文章总结： 银狐组织借日本报税季发起定向钓鱼攻击。攻击者经前期侦察伪造高管发送税务诱饵邮件，诱导下载公开平台恶意文件，最终植入ValleyRAT木马实现持久远控。建议员工通过独立渠道核实税务及人事邮件，核对发件地址并警惕措辞异常以防范此类威胁。 综合评分： 83 文章分类： 威胁情报,恶意软件,社会工程学

银狐新攻势携税务主题钓鱼诱饵袭击日本企业

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月28日 13:32 北京

日本的报税季已成为一个名为“银狐”的组织严密的威胁行为者的狩猎场。

随着日本企业进入年度报税、薪资审查和人事变动的周期，该组织充分利用了这一时机，发送高度有针对性的鱼叉式网络钓鱼邮件，这些邮件的设计看起来就像是例行的内部沟通。

该活动目前针对日本各地的制造商和其他各种企业，利用员工自然而然地期待收到有关财务和人事事项的电子邮件的这段时间。

银狐组织至少从 2023 年就开始活跃。该组织最初专注于以讲中文的目标为目标，之后将业务扩展到东南亚、日本，甚至可能扩展到北美，每次行动都使用当地语言。

多年来，该组织的目标涵盖了广泛的行业——金融、医疗保健、教育、游戏、政府，甚至网络安全。

这种广泛的影响力表明，银狐并非只会一种战术；它会根据环境和季节调整策略。

此次针对日本的最新袭击行动延续了去年同期观察到的模式，证实该组织有意选择在可预测的商业周期内发动袭击。

WeLiveSecurity 的分析师发现了这一持续进行的攻击活动，并指出 Silver Fox 发送的电子邮件并非普通的群发邮件。攻击者会事先对每个目标进行侦察，收集员工的真实姓名，甚至包括 CEO 的身份信息，并将其用作伪造的发件人。

每封电子邮件的主题行中都直接包含目标公司的名称，使邮件感觉像是一封合法的内部通知。

邮件主题涉及税务违规、薪资调整、员工持股计划变更和人事更新等话题——这正是员工在这个繁忙季节所期望和信任的信息类型。

这种级别的攻击前研究使 Silver Fox 与低级威胁行为者区别开来，也使其攻击活动更难被发现。

这些电子邮件要么带有恶意附件，要么带有指向网页的链接，指示受害者下载文件。

这些示例分别展示了2026 年 3 月 11 日和 3 月 12 日分发的鱼叉式网络钓鱼电子邮件，以及用于推送恶意下载的与税务相关的诱饵网页。

打开这些文件中的任何一个都会将 ValleyRAT 植入受害者的计算机——这是一种远程访问木马，ESET 产品会将其检测为 Win64/Valley。一旦安装完成，ValleyRAT 就能让攻击者完全远程控制受感染的系统。

攻击的结构

此次攻击活动的感染链虽然简单，但却十分有效。受害者打开恶意文件（通常伪装成工资单或人事文件）后，ValleyRAT 便会在用户不知情的情况下控制系统。

该木马程序随后会在环境中保持持久性，这意味着即使在重启后它也会继续运行，从而使攻击者的访问权限得以长期保持。

这些文件通常通过 gofile[.]io 或 WeTransfer 等公开的文件托管服务进行传输，由于这些都是知名的平台，这又增加了一层欺骗性。

通常使用 RAR 或 ZIP 格式的压缩文件来打包有效载荷，这样收件人就不容易立即察觉到。

为了降低成为此类攻击的受害者的风险，WeLiveSecurity 的研究人员建议员工在采取任何行动之前，通过单独的渠道（例如电话或直接消息）验证任何有关薪资变化、税务处罚或人事更新的电子邮件。

收件人还应检查发件人的电子邮件地址是否与显示的名称相符，因为不匹配是欺骗的常见迹象。

如果电子邮件中的语言感觉异常生硬或正式，员工也应该谨慎，因为 Silver Fox 的客服人员并非以日语为母语，邮件中有时会出现一些细微的措辞错误。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《银狐新攻势携税务主题钓鱼诱饵袭击日本企业》