Pesquisadores revelaram uma campanha de malware ativa desde fevereiro de 2025 que utiliza instaladores falsos de softwares populares, como LetsVPN e QQ Browser, para disseminar o framework malicioso Winos 4.0 (também conhecido como ValleyRAT). Essa ameaça se apoia em um carregador multiestágio e residente na memória chamado Catena, que injeta código malicioso sem deixar rastros no disco, dificultando a detecção por antivírus tradicionais.

O Winos 4.0, documentado pela primeira vez em 2024, é um framework avançado baseado no trojan Gh0st RAT, escrito em C++, que permite acesso remoto, coleta de dados e ataques de DDoS. A campanha atual se concentra em usuários de língua chinesa, usando táticas de longo prazo e engenharia social por meio de instaladores NSIS com aparência legítima. Entre os recursos mais sofisticados está o uso de comandos PowerShell para excluir diretórios do Microsoft Defender e a verificação de antivírus como o 360 Total Security. As cargas são carregadas por DLLs refletivas, assinadas com certificados expirados, o que aumenta a dificuldade de identificação.

Em abril de 2025, uma mudança tática na campanha incluiu disfarçar o instalador como sendo do LetsVPN e usar infraestrutura de C2 com endereços IP específicos para comunicação contínua. Mesmo com checagem de idioma, o malware executa-se em qualquer sistema, sugerindo que essa verificação ainda será refinada. A campanha é atribuída ao grupo Silver Fox (ou Void Arachne), um ator de ameaça altamente capacitado com foco em ambientes chineses.