文章总结： 银狐组织通过SEO投毒技术分发ValleyRAT恶意软件，创建虚假网站冒充常用软件如MicrosoftTeams、Telegram等，利用特定域名模式如[软件名]cn.com进行伪装。攻击链包括防御削弱、文件伪装、反分析和插件化架构。研究人员通过暴露的管理面板发现该活动，受害者遍及亚洲、欧洲和北美。建议用户警惕非官方下载渠道，安全团队监控相关IOCs如ssl3[.]space和恶意C2IP。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞分析,WEB安全,社会工程学

揭秘银狐组织利用 SEO 投毒分发 ValleyRAT 的攻击活动

原创

mayfly

独眼情报

2025年12月21日 17:12 湖北

银狐后台面板

受害者 ip

1. 概述

在零信任安全模型被广泛推崇的今天，攻击者依然能够通过最基础的疏漏找到突破口。NCC Group 的研究人员近期发现了一个属于攻击组织「银狐」（Silver Fox）的暴露链接管理面板，揭示了该组织正在进行的一场广泛的 SEO 投毒活动 。

该活动利用恶意搜索引擎优化技术，诱导用户下载包含后门的常用软件安装程序，从而分发 ValleyRAT 等恶意软件 。尽管「银狐」被认定为主要针对中国用户的威胁行为体，但其受害者已波及亚洲、欧洲和北美的多个国家 。

2. 威胁行为体：「银狐」（Silver Fox）

2.1 组织背景

「银狐」（亦称 SwimSnake、Void Arachne、Valley Thief 或 UTG-Q-1000）是一个高级持续性威胁（APT）组织，最早出现于 2022 年，并在 2024 年变得高度活跃 。尽管西方网络安全公司将其归类为 APT，但在中国国内，它也被追踪为网络犯罪团伙 。

该组织被认为分为四个子群组运作：

• 金融组
• 新闻与情感组
• 设计与制造组
• 「黑水坑」组

2.2 攻击动机与目标

「银狐」的动机复杂，涵盖了从间谍活动、战略情报收集到经济利益（如加密货币挖掘）和运营破坏 。其受害者主要集中在讲中文的个人和组织，但也已扩展到公共、金融、医疗和技术领域的跨国组织 。

2.3 「伪旗」行动

值得注意的是，在此次活动中，「银狐」采用了「伪旗」策略。通过在文件名中使用西里尔字母，该组织试图模仿俄语威胁行为体，以混淆视听及逃避归因分析 。

3. 攻击载体：SEO 中毒与虚假网站

3.1 暴露的管理面板

研究人员通过一个暴露的链接管理面板（位于 ssl3[.]space）获取了该活动的详细情报 。该面板用于追踪恶意安装程序的下载点击量、受害者 IP 地址及地理位置 。数据显示，该基础设施至少从 2025 年 7 月起就开始活跃 。

3.2 域名伪造模式

「银狐」注册了大量域名来伪装合法软件的官方网站。研究人员总结了其常见的域名抢注模式：

• [软件名]cn.com
• [软件名]-hk.com
• zh-[软件名].com
• cn-[软件名].com

这些域名通常托管在 Cloudflare 上，并在攻击发生前数月就已注册 。

3.3 被冒充的应用程序

通过分析管理面板和相关基础设施，研究人员确认「银狐」冒充了至少 20 种广泛使用的应用程序，包括通信工具、VPN 和生产力软件 。

主要被冒充的软件包括：

• 通信类： Microsoft Teams, Telegram, WeChat (Weixin), DingTalk, Signal, Santiao, YeeChat, CloudChat, Potato, Fantalks 。
• 工具类： ToDesk, AnyDesk, Snipaste, WPS Office, Youdao (有道), Sogou (搜狗输入法)。
• VPN类： OpenVPN, FlyVPN 。

例如，攻击者创建了 teams-zh[.]net 来模仿 Microsoft Teams 的下载页面 。虽然外观与真正的官网不同，但它通过 SEO 技术在搜索结果中占据前列 。

4. 恶意软件分析：ValleyRAT 的感染链

本次活动分发的恶意样本在行为上与 ValleyRAT 及其模块化特性高度一致 。以下以伪装成远程控制软件 ToDesk 的样本（ToDesk_yuancheng_x64.1.3.zip）为例进行分析。

4.1 初始执行与释放

受害者下载并运行 NSIS（Nullsoft Scriptable Install System）安装程序。该程序将内部组件解压到 %TEMP% 目录。

4.2 逃避检测与持久化

• 防御削弱： 安装程序会执行混淆的 PowerShell 命令，利用 Add-MpPreference -ExclusionPath 将 C 盘、D 盘等主要驱动器添加到 Windows Defender 的排除列表中，从而逃避杀毒软件的扫描 。
• 伪装（Masquerading）： 释放名为 Verifier.exe 和 Profiler.json 的文件。尽管后缀为 json，但 Profiler.json 实际上包含了一个嵌入的 DLL 文件，这是一种文件类型伪装技术 。
• 反分析：Verifier.exe 使用 NtSetInformationThread 来隐藏线程，防止被调试器发现 。

4.3 载荷执行

安装程序通过合法的 Windows 工具 rundll32.exe 执行解密后的 DLL 文件（AutoRecoverDat.dll）：

rundll32.exe C:\Users\Admin\AppData\...\AutoRecoverDat.dll, DllRegisterServer 。

该 DLL 使用了商业加壳工具 ENIGMA Protector 进行混淆，增加了逆向工程的难度 。

4.4 命令与控制（C2）

恶意软件执行后，会向 C2 服务器（如 118.107.43.131，位于香港）发起连接 。C2 服务器随后返回包含嵌入式 DLL（VFPower_32.dll）的载荷 。

从内存中提取的字符串（如 PLUGIN_LOAD、PLUGIN_EVENT）表明，该恶意软件采用了插件化架构，这与 ValleyRAT 的模块化设计相符 。

#

5. 结论与建议

5.1 结论

NCC Group 以中等置信度评估，此次利用 SEO 中毒分发的恶意软件与「银狐」组织使用的 ValleyRAT 有关联 。通过暴露的后台面板，研究人员确认了该组织利用广泛的基础设施和伪装技术，精准针对中文用户群体进行大规模监控和入侵 。

5.2 关键 IOCs（入侵指标）

• 管理面板域名：ssl3[.]space
• 恶意 C2 IP：118.107.43.131 (Hong Kong)
• 恶意文件名示例：ToDesk_yuancheng_x64.1.3.zip, Mango.msi, SignulSetup.exe (注意 Cyrillic 字符伪装)

参考：https://www.nccgroup.com/research-blog/black-hole-of-trust-seo-poisoning-in-silver-fox-s-space-odyssey/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 mayfly《