文章总结： 银狐组织利用所得税钓鱼邮件攻击印度实体，诱导下载恶意程序。攻击利用迅雷程序进行DLL劫持以加载ValleyRAT，该恶意软件具备反分析、多层C2故障转移及凭据窃取功能，企业需警惕此类供应链攻击并加强钓鱼邮件防御。 综合评分： 80 文章分类： 威胁情报,恶意软件,安全意识

---

银狐黑客利用所得税钓鱼诱饵攻击印度实体

会杀毒的单反狗

军哥网络安全读报

2025年12月30日 09:02 湖北

导读

“银狐”网络犯罪组织正通过精心设计的网络钓鱼活动，冒充合法的所得税文件，攻击印度目标。该攻击活动利用看似真实的税务部门电子邮件诱骗用户下载伪装成税务相关文件的恶意可执行文件。

一旦点击，受害者将被重定向到C2服务器，该服务器会启动一个复杂的感染链，旨在绕过安全防御并建立对受感染系统的持久访问权限。

攻击始于一封带有PDF附件的欺骗性电子邮件，附件中包含一家印度公司的名称。打开该PDF文件后，会跳转到一个恶意网站，该网站会下载一个名为“tax_affairs.exe”的文件。

该初始有效载荷充当多个恶意软件阶段的加载器，每个阶段都旨在隐藏其真实目的，同时保持对受害者系统的深度访问权限。

CloudSEK 分析师在调查报告的第二段中发现了该恶意软件，并指出该攻击活动此前被错误地归咎于其他威胁组织。

DLL劫持

该感染机制依赖于一种名为DLL 劫持的技术来激活主要有效载荷。第一阶段会投放一个名为 Thunder.exe 的合法可执行文件，该文件由中国软件公司迅雷开发。

这个已签名的二进制文件被恶意利用，攻击者在同一个临时目录中放置了一个名为 libexpat.dll 的恶意 DLL 文件。当 Thunder.exe 运行时，由于 Windows 默认的 DLL 搜索顺序，它会加载这个伪造的 DLL 文件而不是真正的 DLL 文件，从而在看似完全合法的情况下执行攻击者的代码。

恶意 DLL 在进行实际感染活动之前，会实施广泛的反分析功能。

它会扫描正在运行的进程，以检测安全研究工具和沙箱，然后检查系统资源，确保机器满足感染的最低要求。如果发现分析工具，恶意软件会自行终止以避免被检测到。

系统通过这些检查后，DLL 将禁用 Windows 更新服务，并从临时目录加载一个名为 box.ini 的加密文件。

该加密有效载荷使用硬编码的加密密钥进行解密，并作为原始机器代码直接在系统内存中执行，在硬盘上留下的痕迹极少。

最终的有效载荷是 Valley RAT，这是一种远程访问工具，可在受感染的系统上建立永久的命令和控制基础设施。

Valley RAT 使用复杂的三层故障转移系统来保持与攻击者服务器的联系，如果连接失败，则自动在主指挥中心、辅助指挥中心和备用指挥中心之间切换。

该恶意软件将其配置以二进制数据的形式存储在Windows 注册表中，允许攻击者在不重新安装恶意软件的情况下更新命令和控制地址。

它支持多种通信协议，包括 HTTP、HTTPS 和原始 TCP 套接字，因此很难使用简单的网络过滤进行阻止。

Valley RAT 一旦安装完成，即可执行攻击者命令、捕获键盘输入、收集凭据、传输文件，并按需部署其他恶意模块。

模块化架构允许操作者根据目标在受感染组织中的价值和角色，定制每次感染的特殊功能，这使得印度企业面临特别危险的威胁。

技术报告：

《银狐利用税务主题钓鱼诱饵瞄准印度》

https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures

新闻链接：

Silver Fox Hackers Attacking Indian Entities with Income Tax Phishing Lures

今日安全资讯速递

APT事件

Advanced Persistent Threat

HoneyMyte APT 组织通过内核模式 rootkit 和 ToneShell 后门不断演变

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

Evasive Panda 网络间谍活动利用 DNS 投毒技术安装 MgBot 后门

Evasive Panda cyberespionage campaign uses DNS poisoning to install MgBot backdoor

