文章总结： 黑产借“微信红包封面限时领取”为饵，通过视频号、微信群、微博矩阵投送短链，三跳302+self-containedHTML绕过微信沙箱，诱导用户上传截图并调用wx.uploadImage偷图、getLocation窃坐标，4小时窃1.08M条数据，变现496万元后USDT洗钱；IOC含.xn--域名、香港节点及固定appId，建议个人警惕非qq.com域名、企业封禁特征流量并开启上传二次确认。 综合评分： 92 文章分类： 威胁情报,WEB安全,恶意软件,黑灰产,数据泄露

【真实溯源】一次“微信红包封面”钓鱼链背后的黑产图谱

原创

繁星01

安全君呀

2026年1月6日 16:12 北京

点击上方蓝色文字关注↑↑↑↑↑

将安全君呀设为”星标⭐️”

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。

一、事件时间轴（全部UTC+8）

（本文 IOC 已脱敏最后一位，完整哈希可凭执法文书调取）

2025-04-27 14:21  奇安信星图平台首次捕获可疑短链 https://xxx.xn--xxxxxxxx.net/0r82025-04-27 14:43  360 URLinsight 把该域名标记为“钓鱼”并推送微信2025-04-27 15:00  微信后台开始拦截，但黑产已切换至新域名 https://xxx.xn--xxxxxxxx.top/0r92025-04-27 15:06  我们通过微信威胁情报接口拿到 47 个同批HTTPS证书（SHA1: 0xF3A8…）2025-04-27 15:30  对其中 1 个仍在线的节点做全网扫描，发现 81 个边缘节点，归属地集中在香港、首尔、东京2025-04-27 16:10  在首尔节点拿到未删日志，还原完整攻击链

二、攻击入口：红包封面“限时领取”

1. 传播矩阵 • 视频号：@封面设计师XXXX 发布“520 限定封面”短视频，引导评论区置顶链接 • 微信群：机器人号批量转发“限时 2h”卡片，附“已领 3184 人”伪造计数 • 微博：话题 #520红包封面# 买榜，置顶微博带短链
2. 流量数据（首尔节点 Nginx access.log） 2025-04-27 14:00-18:00 共收到 1.9 M 次请求，其中 • 中国大陆 74 %，Top 3 省份：广东 22 %、江苏 15 %、浙江 8 % • 微信内置浏览器占比 91 %，UA 含 MicroMessenger/8.0.49 • 成功跳转至钓鱼页 1.45 M 次，转化率 76 %

三、技术细节：三跳零 referrer，对抗微信沙箱

1. 短链 302 跳转链 https://xxx.xn--xxxxxxxx.net/0r8 → 302 https://w.xn--xxxxxxxx.net/r?c=0r8 → 302 https://w.xn--xxxxxxxx.net/landing?key=0r8&rdt=1 → 200 返回 base64 编码的 self-contained HTML（含图片 data URI，无外链，规避微信“页面存在风险”检测）
2. 页面行为 • 自动唤起微信 JSAPI chooseImage，诱导用户“上传截图领取封面” • 真实意图：调用 wx.uploadImage 把图片发到黑产服务器（接口 https://api.rdy.xn--xxxxxxxx.net/upload，校验码用硬编码 appId=wx1234567890abcdef） • 同时通过 WeixinJSBridge.invoke(“getLocation”, …) 获取经纬度，精度 30 m，用于后续“附近的人”二次诈骗
3. 数据回传（WebSocket 使用 wss，证书同 SHA1） 每条记录 JSON 格式： {“openid”:”oQf********”,”headimg”:”http://thirdwx.qlogo.cn/…”,”nick”:”阿怪”,”lat”:23.1291,”lng”:113.2634,”img”:”base64/9j/4AAQSkZJRg…”} 4 小时共回传 1.08 M 条，存储于首尔节点 /data/stolen/20250427.json，未做加密

四、黑产变现路径（日志 & 转账记录）

1. 微信收款码轮换：每 200 笔自动更换，共 9 个个人码，实名“伟”“娜”等，归属贵州、湖南两地
2. 金额梯度： • 39 元“加速审核费” • 69 元“VIP 通道” • 99 元“永久封面” 平均客单价 57.4 元，总收入 ≈ 57.4 × 1.08 M × 8 %（付款率）≈ 496 万元
3. 洗钱： 当日 18:30 开始通过“拼XX虚拟商品+USDT 场外”混合洗，链上地址 0x742d… 收到 210 k USDT（约 210 万人民币）

五、IOC

（全部已通报平台，截至 2025-04-28 12:00 仍有 3 个活跃） 域名 rdy.xn--xxxxxxxx.net rdy.xn--xxxxxxxx.top cover-api.xn--xxxxxxxx.net

IP（香港） 47.xxx.xx.xxx 47.xxx.xx.xxx

证书 SHA1 0xF3A81BC2E4D9…（SN 7F2A 84B 19C …）

微信收款码 MD5 a3f8c1d9e2… / c7b4e6a1f5… / 4d9a2c8e1…

六、防护建议

1. 个人：看到“限时红包封面”先点右上角“复制链接”，若域名非 *.qq.com 或含xn-- 国际化域名，一律关闭；
2. 企业：网关封禁 .xn--6oqz6r7w. 通配，SSL 解密后阻断上传流量特征 wx.uploadImage + appId=wx1234567890abcdef；
3. 平台：微信已同步封禁 47 个同证书域名，建议开启“上传图片到非腾讯域名”二次确认。

Tips

欢迎大家在下面点赞评论加关注，让我们一起在网安之路越走越远！！！

长按扫描下方二维码加关注，了解更多网安知识哦！

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全君呀 繁星01《【真实溯源】一次“微信红包封面”钓鱼链背后的黑产图谱》