Uma nova e alarmante campanha de distribuição do malware ValleyRAT foi descoberta, sendo atribuída a um ator de ameaças sediado na China. Essa variante recente demonstra técnicas avançadas de evasão, como verificação antivírus, sideloading de DLL e injeção de processos, representando uma séria ameaça à segurança cibernética global. A campanha é iniciada por um downloader que utiliza um HTTP File Server (HFS) para baixar arquivos cruciais para as próximas etapas do ataque.

O ValleyRAT emprega uma configuração complexa para se comunicar com o servidor de comando e controle (C2), identificando dados de configuração específicos para determinar o IP, porta e protocolo de comunicação do C2. Na primeira etapa, o downloader baixa e descriptografa o arquivo NTUSER.DXM, usando uma combinação de XOR e RC4. O shellcode injetado contém informações vitais de configuração e resolve APIs dinamicamente para estabelecer uma conexão com o servidor C2, facilitando o download da próxima etapa do malware.

Essa conexão é então utilizada para baixar a próxima etapa do malware, que continua a operar de forma furtiva, executando comandos adicionais do servidor C2 conforme necessário. Essa abordagem torna a detecção e a mitigação extremamente desafiadoras. As técnicas anti-AV empregadas pelo ValleyRAT incluem a terminação de processos associados a softwares de segurança específicos, garantindo que o malware possa operar sem interrupções. A campanha observada revela modificações no ValleyRAT, incluindo alterações na impressão digital do dispositivo, geração de ID de bot e nos comandos suportados pelo RAT, evidenciando uma adaptação constante por parte dos cibercriminosos para evadir medidas de segurança.