El malware combina técnicas sigilosas, controladores firmados y múltiples complementos de espionaje, evidenciando fallas críticas en las políticas de firma de controladores de Microsoft.
Check Point Research reveló que ValleyRAT (también conocido como Winos/Winos4.0) es un backdoor altamente sofisticado con arquitectura modular y peligrosas capacidades de rootkit en modo kernel, capaz de evadir las protecciones modernas incluso en sistemas Windows 11 totalmente actualizados. El hallazgo más crítico es su “Driver Plugin”, un controlador firmado con certificados válidos pero vencidos que, gracias a excepciones heredadas de Microsoft, puede cargarse aun con Arranque Seguro y HVCI habilitados. El análisis también indica que los atacantes adaptaron un rootkit público llamado “Hidden”, al que le incorporaron unas 25 funciones nuevas orientadas a la persistencia sigilosa y al movimiento lateral dentro de los sistemas comprometidos.
ValleyRAT incorpora un avanzado sistema de instalación de controladores, incluyendo un “modo sigiloso” que usa suplantación de procesos y técnicas como MalSeclogon y falsificación de PPID para reducir drásticamente la detección, además de un rootkit con funciones críticas para persistencia, inyección de código desde kernel a usuario y eliminación forzada de archivos, incluso de soluciones antivirus y EDR. Check Point detectó unas 6.000 muestras entre 2024 y 2025, con un crecimiento acelerado tras la publicación pública del generadorValleyRAT en GitHub, lo que facilitó la aparición de múltiples variantes y controladores aún firmados con certificados válidos. Con una arquitectura modular capaz de realizar espionaje, robo de credenciales y control total del sistema, ValleyRAT dejó de ser una amenaza atribuible a grupos específicos para convertirse en un framework de malware de acceso público, exponiendo graves debilidades en las políticas de firma de controladores de Windows.
Fuente
Ciberprisma - alianza por la ciberseguridad 