文章总结： 银狐组织通过伪装成税务通知的钓鱼邮件在印度和俄罗斯传播ABCDoor恶意软件，攻击链涉及RustSL加载器绕过检测并部署ValleyRAT后门，采用地理围栏和幻影持久化技术针对多行业企业，建议加强钓鱼邮件防范和系统监控。 综合评分： 81 文章分类： 恶意软件,威胁情报,漏洞分析,WEB安全,渗透测试

银狐通过税务主题钓鱼攻击在印度和俄罗斯部署 ABCDoor 恶意软件

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月5日 09:00 湖北

在小说阅读器读本章

去阅读

导读

“银狐”网络犯罪集团已被关联到一项新的攻击活动，该活动针对俄罗斯和印度，使用了一种名为 ABCDoor 的新型恶意软件。此次活动涉及发送伪装成印度所得税部门在2025年12月发出的邮件的钓鱼邮件，随后又发起针对俄罗斯实体的类似活动。

卡巴斯基表示： “这两波攻击的结构几乎完全相同：钓鱼邮件伪装成税务审计的官方通知，或者诱导用户下载包含‘税务违规清单’的压缩包。压缩包内包含一个从公共代码库中提取的、基于Rust的修改版加载器。该加载器会下载并执行臭名昭著的ValleyRAT后门程序。”

据估计，此次网络钓鱼活动影响了工业、咨询、零售和运输等多个行业的企业。1月初至2月初期间，共检测到1600多封钓鱼邮件。

这些网络钓鱼攻击的显著特点是引入了一种新的ValleyRAT插件，该插件会加载一个此前未被记录的、基于Python的后门程序，该后门程序代号为ABCDoor。

卡巴斯基称，该后门程序至少从2024年12月19日起就已存在于攻击者的武器库中，并于2025年2月或3月开始用于网络攻击。

攻击链的起点是一封包含PDF文件的钓鱼邮件，该PDF文件包含两个可点击的链接，指向托管在“abc.haijing88[.]com”上的ZIP或RAR压缩包的下载。在2025年12月检测到的攻击活动中，恶意代码据称直接嵌入在邮件附件中。

该压缩包内包含一个模拟 PDF 文件的可执行文件。该二进制文件是名为RustSL 的开源 shellcode 加载器和反病毒绕过框架的修改版本。Silver Fox 首次使用 RustSL 的记录可以追溯到 2025 年 12 月下旬。

Silver Fox RustSL 变种的最终目标是解压缩加密的恶意载荷，同时利用基于国家/地区的地理围栏和环境检查来检测虚拟机和沙箱。GitHub 版本仅包含中国，而定制版本则包含印度、印度尼西亚、南非、俄罗斯和柬埔寨。

已发现一种加载器变种采用了一种名为“幻影持久化”（Phantom Persistence ）的新技术，用于在受感染的主机上建立持久性。该技术最早于2025年6月被记录在案。

卡巴斯基解释说：“这种方法滥用了应用程序为确保更新需要重启才能完成安装过程而设计的功能。攻击者拦截系统关机信号，阻止正常的关机过程，并以恶意软件更新为幌子触发重启。因此，加载程序会强制系统在操作系统启动时执行该更新。”

RustSL 加载的加密有效载荷会导致下载加密的 ValleyRAT（又名 Winos 4.0）恶意软件，其中核心组件（“login-module.dll_bin”）负责命令与控制 (C2) 通信、命令执行以及检索和执行其他模块。

在第二次地理围栏检查之后，作为攻击的一部分部署的自定义模块之一是 ABCDoor，它通过 HTTPS 联系外部服务器并处理传入的消息，以实现持久性、处理后门更新和删除、收集屏幕截图等数据、启用远程鼠标和键盘控制、执行文件系统操作、管理系统进程以及窃取剪贴板内容。

截至2025年11月，Silver Fox仍被发现使用JavaScript加载器传播ABCDoor恶意软件。该加载器通过自解压（SFX）压缩包分发，这些压缩包被打包在ZIP压缩包中，很可能是通过钓鱼邮件发送的。此后，RustSL的更新版本已将传播范围扩大到日本。

印度、俄罗斯和印度尼西亚检测到的攻击数量最多，其次是南非和日本。已发现的大多数加载器样本都使用了与税务相关的诱饵来模仿感染序列。

S2W表示： “自2024年以来，‘Silver Fox（银狐）’已发展成为一种双轨运作模式，同时开展有利可图的大规模机会主义活动和间谍活动。该组织早期以中国为攻击目标，但后来将其行动范围扩大到台湾和日本。”

“银狐组织主要利用高度定制化的鱼叉式网络钓鱼技术进行初始渗透，部署复杂多样的攻击方案，以应对目标国家的季节性问题和目标的工作特点。”

技术报告：

https://securelist.com/silver-fox-tax-notification-campaign/119575/

新闻链接：

https://thehackernews.com/2026/05/silver-fox-deploys-abcdoor-malware-via.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 银狐通过税务主题钓鱼攻击在印度和俄罗斯部署 ABCDoor 恶意软件

“银狐”网络犯罪集团已被关联到一项新的攻击活动，该活动针对俄罗斯和印度，使用了一种名为 ABCDoor 的新型恶意软件。此次活动涉及发送伪装成印度所得税部门在2025年12月发出的邮件的钓鱼邮件，随后又发起针对俄罗斯实体的类似活动。

