文章总结： SolyxImmortal是一种基于Python的Windows信息窃取恶意软件，伪装成合法脚本Lethalcompany.py进行攻击。该软件通过Discord网络钩子传输数据以规避检测，利用注册表建立持久化，能窃取多款浏览器凭证及特定文档。其设计隐蔽，侧重长期监控而非破坏，展示了威胁行为者滥用合法服务的新趋势。 综合评分： 85 文章分类： 恶意软件,威胁情报,数据泄露,免杀

基于Python的恶意软件SolyxImmortal利用Discord悄然采集敏感数据

原创

O安全研究员 O安全研究员

O安全研究员

2026年1月20日 20:05 广东

SolyxImmortal 代表了针对 Windows 系统的信息窃取恶意软件的显著进展。

这种基于Python的威胁将多种数据盗取能力整合到一个持久的植入体中，设计用于长期监控而非破坏性活动。

该恶意软件在后台静默运行，收集凭证、文档、键盘输入和截图，同时通过Discord网络钩直接向攻击者发送被盗信息。

其于2026年1月的出现标志着向更隐形的作战模式转变，优先考虑持续监控而非快速利用。

攻击途径主要集中在分发恶意软件，包装成一个看起来合法的Python脚本，名为

“Lethalcompany.py”，以攻击系统。

一旦执行，SolyxImmortal 会通过多种机制立即建立持久化，并启动后台监控线程。

该恶意软件不会横向传播或自行传播;相反，它完全专注于从单一被攻破设备中收集数据。

这种聚焦的方法使攻击者能够在不引起注意的情况下，长期监控用户活动。

Cyfirma分析师将SolyxImmortal识别为一种复杂的威胁，利用合法的Windows API和可信平台进行指挥与控制通信。

该恶意软件的设计体现了运营成熟度，强调可靠性和隐蔽性而非复杂性。

通过利用Discord网络钩子传输数据，攻击者利用平台声誉和HTTPS加密规避网络检测。

该技术展示了威胁行为者如何越来越多地滥用合法服务来隐藏恶意活动。

持久化机制与浏览器凭证盗窃

恶意软件通过将自己复制到AppData目录中的隐藏位置，并将其重命名为类似合法Windows组件来建立持久性。

然后它会在Windows注册表运行键中注册自己，确保每次用户登录时自动执行，无需管理员权限。

这种方法保证即使系统重启后也能继续运行。

SolyxImmortal 通过访问多个浏览器的个人资料目录，针对包括 Chrome、Edge、Brave 和 Opera GX 在内的多个浏览器。

该恶意软件利用Windows DPAPI提取浏览器主加密密钥，然后通过AES-GCM加密解密存储的凭证。

恢复的凭证在被撤离前以明文形式显示，显示本地安全措施极为有限。

该恶意软件还通过扫描用户的首页目录，寻找特定扩展名如.pdf、.docx和.xlsx的文件，并按文件大小过滤结果以避免网络负担。

所有被盗的文物都会被压缩成ZIP档案，并传输到攻击者控制的Discord网络钩子，完成了数据盗窃循环。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员 O安全研究员《基于Python的恶意软件SolyxImmortal利用Discord悄然采集敏感数据》