江蘇
關鍵詞
黑客組織
1. 事件概述
NCC Group 研究人員發現攻擊組織「銀狐」(Silver Fox)暴露的鏈接管理后臺面板(ssl3[.]space),揭示其正在進行大規模SEO 投毒攻擊。
攻擊者通過偽裝常見軟件官網,誘導用戶下載攜帶后門的安裝程序,從而分發ValleyRAT等惡意軟件。
盡管該組織主要針對中文用戶,但受害范圍已擴展至亞洲、歐洲及北美。
2. 威脅行為體:銀狐(Silver Fox) 2.1 基本情況
別名:SwimSnake / Void Arachne / Valley Thief / UTG-Q-1000
活躍時間:2022 年出現,2024–2025 年高度活躍
定性:
國外安全廠商:APT 組織
國內視角:高度組織化網絡犯罪團伙
銀狐被認為以多個子組并行運作:
金融組
新聞與情感操縱組
設計與制造情報組
黑水坑(Watering Hole)組
情報收集與長期監控
經濟收益(遠控、挖礦、變現)
對公共、金融、醫療、技術行業的滲透
本次活動中,銀狐在部分文件名中使用西里爾字母,刻意模仿俄語威脅組織,增加歸因難度。
3. 攻擊方式:SEO 投毒與假冒官網 3.1 暴露的后臺面板
域名:
ssl3[.]space功能:
統計下載點擊量
記錄受害者 IP 與地理位置
活躍時間:至少自2025 年 7 月起
攻擊者批量注冊假冒官網域名,常見規則包括:
[軟件名]cn.com[軟件名]-hk.comzh-[軟件名].comcn-[軟件名].com
特點:
多數通過Cloudflare托管
攻擊前數月即完成注冊
利用 SEO 技術提升搜索排名
通信類
Microsoft Teams
Telegram
WeChat / DingTalk
Signal
Santiao / YeeChat / Potato / Fantalks 等
工具類
ToDesk / AnyDesk
Snipaste
WPS Office
有道 / 搜狗輸入法
VPN
OpenVPN
FlyVPN
示例:teams-zh[.]net被用于偽裝 Microsoft Teams 下載頁面。
4. 惡意軟件分析:ValleyRAT 感染鏈
以下以偽裝為ToDesk的樣本為例:
樣本名
ToDesk_yuancheng_x64.1.3.zip
4.1 初始執行
使用NSIS 安裝器
解壓至
%TEMP%目錄
1)關閉 Defender 掃描
Add-MpPreference-ExclusionPath C:\, D:\
2)文件偽裝
Verifier.exeProfiler.json(實際為嵌入 DLL)
3)反調試
使用
NtSetInformationThread隱藏線程
使用系統工具加載 DLL:
rundll32.exe AutoRecoverDat.dll,DllRegisterServer
DLL 使用ENIGMA Protector加殼
提高逆向與檢測難度
C2 示例 IP:
118.107.43.131(香港)C2 返回二階段 DLL:
VFPower_32.dll內存字符串:
PLUGIN_LOADPLUGIN_EVENT
?? 表明其采用插件化架構,與 ValleyRAT 特征一致。
5. 結論與安全建議 5.1 結論
NCC Group 以中等置信度評估:
本次 SEO 投毒活動與銀狐組織使用的 ValleyRAT存在直接關聯。
通過暴露的后臺面板,確認該組織:
長期運營惡意基礎設施
精準針對中文用戶
具備成熟的誘導、投放與遠控能力
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
