关键词
黑客组织
1. 事件概述
NCC Group 研究人员发现攻击组织「银狐」(Silver Fox)暴露的链接管理后台面板(ssl3[.]space),揭示其正在进行大规模SEO 投毒攻击。
攻击者通过伪装常见软件官网,诱导用户下载携带后门的安装程序,从而分发ValleyRAT等恶意软件。
尽管该组织主要针对中文用户,但受害范围已扩展至亚洲、欧洲及北美。
2. 威胁行为体:银狐(Silver Fox) 2.1 基本情况
别名:SwimSnake / Void Arachne / Valley Thief / UTG-Q-1000
活跃时间:2022 年出现,2024–2025 年高度活跃
定性:
国外安全厂商:APT 组织
国内视角:高度组织化网络犯罪团伙
银狐被认为以多个子组并行运作:
金融组
新闻与情感操纵组
设计与制造情报组
黑水坑(Watering Hole)组
情报收集与长期监控
经济收益(远控、挖矿、变现)
对公共、金融、医疗、技术行业的渗透
本次活动中,银狐在部分文件名中使用西里尔字母,刻意模仿俄语威胁组织,增加归因难度。
3. 攻击方式:SEO 投毒与假冒官网 3.1 暴露的后台面板
域名:
ssl3[.]space功能:
统计下载点击量
记录受害者 IP 与地理位置
活跃时间:至少自2025 年 7 月起
攻击者批量注册假冒官网域名,常见规则包括:
[软件名]cn.com[软件名]-hk.comzh-[软件名].comcn-[软件名].com
特点:
多数通过Cloudflare托管
攻击前数月即完成注册
利用 SEO 技术提升搜索排名
通信类
Microsoft Teams
Telegram
WeChat / DingTalk
Signal
Santiao / YeeChat / Potato / Fantalks 等
工具类
ToDesk / AnyDesk
Snipaste
WPS Office
有道 / 搜狗输入法
VPN
OpenVPN
FlyVPN
示例:teams-zh[.]net被用于伪装 Microsoft Teams 下载页面。
4. 恶意软件分析:ValleyRAT 感染链
以下以伪装为ToDesk的样本为例:
样本名
ToDesk_yuancheng_x64.1.3.zip
4.1 初始执行
使用NSIS 安装器
解压至
%TEMP%目录
1)关闭 Defender 扫描
Add-MpPreference-ExclusionPath C:\, D:\
2)文件伪装
Verifier.exeProfiler.json(实际为嵌入 DLL)
3)反调试
使用
NtSetInformationThread隐藏线程
使用系统工具加载 DLL:
rundll32.exe AutoRecoverDat.dll,DllRegisterServer
DLL 使用ENIGMA Protector加壳
提高逆向与检测难度
C2 示例 IP:
118.107.43.131(香港)C2 返回二阶段 DLL:
VFPower_32.dll内存字符串:
PLUGIN_LOADPLUGIN_EVENT
➡️ 表明其采用插件化架构,与 ValleyRAT 特征一致。
5. 结论与安全建议 5.1 结论
NCC Group 以中等置信度评估:
本次 SEO 投毒活动与银狐组织使用的 ValleyRAT存在直接关联。
通过暴露的后台面板,确认该组织:
长期运营恶意基础设施
精准针对中文用户
具备成熟的诱导、投放与远控能力
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