محققان امنیت سایبری کمپین بدافزاری را کشف کرده‌اند که از نصب‌کننده‌های جعلی نرم‌افزار به عنوان ابزارهای محبوب مانند LetsVPN و QQ Browser برای تحویل فریمورک Winos 4.0 استفاده می‌کند. این کمپین که ابتدا توسط Rapid7 در فوریه ۲۰۲۵ شناسایی شد، از لودر چندمرحله‌ای مقیم حافظه به نام Catena استفاده می‌کند که با استفاده از shellcode تعبیه‌شده و منطق تغییر پیکربندی، بارهای مخرب را کاملاً در حافظه مرحله‌بندی کرده و از ابزارهای آنتی‌ویروس سنتی فرار می‌کند.

Winos 4.0 که بر پایه تروژان دسترسی از راه دور Gh0st RAT ساخته شده، یک فریمورک مخرب پیشرفته نوشته‌شده به زبان C++ است که از سیستم پلاگین‌محور برای جمع‌آوری داده، ارائه دسترسی shell از راه دور و راه‌اندازی حملات DDoS استفاده می‌کند. این حملات به طور خاص بر محیط‌های چینی‌زبان متمرکز بوده و به گروه تهدید Silver Fox (Void Arachne) نسبت داده می‌شود. کمپین از نصب‌کننده‌های NSIS تروژان‌شده، تزریق DLL بازتابی و گواهی‌های معتبر منقضی‌شده برای اجتناب از تشخیص و حفظ پایداری در سیستم‌های آلوده استفاده می‌کند.