文章总结： ValleyRAT_S2是一种窃取财务信息的C++远控木马，通过假冒软件、DLL侧载及钓鱼传播。它具备分层持久化机制，利用看门狗脚本和任务计划器维持控制，能执行命令、键盘记录并窃取数据。建议清除相关调度任务及看门狗脚本以彻底根除。 综合评分： 92 文章分类： 恶意软件,威胁情报,应急响应

ValleyRAT_S2攻击组织以部署隐形恶意软件并提取财务信息

原创

O安全研究员

O安全研究员

2026年1月12日 20:07 广东

新一波攻击利用ValleyRAT_S2恶意软件悄然入侵组织，长时间隐藏并窃取敏感的财务信息。

ValleyRAT_S2是ValleyRAT家族的第二级有效载荷，采用C++编写。一旦进入网络，它就像一个完整的远程访问木马，为攻击者提供了对被感染系统强有力的控制，并提供了可靠的数据传输方式。

当前的运动主要通过假冒的中文生产力工具、破解软件以及伪装成基于AI的电子表格生成器的木马安装程序传播。

在许多情况下，恶意软件通过DLL侧载传递，即通过诱骗一个合法签名的应用程序加载一个名为普通库（如steam_api64.dll）的恶意DLL。

APOPHiS追踪这些行动后，确定ValleyRAT_S2是驱动这些入侵的核心二级后门。

该恶意软件还通过鱼叉式网络钓鱼附件和滥用的软件更新渠道传播。

恶意文档和归档会将负载投放到像临时文件夹这样的位置，例如：

C：\Users\Admin\AppData\Local\Temp\AI自动化办公表格制作生成工具安装包\steam_api64.dll。

从第一阶段开始，重点是规避，而ValleyRAT_S2则负责长期控制、系统发现、凭证盗窃和财务数据收集。

激活后，ValleyRAT_S2扫描进程、文件系统和注册表键，然后通过自定义TCP协议向硬编码的命令控制服务器（如27.124.3.175：14852）发送信号。它可以上传和下载文件，运行shell命令，注入负载，并捕获按键记录。

这使得它非常适合收集网上银行凭证、支付数据和内部财务文件。

持续性与监督行为

ValleyRAT_S2最危险的部分之一是其分层的持久性和看门狗设计，这帮助它在重启和手动清理中存活下来。

恶意软件首先在用户的 Temp 和 AppData 路径中设置文件，创建诸如 %TEMP%\target.pid 等标记，并在 %APPDATA%\Promotions\Temp.aps 下设置配置路径。

它还通过 COM API 滥用 Windows 任务调度器，在启动时重运行自己，并可能使用注册表运行密钥作为备份启动路径。

一个关键功能是生成的批处理脚本monitor.bat，它作为看门狗循环。

脚本读取target.pid存储的进程ID，检查主恶意软件进程是否仍在运行，必要时静默重启。

简化版如下：

@echo&nbsp;offset&nbsp;"PIDFile=%TEMP%\target.pid"set&nbsp;/p pid=<"%PIDFile%"del&nbsp;"%PIDFile%":checktasklist /fi&nbsp;"PID eq %pid%"&nbsp;| findstr >nulif&nbsp;errorlevel 1 (&nbsp; cscript //nologo&nbsp;"%TEMP%\watch.vbs"&nbsp;&nbsp;exit)timeout&nbsp;/t 15 >nulgoto check

这个循环允许ValleyRAT_S2在安全工具或管理员终止主进程时恢复。结合结构化异常处理、沙盒检查以及向Telegra.exe和WhatsApp.exe等可信名称注入进程，恶意软件保持了安静但强大的存在感。

对于辩护者来说，这意味着简单的进程终止还不够;完全移除必须同时针对调度任务、批处理和VBS看门狗脚本、分级文件以及后门进程。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员《ValleyRAT_S2攻击组织以部署隐形恶意软件并提取财务信息》