Зловмисники за сімейством шкідливого ПЗ Winos 4.0 (відомим як ValleyRAT) розширили цілі з Китаю та Тайваню на Японію та Малайзію з іншим трояном віддаленого доступу (RAT) під назвою HoldingHands RAT (відомим як Gh0stBins). Кампанія використовувала фішингові email з PDF-файлами, що містять вбудовані шкідливі посилання, маскуючись під офіційні документи Міністерства фінансів з численними посиланнями, один з яких доставляв Winos 4.0. Winos 4.0 поширюється через фішинг та отруєння пошукової оптимізації (SEO), спрямовуючи користувачів на фальшиві сайти, що імітують популярне ПЗ як Google Chrome, Telegram, Youdao, Sogou AI, WPS Office та DeepSeek. Використання Winos 4.0 пов’язане з “агресивною” китайською кіберзлочинною групою Silver Fox, відомою як SwimSnake, The Great Thief of Valley, UTG-Q-1000 та Void Arachne. Місяць тому Check Point приписав групі зловживання невідомим вразливим драйвером WatchDog Anti-malware як частину атаки Bring Your Own Vulnerable Driver (BYOVD) для вимкнення захисного ПЗ. Нещодавно Fortinet виявив кампанію в серпні 2025 року з SEO-отруєнням для поширення HiddenGh0st та модулів Winos.

Націлювання Silver Fox на Тайвань та Японію з HoldingHands RAT задокументовано Fortinet та дослідником somedieyoungZZ у червні, з фішинговими email з пастками PDF для запуску багатоступеневої інфекції, що розгортає троян. Обидва Winos 4.0 та HoldingHands RAT натхненні Gh0st RAT, код якого витік 2008 року та широко використовується китайськими хакерськими групами.