Il nuovo rilancio di ValleyRAT mostra come i falsi installer continuino a battere la fiducia
Una nuova ondata di ValleyRAT usa esche sotto forma di installer e email ingannevoli in lingua giapponese per trasformare le normali decisioni di fiducia di Windows in un rischio di controllo remoto.
Le famiglie di malware non hanno sempre bisogno di nuovi exploit per rimanere pericolose. A volte basta un travestimento migliore. ValleyRAT sembra cavalcare di nuovo questa logica, usando falsi installer ed email malevole in lingua giapponese per raggiungere gli utenti Windows mentre le rilevazioni aumentano per tutto il 2025 e fino all'inizio del 2026. Il modello è familiare, ma la lezione non invecchia: una volta che un utente avvia il file sbagliato, l'attaccante potrebbe non aver più bisogno di forzare l'ingresso.
Fatti rapidi
- ValleyRAT è un Remote Access Trojan identificato per la prima volta nel 2023.
- La campagna usa falsi installer ed email malevole in lingua giapponese come canali di distribuzione.
- L'attività è rivolta agli utenti Windows.
- LevelBlue GSOC ha osservato un aumento delle rilevazioni di ValleyRAT per tutto il 2025 e un ritmo più rapido entro l'inizio del 2026.
- Il collegamento storico con SilverFox resta sensibile dal punto di vista dell'attribuzione e non dovrebbe essere trattato come un'identificazione definitiva dell'operatore.
Quello che la nuova ondata dice davvero ai difensori
ValleyRAT è importante perché non è solo un file sul disco. Essendo un RAT, è progettato per dare a un operatore il controllo remoto dopo l'esecuzione, aprendo la porta a comandi successivi, payload aggiuntivi e attività manuale da tastiera. Il rischio immediato non è solo un singolo documento o installer malevolo, ma il momento in cui viene abusato un percorso software attendibile.
Ecco perché il metodo di distribuzione è il vero punto della storia. I falsi installer spostano l'attacco dalla ricerca di exploit alla manipolazione della fiducia. Le email in lingua giapponese fanno qualcosa di simile: usano la localizzazione per rendere l'esca familiare, riducendo il sospetto in un contesto regionale o aziendale in cui la lingua sembra normale. In termini pratici, questo può rendere più probabile che il primo clic, download o avvio abbia successo, anche quando il payload in sé non è cambiato molto.
Le analisi tecniche su ValleyRAT hanno anche indicato l'esecuzione in più fasi e comportamenti di tipo loader in alcune campagne. Questo è rilevante perché significa che i difensori dovrebbero guardare oltre il nome finale del malware e osservare la catena che lo porta fin lì. Archivi sospetti, installer scaricati, processi figlio insoliti e anomalie nel caricamento delle DLL possono essere segnali più utili del solo nome del payload. A livello difensivo, è qui che filtro email, controlli endpoint e regole di fiducia delle applicazioni devono lavorare insieme.
Gli ambienti Windows sono particolarmente esposti quando agli utenti è consentito installare software con troppa libertà o quando i messaggi di avviso vengono trattati come interruzioni di routine. Funzioni di sicurezza come SmartScreen e i controlli di fiducia degli installer sono più efficaci quando le organizzazioni li applicano, invece di lasciare che gli utenti li aggirino sotto pressione. Negli ambienti multilingue, la sicurezza della posta deve anche tenere conto delle esche localizzate invece di trattarle come casi marginali.
Al momento della stesura, le informazioni pubbliche non hanno ancora definito pienamente l'ambito completo degli utenti colpiti né se i sistemi a valle siano stati compromessi. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva su un compromesso completo o sull'identità dell'operatore.
Conclusione
La rinascita di ValleyRAT ricorda che le operazioni malware spesso vincono confondendosi nel lavoro quotidiano: installazioni software, thread di email e lingue di cui gli utenti si fidano. La lezione più ampia è netta. Se gli attaccanti possono prendere in prestito l'aspetto e il ritmo del business legittimo, i difensori devono rafforzare il confine della fiducia in sé - non solo inseguire il payload dopo che è arrivato.
TECHCROOK
chiave di sicurezza hardware: Una piccola chiave USB o NFC può aggiungere un accesso resistente al phishing per email importanti, account amministrativi e cloud. È un modo pratico per ridurre la dipendenza dalle sole password e rende più difficile abusare dell'accesso agli account se un'esca o un falso installer porta al furto delle credenziali.
WIKICROOK
- Remote Access Trojan (RAT): Malware che consente a un operatore di controllare da remoto un sistema infetto.
- Malspam: Email malevola usata per distribuire malware o spingere gli utenti verso link e allegati pericolosi.
- Distribuzione in più fasi: Una catena di attacco che usa un componente per recuperare o avviare il payload successivo.
- DLL sideloading: Una tecnica in cui un programma legittimo carica una libreria malevola da una posizione inattesa.
- SmartScreen: Una funzione di protezione di Windows che aiuta a segnalare o bloccare download e siti rischiosi.