银狐黑客利用所得税钓鱼诱饵攻击印度实体

Silver Fox Hackers Attacking Indian Entities with Income Tax Phishing Lures

网络攻击致法国邮政系统瘫痪，邮政和银行服务在法国全国范围内中断

https://www.techrepublic.com/article/news-la-poste-cyberattack/

复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列

Israeli Organizations Targeted by AV-Themed Malicious Word and PDF Files

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

英国外交部遭受网络攻击

https://www.cybermaterial.com/p/uk-foreign-office-suffers-cyber-attack

一般威胁事件

General Threat Incidents

韩国电商Coupang因数据泄露事件将向用户支付11亿美元赔偿金

https://www.techrepublic.com/article/news-coupang-1b-dollar-customer-compensation/

韩国电商Coupang的前员工将MacBook扔进河里，试图抹去Coupang数据泄露事件的证据

Hacker Threw MacBook in River to Erase Evidence in Coupang Data Breach

大韩航空披露其餐饮和免税商品供应商遭黑客攻击后发生数据泄露事件

Korean Air discloses data breach after the hack of its catering and duty-free supplier

保险巨头Aflac称，美国2200万人的敏感个人和医疗数据泄露

https://www.techrepublic.com/article/news-aflac-breach-22m-affected/

勒索组织 Lovely 声称从出版商康泰纳仕窃取了 4000 万条信息

https://www.theregister.com/2025/12/29/wired_hack_subscriber_info_leaked/

27 个恶意 npm 包被用作网络钓鱼基础设施，窃取登录凭证

https://thehackernews.com/2025/12/27-malicious-npm-packages-used-as.html

Trust Wallet Chrome 扩展程序遭恶意代码攻击，导致 700 万美元加密货币损失

https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html

新一轮以谷歌为主题的网络钓鱼攻击席卷全球3000多家机构

New Google-Themed Phishing Wave Hits Over 3,000 Global Organisations

新型网络钓鱼工具包利用人工智能辅助开发，攻击微软用户窃取登录信息

New Phishing Kit with AI-assisted Development Attacking Microsoft Users to Steal Logins

黑客向Adobe ColdFusion服务器发起超过250万次恶意请求

Hackers Launch 2.5 Million+ Malicious Requests Targeting Adobe ColdFusion Servers

信息窃取恶意软件通过 EmEditor 供应链攻击传播

https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/

罗马尼亚最大的燃煤发电企业遭受勒索软件攻击

Romania’s Oltenia Energy Complex suffers major ransomware attack

漏洞事件

Vulnerability Incidents

LangChain核心严重漏洞通过序列化注入泄露密钥

https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

TeamViewer DEX漏洞可导致DoS攻击和本地网络攻击

https://www.esecurityplanet.com/threats/teamviewer-dex-bugs-enable-dos-and-local-network-attacks/

通过内核驱动程序和命名管道利用 Windows LPE 漏洞实现权限提升

Windows Vulnerabilities via Kernel Drivers and Named Pipes Allows Privilege Escalation

XSpeeder网络设备中存在严重0day远程代码执行漏洞，超过7万台主机面临安全风险

Critical Zero-Day RCE Flaw in Networking Devices Exposes Over 70,000 Hosts

M-Files漏洞允许攻击者捕获其他活跃用户的会话令牌

M-Files Vulnerability Let Attacker Capture Session Tokens of Other Active Users

MongoBleed 检测工具发布，用于检测 MongoDB 漏洞 (CVE-2025-14847)

MongoBleed Detector Tool Released to Detect MongoDB Vulnerability(CVE-2025-14847)

MongoBleed漏洞导致8.7万个MongoDB实例暴露

https://www.esecurityplanet.com/threats/87k-mongodb-instances-exposed-by-mongobleed-vulnerability/

新型蓝牙耳机漏洞使黑客能够劫持连接的智能手机

New Bluetooth Headphone Vulnerabilities Allow Hackers to Hijack Connected Smartphones

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《银狐黑客利用所得税钓鱼诱饵攻击印度实体》