к конфиденциальной информации.

Мифы и правда

• Миф: фишинговые атаки легко распознать по ошибкам в тексте.
  Правда: современные письма тщательно оформлены и визуально не отличаются от настоящих.

• Миф: антивирус защищает от всех угроз.
  Правда: только комплексная защита, включающая сетевой мониторинг и обучение сотрудников, реально снижает риски.

• Миф: если не скачивать файлы, то заразиться невозможно.
  Правда: вредонос может быть внедрён даже через просмотрщик документов или QR-код.

Интересные факты

• Группа APT41 упоминалась в расследованиях ФБР и считается одной из самых активных кибершпионских структур Китая.
• Технология WinRAR SFX используется не только хакерами — она легальна, но часто применяется в вредоносных архивах.
• QR-фишинг стал одним из главных трендов 2025 года: доля атак с его использованием выросла на 65%.

Исторический контекст

Первое упоминание группировки SilverFox появилось в 2021 году, когда исследователи зафиксировали серию атак на технологические компании Восточной Азии. С тех пор их инструментарий значительно усложнился, а взаимодействие с элементами кода APT41 указывает на возможное слияние интересов или совместные операции.