文章总结： 本文分析银狐组织利用SEO投毒分发ValleyRAT的活动。该组织通过假冒软件官网诱导下载后门，利用后台面板追踪受害者，攻击链包含防御绕过及插件化C2。建议用户核实软件来源，警惕非官方下载并加强终端防护。 综合评分： 83 文章分类： 威胁情报,恶意软件,安全大事件,安全意识,网络安全

【安全圈】银狐（Silver Fox）SEO 投毒活动与受害者 IP 分析

安全圈

2025年12月23日 19:02 江苏

关键词

黑客组织

1. 事件概述

NCC Group 研究人员发现攻击组织 「银狐」（Silver Fox） 暴露的链接管理后台面板（ssl3[.]space），揭示其正在进行大规模 SEO 投毒攻击。 攻击者通过伪装常见软件官网，诱导用户下载携带后门的安装程序，从而分发 ValleyRAT 等恶意软件。

尽管该组织主要针对 中文用户，但受害范围已扩展至 亚洲、欧洲及北美。

2. 威胁行为体：银狐（Silver Fox）

2.1 基本情况

• 别名：SwimSnake / Void Arachne / Valley Thief / UTG-Q-1000

• 活跃时间：2022 年出现，2024–2025 年高度活跃

• 定性：

• 国外安全厂商：APT 组织

• 国内视角：高度组织化网络犯罪团伙

2.2 组织结构（推测）

银狐被认为以多个子组并行运作：

• 金融组
• 新闻与情感操纵组
• 设计与制造情报组
• 黑水坑（Watering Hole）组

2.3 攻击动机

• 情报收集与长期监控
• 经济收益（远控、挖矿、变现）
• 对公共、金融、医疗、技术行业的渗透

2.4 伪旗行为

本次活动中，银狐在部分文件名中使用 西里尔字母，刻意模仿俄语威胁组织，增加归因难度。

3. 攻击方式：SEO 投毒与假冒官网

3.1 暴露的后台面板

• 域名：ssl3[.]space

• 功能：

• 统计下载点击量

• 记录受害者 IP 与地理位置

• 活跃时间：至少自 2025 年 7 月 起

3.2 域名伪装模式

攻击者批量注册假冒官网域名，常见规则包括：

• [软件名]cn.com
• [软件名]-hk.com
• zh-[软件名].com
• cn-[软件名].com

特点：

• 多数通过 Cloudflare 托管
• 攻击前数月即完成注册
• 利用 SEO 技术提升搜索排名

3.3 被冒充的软件类型（≥20 款）

通信类

• Microsoft Teams
• Telegram
• WeChat / DingTalk
• Signal
• Santiao / YeeChat / Potato / Fantalks 等

工具类

• ToDesk / AnyDesk
• Snipaste
• WPS Office
• 有道 / 搜狗输入法

VPN

• OpenVPN
• FlyVPN

示例： teams-zh[.]net 被用于伪装 Microsoft Teams 下载页面。

4. 恶意软件分析：ValleyRAT 感染链

以下以伪装为 ToDesk 的样本为例：

样本名

ToDesk_yuancheng_x64.1.3.zip

4.1 初始执行

• 使用 NSIS 安装器
• 解压至 %TEMP% 目录

4.2 防御绕过与持久化

1）关闭 Defender 扫描

Add-MpPreference-ExclusionPath C:\, D:\

2）文件伪装

• Verifier.exe
• Profiler.json（实际为嵌入 DLL）

3）反调试

• 使用 NtSetInformationThread 隐藏线程

4.3 载荷执行

使用系统工具加载 DLL：

rundll32.exe AutoRecoverDat.dll,DllRegisterServer

• DLL 使用 ENIGMA Protector 加壳
• 提高逆向与检测难度

4.4 命令与控制（C2）

• C2 示例 IP：118.107.43.131（香港）

• C2 返回二阶段 DLL：VFPower_32.dll

• 内存字符串：

• PLUGIN_LOAD

• PLUGIN_EVENT

➡️ 表明其采用 插件化架构，与 ValleyRAT 特征一致。

5. 结论与安全建议

5.1 结论

NCC Group 以 中等置信度 评估： 本次 SEO 投毒活动与 银狐组织使用的 ValleyRAT 存在直接关联。

通过暴露的后台面板，确认该组织：

• 长期运营恶意基础设施
• 精准针对中文用户
• 具备成熟的诱导、投放与远控能力

END

阅读推荐

【安全圈】黑客滥用”设备代码”绕过安全防护劫持微软365账户

【安全圈】部分玩家微软账户被入侵，导致 15 年历史 Xbox 游戏库毁于一旦

【安全圈】SK 电讯因信息泄露或面临 2.3 万亿韩元赔偿，每位受害者获赔 10 万韩元

【安全圈】伊朗Infy APT组织沉寂多年后携新型恶意软件活动重现

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】银狐（Silver Fox）SEO 投毒活动与受害者 IP 分析》