文章总结： 银狐(SilverFox)APT组织近期发起大规模钓鱼攻击，伪造印度、俄罗斯税务机关邮件，以税务核查等名义诱导目标点击恶意PDF链接，首次使用Rust加载器Rustsl与全新Python后门ABCDoor，具备屏幕监控、文件窃取、远程控机等高危能力，已波及多国政府、工业、咨询等行业。建议用户不点击可疑邮件附件、加固系统并监控异常进程。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞预警,社会工程学,应急响应

---

紧急预警！银狐Silver Fox 伪造税务公文全球撒网，全新 ABCDoor 后门潜伏，目标直指俄、印多国机构

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年5月14日 12:00 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年4月30日，卡巴斯基官方披露了一场跨国定向攻击浪潮：活跃已久的 APT 组织 Silver Fox（银狐） 近期发动大规模钓鱼行动，假冒印度、俄罗斯税务机关，以「税务核查」「违章清单」「退税通知」为诱饵，在全球范围内投递恶意软件。

更危险的是，攻击者在此次行动中首次公开使用自研 Rust 加载器 RustSL与全新 Python 后门 ABCDoor，隐蔽性极强，可长期潜伏、屏幕监控、文件窃取、远程控机，已波及工业、咨询、零售、交通等多个领域，短短两个月就拦截超 1600 封恶意邮件。

这场攻击不再是小范围试探，而是一场国家级水准、跨地域、模块化的精准猎杀。

一、攻击套路曝光：伪造税务邮件，骗过90%员工

Silver Fox 本次钓鱼堪称社会工程学天花板，精准抓住「公务邮件不敢不看」的心理：

1. 针对印度：假冒印度税务局 ITD

邮件标题：税务审计、公司抽查、未申报收入核查

附件：ITD.-.rar 压缩包，内含 Click File.exe

诱饵文案：要求10日内提交报表，逾期将依法处罚

甚至提示：打不开请暂时关闭杀毒软件（典型诱骗话术）

2. 针对俄罗斯：假冒联邦税务局 ФНС

邮件标题：2026税务检查、企业违章清单

附件PDF内藏恶意下载链接

点击自动下载 фнс.zip，释放恶意程序

最狡猾的点：

恶意程序不直接放附件，而是藏在PDF里的下载链接，轻松绕过邮件网关。

二、武器库全面升级：RustSL + ValleyRAT + ABCDoor 三重杀招

本次攻击是 Silver Fox 有史以来技术最完整、模块化最强的一次作战。

1. 第一阶段：RustSL 加载器（免杀利器）

基于 GitHub 开源 Rust 远控框架二次开发

内置 13种沙箱/虚拟机检测

支持 8种 payload 加密

新增 steganography.rs 解包模块

新增 guard.rs 国家白名单限制（只在俄印等国运行）

使用 Phantom Persistence 幽灵持久化（劫持系统重启）

简单说：能查你在哪国、能躲沙箱、能绕过杀软、能开机自启。

2. 第二阶段：ValleyRAT（Winos 4.0）老牌远控

这是 Silver Fox 祖传武器，用于：

指令下发

模块加载

持久化驻留

作为跳板下载后续恶意软件

3. 第三阶段：全新 ABCDoor 后门（真正威胁）

这是本次攻击最危险的杀手锏，卡巴斯基命名：ABCDoor。

它的特点：

基于 Python + Cython 编译，隐蔽运行

依托 pythonw.exe 无窗口后台执行

模拟合法 VPN 服务 Tailscale 路径藏匿

自带屏幕广播、多显示器捕获、键鼠控制、文件加密、剪贴板窃取

使用 ffmpeg 偷偷录屏、监控桌面

支持自我更新、自我删除，痕迹极少

一句话总结：

一旦中招，你的屏幕、文件、账号、摄像头全在对手掌控中。

三、攻击链完整还原：从点开到中招只需10秒

1. 收到假冒税务邮件 → 打开PDF

2. 点击链接下载压缩包

3. 运行 exe → 启动 RustSL 加载器

4. 解密释放 Shellcode → 加载 ValleyRAT

5. 加载插件 保86.dll

6. 下载巨大压缩包（含完整Python环境）

7. 释放并启动 ABCDoor

8. 注册开机启动、计划任务，实现永久潜伏

9. 开始录屏、窃密、控机、泄露文件

四、目标范围扩大：已新增日本，下一个是谁？

本次行动明确覆盖：

印度

俄罗斯

印度尼西亚

南非

柬埔寨

日本（2026年1月新增）

攻击行业包括：

政府/税务关联机构

工业制造

咨询、法律、财务

零售、物流、运输

凡是处理税务、合同、财务、公章、内部系统的岗位，都是高危目标。

五、普通人/企业如何防御？（最关键）

1. 邮件三不原则

不点开陌生「税务、审计、合同、账单」附件

不点击PDF里的陌生下载链接

不信「请关闭杀毒软件」的任何提示

2. 系统加固

禁止 PowerShell/CMD 无签名脚本执行

开启应用白名单，禁止 %AppData% 目录陌生程序运行

监控计划任务、开机启动项异常新增

3. 重点监控行为

进程出现 pythonw.exe、curl、PowerShell 自动下载

访问 abc.haijing88[.]com 等恶意域名

读取屏幕、调用摄像头、ffmpeg 悄悄录屏

六、结语：APT 已下沉，普通机构不再安全

Silver Fox 本次攻击释放了一个明确信号：

高级威胁不再只针对军工、大国企，而是全面下沉到财税、教育、医疗、中小企业。

一封看似正常的税务邮件，就能让整个公司沦陷。

后门潜伏数月、数据被悄悄掏空，你甚至不知道发生过什么。

请立刻转发给财务、行政、人事、管理层，

警惕所有来自「税务局」的邮件与附件——你点开的不是公文，可能是国家级后门。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警！银狐Silver Fox 伪造税务公文全球撒网，全新 ABCDoor 后门潜伏，目标直指俄、印多国机构》