🔗https://thehackernews.com/2026/05/silver-fox-deploys-abcdoor-malware-via.html

2. 钓鱼攻击利用 SimpleHelp 和 ScreenConnect RMM 工具袭击 80+ 个组织

一个活跃的钓鱼活动自2025年4月至少以来已被观察到，针对多个攻击向量，使用合法的远程监控和管理（RMM）软件作为在被入侵主机上建立持久化远程访问。该活动代号为VENOMOUS#HELPER，据Securonix称，已影响超过80家组织，其中大多数位于美国。

🔗https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.html

3. 破解代码：多阶段“行为准则”钓鱼活动导致AiTM令牌泄露

微软防御研究团队观察到一个大规模的凭证窃取活动，这体现了这一趋势，该活动使用了以行为准则为主题的诱饵、多步骤攻击链，并利用合法电子邮件服务从攻击者控制的域名发送经过认证的邮件。

🔗https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

一般威胁事件

General Threat Incidents

1. npm 供应链攻击通过被入侵的包传播窃取开发者密钥的蠕虫恶意软件

网络安全社区对发现针对npm平台的新供应链威胁感到担忧，该威胁通过自我复制的恶意代码渗透到公共软件库中，以从开发者那里窃取机密信息。这次攻击特别针对特定的开发环境。

🔗https://www.cysecurity.news/2026/05/npm-supply-chain-attack-spreads-worm.html

2. ShinyHunters 在大规模数据泄露中针对 Instructure，影响数百万用户

Instructure在ShinyHunters勒索集团将其公司列在其数据泄露网站后，正式披露了该安全事件。

🔗https://www.cybermaterial.com/p/shinyhunters-targets-instructure

3. 新型 MicroStealer 恶意软件积极攻击电信和教育行业

一种名为 MicroStealer 的新型信息窃取恶意软件已悄然进入威胁环境，并已显示出令人担忧的传播范围。

🔗https://cybersecuritynews.com/new-microstealer-malware-actively-attacking/

4. “合法”钓鱼：攻击者如何利用亚马逊 SES 逃避邮件安全防护

卡巴斯基专家剖析了一种新的钓鱼方案，该方案使用了亚马逊 SES 云邮件服务。

🔗https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/

5. DigiCert 通过利用恶意屏幕保护程序文件入侵以获取 EV 代码签名证书

一个复杂的威胁行为者于2026年4月初通过欺骗支持分析人员执行伪装成恶意屏幕保护程序的文件，入侵了DigiCert的内部支持环境，最终获得了用于分发“Zhong Stealer”恶意软件家族的被盗EV代码签名证书。

🔗https://cybersecuritynews.com/digicert-hacked-screensaver/

漏洞事件

Vulnerability Incidents

1. Apache MINA 漏洞允许远程代码执行攻击

Apache MINA项目已发布紧急安全更新，以解决两个关键漏洞，这些漏洞可能允许攻击者在受影响的系统上执行任意代码。依赖此网络应用框架的开发人员被强烈建议立即更新其软件，以保护其环境免受潜在利用。

🔗https://cybersecuritynews.com/apache-mina-vulnerabilities/

2. 关键 MOVEit Automation 身份验证绕过漏洞已修复（CVE-2026-4670）

Progress Software 已修复 MOVEit Automation 中的一个关键身份验证绕过漏洞（CVE-2026-4670）和一个权限提升漏洞（CVE-2026-5174），利用这些漏洞“可能导致未经授权的访问、管理控制和数据泄露”。这些漏洞由空中客车公司研究人员私下报告，目前未提及攻击者在野外利用这些漏洞。

🔗https://www.helpnetsecurity.com/2026/05/04/critical-moveit-automation-auth-bypass-vulnerability-fixed-cve-2026-4670/

3. CISA警告：Linux内核Copy Fail漏洞在攻击中被利用

美国网络安全和基础设施安全局（CISA）已将一个关键的Linux内核零日漏洞添加到其已知被利用漏洞（KEV）清单中，警告全球联邦机构和组织立即修补或停止使用受影响的系统。该漏洞编号为CVE-2026-31431，代号为“Copy Fail”，其CVSS评分为7.8（高危）。

🔗https://cybersecuritynews.com/linux-kernel-0-day-vulnerability-exploited/

4. 黑客大规模利用 cPanel 漏洞以控制数千个网站

在公开了流行网络托管软件cPanel和WHM中的一个关键漏洞几天后，黑客现在正在针对并入侵成千上万的易受攻击的网站。

🔗https://techcrunch.com/2026/05/04/hackers-are-still-exploiting-the-cpanel-bug-to-gain-control-of-thousands-of-websites/

5. 黑客通过关键 cPanel 漏洞 CVE-2026-41940 针对政府和托管服务提供商进行攻击

攻击者利用一个关键的cPanel漏洞，针对东南亚以及包括美国和加拿大在内的多个国家的政府和MSP网络发起攻击。一个威胁组织正在利用关键的cPanel漏洞CVE-2026-41940，针对东南亚的政府和军事组织，以及菲律宾、老挝、加拿大、韩国等国家的托管服务商。

🔗https://securityaffairs.com/191666/breaking-news/hackers-target-governments-and-msps-via-critical-cpanel-flaw-cve-2026-41940.html

6. 微软 Defender 漏洞导致 DigiCert 证书触发错误恶意软件警报

微软修复了一个将合法的DigiCert证书标记为恶意软件的 Defender 错误，导致一些IT团队的Windows信任存储出现中断。

🔗https://www.techrepublic.com/article/news-microsoft-defender-digicert-certificates-false-positive/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《银狐通过税务主题钓鱼攻击在印度和俄罗斯部署 ABCDoor 恶意软件》