文章总结： SolyxImmortal是基于Python的Windows信息窃取恶意软件，利用DiscordWebhook静默传输凭据与文档。该程序无需管理员权限即可通过注册表建立持久化，滥用合法服务规避检测，专注于长期隐蔽监控而非破坏。 综合评分： 85 文章分类： 恶意软件,威胁情报,数据安全

基于 Python 的恶意软件 SolyxImmortal 利用 Discord 悄无声息地窃取敏感数据

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月21日 09:03 北京

SolyxImmortal 代表了针对 Windows 系统的信息窃取恶意软件的一项显著进步。

这种基于 Python 的威胁将多种数据窃取功能集成到一个持久性植入程序中，旨在进行长期监视，而不是进行破坏性活动。

该恶意软件在后台静默运行，收集凭据、文档、击键和屏幕截图，同时通过 Discord webhook 将窃取的信息直接发送给攻击者。

它于 2026 年 1 月出现，标志着向更隐蔽的作战模式转变，这种模式优先考虑持续监控而不是快速利用。

攻击途径的核心是将恶意软件分发给目标系统，该恶意软件被打包成一个名为“Lethalcompany.py”的看似合法的Python 脚本。

SolyxImmortal 一旦执行，便会立即通过多种机制建立持久性，并启动后台监控线程。

该恶意软件不会横向传播或自我扩散；相反，它完全专注于从单个受感染的设备中收集数据。

这种专注的方法使攻击者能够在不引起注意的情况下长期监控用户活动。

Cyfirma 分析师认定SolyxImmortal 是一种复杂的威胁，它利用合法的 Windows API 和受信任的平台进行命令和控制通信。

该恶意软件的设计体现了其运营成熟度，强调可靠性和隐蔽性而非复杂性。

攻击者利用 Discord webhook 进行数据传输，利用该平台的信誉和 HTTPS 加密来规避基于网络的检测。

这种技术表明，威胁行为者越来越多地滥用合法服务来隐藏恶意活动。

该恶意软件通过将自身复制到 AppData 目录中的隐藏位置，并将其重命名以使其看起来像合法的 Windows 组件，从而建立持久性。

然后，它会在 Windows 注册表运行项中注册自身，确保每次用户登录时自动执行，而无需管理员权限。

这种方法可以保证系统重启后仍能继续运行。

SolyxImmortal 通过访问多个浏览器的配置文件目录，针对包括 Chrome、Edge、Brave 和 Opera GX 在内的多个浏览器进行攻击。

该恶意软件使用 Windows DPAPI 提取浏览器主加密密钥，然后通过 AES-GCM 加密解密存储的凭据。

恢复的凭证在泄露前以明文格式出现，表明本地安全措施极少。

该恶意软件还会扫描用户的主目录，查找具有特定扩展名（如 .pdf、.docx 和 .xlsx）的文件，并按文件大小筛选结果以避免网络开销，从而收集文档。

所有被盗数据都会被压缩成 ZIP 存档，并传输到攻击者控制的 Discord webhook，从而完成数据盗窃循环。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《基于 Python 的恶意软件 SolyxImmortal 利用 Discord 悄无声息地窃取敏感数据》