文章总结： 知道创宇发布银狐木马专项检测服务，针对近期活跃的银狐远控木马提供限时免费检测。该木马已感染约2000个IOC，攻击超20家政府及企事业单位，通过仿冒领导微信等方式实施诈骗，具备隐蔽持久、免杀变种多、可横向渗透等APT特征。服务提供网站版和AiPy客户端两种检测方式，基于ZoomEye测绘能力和定制化规则识别加密通信与异常行为，助力企事业单位在春节、两会期间防范数据泄露与网络诈骗风险。 综合评分： 72 文章分类： 恶意软件,威胁情报,安全工具,应急响应,安全运营

知道创宇银狐专项检测服务正式发布，精准识别隐蔽攻击

原创

知道创宇 知道创宇

知道创宇

2026年2月6日 18:19 北京

下午三点多，出纳正在整理当日账目，微信弹出一条新消息。

“有个款项需要马上处理，账号我发你。”

发件人是熟悉的“领导”，名字，头像、备注、语气都和平时一模一样，看起来是一次在普通不过的内部沟通。

转账完成后，对方回了一句：“好。”

待到真正的领导走进办公室，才发现异常。

经排查发现，领导的电脑已被远程控制。

微信里的“领导”，来自一只潜伏在终端里的木马。

它有一个名字——银狐。

知道创宇监测发现，近期“银狐”木马病毒持续活跃，已发现约 2000 个相关 IOC，超过 20 家政府及企事业单位遭受攻击。银狐攻击手段隐蔽、持续进化，采用各种免杀方式，逃避安全厂商的检测，已有多起针对政府机构及企事业单位的网络安全事件引发关注。

典型案例

• 近日银狐盯上了政府机构及企事业单位的“山东通”用户，涉及10余万人。作为山东省统一协同办公平台，是支撑全省各级机关办文、办会、办事“网上办、掌上办”的总平台、总门户，山东通的其重要性不言而喻。个别“山东通”用户PC端因此被感染，出现被非法远程控制、利用账号创建异常工作群并传播欺诈信息等安全事件，对平台用户的工作信息安全与个人财产安全构成潜在威胁。

• 2025年12月中旬，淮安市淮阴区多家企业管理者电脑中毒，在其离开工作岗位后，诈骗分子远程控制该电脑，直接使用该管理者登录的微信，先是给企业出纳发信息要求其按指定账户转账，后又在企业工作群中推送”国家工薪补贴”信息，多名员工看到信息，信以为真，并在点击浏览器后被引诱填写个人信息及验证码，致使该企业内多人被骗。

  ……

“银狐”木马持续活跃，

安全风险持续升级

“银狐”，又名“游蛇”“谷堕大盗”等。自 2022 年以来，银狐黑产团伙开始活跃，通常利用电子邮件、钓鱼网站和即时通讯软件等多种渠道广泛散播木马病毒，从而获取目标终端控制权限。

随着核心远控木马源码（如 winos 4.0）在黑产圈泄露，银狐逐渐从单一组织演变为一个被黑产团体甚至 APT 组织二次开发、持续演进的恶意软件家族。

主要攻击特征：隐蔽、持久、难检测

1、远程控制能力强：一旦终端感染，攻击者可完全掌控系统操作。

2、信息窃取与传播：可监控用户操作、窃取敏感信息，并通过微信、QQ、钉钉等即时通讯工具快速扩散钓鱼或欺诈信息。

3、多变异、高风险：银狐持续出现新变种，常规安全检测手段难以有效识别，甚至呈现“窃密+勒索”的双重威胁模式。

安全危害：不止一次诈骗，易引发系统性风险

1、网络诈骗风险高：收集聊天记录、屏幕信息、键盘输入等敏感数据，为下游诈骗提供精准支撑，扰乱企业正常经营秩序。

2、长期威胁数据资产安全：木马建立远控通道，感染终端成为高风险数据外泄源，窃取敏感信息或破坏关键基础设施。

3、穿透安全边界：被控终端可长期潜伏于内网，用于横向渗透和恶意操作，削弱整体防御体系。

4、具备向APT演进风险：规模化感染、深度潜伏及免杀能力，为高级持续性威胁或勒索攻击升级提供条件。

合规高压线下，安全不容有失

针对“银狐”此类具有APT特征的攻击，根据《关键信息基础设施安全保护条例》（以下简称《条例》）及相关网络安全法律法规，企事业单位面临更高的合规要求。

《条例》明确要求推动网络安全防护能力建设，开展网络安全监测、检测和风险评估。同时，保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作等。

知道创宇银狐专项检测服务正式上线

面对“银狐”木马的猖獗势头，知道创宇404高级威胁情报团队基于长期的深度研究与情报积累，于2月6日推出“银狐专项检测服务”，于春节、两会期间提供限时免费检测服务。

银狐专项检测是一套面向“银狐”木马攻击的定向流量检测与分析能力，聚焦其远程控制、通信加密、基础设施频繁更换等特征。通过银狐专项检测，可以实时查看银狐威胁情况，包括攻击IP等信息，帮助企事业单位快速了解银狐威胁情况，阻断潜在风险。

为满足不同使用场景需求，银狐专项检测目前提供两种使用方式：

• 网站版检测服务：无需部署，访问即可使用，适合快速自查与临时检测场景，帮助用户在短时间内判断是否存在银狐相关风险。

• AiPy 客户端：面向更深入的分析需求，可结合实际业务环境进行持续检测与研判，适合对威胁可见性和分析深度有更高要求的用户。

网站版银狐检测服务

AiPy 客户端

通过网站版与 AiPy 客户端的灵活组合，企事业单位可根据自身安全需求，快速接入银狐专项检测能力，实现从风险发现到威胁研判的高效闭环。

核心能力

• 测绘与持续追踪

基于 ZoomEye 网络空间测绘能力，发现并跟踪银狐相关 IP、域名与控制节点。

• 银狐通信行为检测

识别加密通信、周期性回连与异常会话特征。

• 全日志解析与留存

高效定位银狐相关通信细节，提高事件分析与处置效率。

• 面向银狐的定制化检测规则

针对银狐变种演进，灵活扩展检测能力。

基于银狐专项检测能力，结合知道创宇 404 高级威胁情报团队的持续分析服务，可对银狐相关攻击活动进行深入溯源与跟踪研判，逐步刻画其攻击链与基础设施演进特征，构建系统化、可持续的银狐防御体系。

银狐专项检测服务试用申请

请联系您的专属商务经理，或扫描下方二维码咨询：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知道创宇 知道创宇 知道创宇《知道创宇银狐专项检测服务正式发布，精准识别隐蔽攻击》