文章总结： 安天集团发布威胁通缉令，维持游蛇（银狐）黑产团伙高危评级。该团伙主要通过SEO投毒、钓鱼邮件及伪装软件下载站投放木马，利用白加黑技术与即时通讯软件扩散，实施诈骗与窃密。其变种数量庞大且免杀技术迭代迅速，威胁严重。安天CERT持续追踪发布报告，提供AVLSDK查杀与专项排查工具，建议用户及时排查并部署终端防御系统。 综合评分： 82 文章分类： 威胁情报,恶意软件,终端安全

威胁通缉令 · 梅花A丨游蛇/银狐（保持）

安天集团

2026年3月2日 18:50 北京

点击上方”蓝字”

关注我们吧！

最新版“病毒通缉令”已在计算机病毒分类命名百科同步更新：https://www.virusview.net/virusWantedOrder

今日推送：梅花A丨游蛇（银狐），牌面情况：保持（花色和点数与上一年度相同）

病毒名称：Trojan/Win32.SwimSnake

发现时间：2022

检测规则首次添加至AVL SDK反病毒引擎病毒库时间：2022-08-01

简介：‌“游蛇”黑产团伙，其他安全企业又称“银狐”、“谷堕大盗”等，主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装成常用软件下载站、进行搜索引擎SEO投毒以及大量发送钓鱼邮件等方式实施投放。在载荷执行阶段，其常使用“白加黑”方式执行，并通过即时通讯软件（微信、企业微信等）进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗，同时也对受感染主机形成窃密能力，可能进行数据贩卖等其他活动。其传播的恶意文件具有变种数量庞大、免杀技术迭代迅速等特点，攻击目标涉及大量个人用户与多个行业领域，构成广泛而严重的威胁。

安天CERT持续追踪相关攻击技战术，累计发布18篇相关分析报告。安天AVL SDK反病毒引擎可对其进行查杀，安天智甲终端防御系统（IEP）等相关安全产品持续迭代升级对抗能力。用户可以在安天垂直响应平台（https://vs2.antiy.cn）中下载使用“游蛇（银狐）”专项排查工具排查此类威胁。

安天针对“游蛇（银狐）”威胁历史报告清单

[1] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析

[2] 利用云笔记平台投递远控木马的攻击活动分析

[3] 利用云笔记平台投递远控木马的黑产团伙分析

[4] “游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析

[5] “游蛇”黑产团伙近期钓鱼攻击活动分析

[6] “游蛇”黑产团伙利用微信传播恶意代码的活动分析

[7] “游蛇”黑产团伙专题分析报告

[8] “游蛇”黑产团伙针对财务人员及电商客服的新一轮攻击活动分析

[9] “游蛇”黑产近期攻击活动分析

[10] “游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析

[11] 钓鱼下载网站传播“游蛇”威胁，恶意安装程序暗藏远控木马

[12]“游蛇”黑产攻击肆虐，速启专项排查与处置

[13]“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马

[14] “游蛇（银狐）”黑产最新变种攻击活动

[15] 游蛇（银狐）黑产传播与技战术持续追踪：仿冒FinalShell管理软件的攻击手法分析动

[16] “游蛇（银狐）”黑产密集仿冒各类流行应用：WPS下载站打假专辑

[17] 收到此类文件立刻删除！避免落入“游蛇”圈套

[18]多层隐匿载荷解密与驱动级致盲对抗手法分析丨游蛇（银狐）技战术追踪

往期推荐:

“威胁通缉令”年度更新！

安天历年发布的威胁通缉令，今天正式在计算机病毒百科网站上线

多层隐匿载荷解密与驱动级致盲对抗手法分析丨游蛇（银狐）技战术追踪

智甲EDR“下载增强防护”，让游蛇（银狐）跑不起来

视频揭秘入选“十四五”硬核科技成果的反病毒引擎

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天集团 《威胁通缉令 · 梅花A丨游蛇/银狐（保持）》