文章总结： 银狐黑产团伙近期升级AtlasCrossRAT木马，通过高仿域名钓鱼和窃取EV证书进行投递。攻击链采用白加黑侧加载+内存无文件执行技术，核心免杀手段包括内置PowerChell框架绕过AMSI/ETW监控、ChaCha20硬件随机数加密通信、精准切断国产杀软云连接。威胁范围从国内扩展至亚洲多国，建议企业收敛员工权限、部署EDR行为监控并加强安全意识培训。 综合评分： 87 文章分类： 恶意软件,漏洞分析,威胁情报,红队,安全意识

硬核拆解！从钓鱼到内存加载，黑产“银狐”全新免杀木马AtlasCross底层逻辑分析

原创

Kit Chung Kit Chung

安全圈动向

2026年4月1日 10:42 广东

最近在安全圈子里，有个老熟人又开始疯狂“作妖”了。如果你一直在关注国内的安全动态，对“银狐”（Silver Fox）这个名字绝对不会陌生（也有人叫它SwimSnake、Valley Thief 或者 Void Arachne）。这个专盯咱们中文用户的黑产团伙，最近把他们的武器库做了一次史诗级升级。

德国安全厂商 Hexastrike 上周刚刚披露了一份报告，指出银狐正在疯狂投递一个全新的、以前从未被记录过的远控木马——AtlasCross RAT。

今天，我们就来盘一盘这个新木马。咱们不整虚的，直接从底层原理、攻击链路和免杀难点进行硬核拆解，看看这帮黑灰产又搞出了什么“骚操作”。

🎣 01. 广撒网：高仿域名的“钓鱼局”

咱们先看入口点。这次银狐没有搞什么高深莫测的零日漏洞，而是玩起了最经典也是最致命的一招：Typosquatting（域名拼写错误钓鱼）。

他们伪造了大量知名软件的官网，而且非常了解国内IT打工人的日常生态。中招的重灾区包括：VPN客户端（如Surfshark、QuickQ）、加密通讯软件（Telegram、Signal）、会议工具（Zoom、Teams）甚至包括电商客服软件和加密货币钱包（Trezor）。

我查了一下他们用来下发的恶意域名，绝大多数都是在 2025年10月27日 这一天集中批量注册的，有备而来啊！给大家列几个感受一下：

• app-zoom.com (伪造 Zoom)
• signal-signal.com (伪造 Signal)
• telegrtam.com.cn (注意看拼写，伪造 Telegram)
• kefubao-pc.com (伪造 客服宝)

技术痛点解析： 更有意思的是，他们给所有带有恶意Payload的安装包，都打上了同一个偷来的EV（扩展验证）代码签名证书。这个证书属于越南河内的一家合法公司（DUC FABULOUS CO.,LTD）。在黑灰产生态里，复用这种高信誉度证书来给恶意代码“镀金”，直接就能绕过很多基于证书信誉的静态查杀机制。

⛓️ 02. 攻击链路重现：从ZIP到内存驻留

好，假设有个倒霉蛋下载了伪造的安装包（通常是个ZIP压缩包），接下来会发生什么？这里的执行链（Attack Chain）非常值得咱们技术人学习和防范。

1. 白加黑/侧加载执行

   用户运行安装程序后，它会在释放合法软件（让你以为安装成功了）的同时，悄咪咪丢出一个被木马化的 Autodesk 二进制文件。

2. Shellcode Loader 起步

   这个被感染的 Autodesk 程序运行后，会拉起一个 Shellcode 加载器。

3. 配置解密与C2上线

   加载器首先会在本地解密出一段硬编码的、基于早期 Gh0st RAT 变种的配置信息，拿到 C2（控制端）服务器的地址。

4. 二段网络拉取

   紧接着，它通过 TCP 协议连接到 bifa668[.]com 的 9899 端口，下载第二阶段的 Shellcode Payload。

5. 内存无文件执行

   最后一步，将 AtlasCross RAT 直接在内存中加载执行，全程不落地，完美避开传统杀软的磁盘扫描。

😈 03. 核心剖析：AtlasCross RAT 的“黑科技”

既然说它是银狐武器库的“进化版”，从早期的 ValleyRAT（Winos 4.0）一路魔改过来，AtlasCross 到底牛在哪里？我总结了三个让防护方非常头疼的技术点：

💡 绝招一：内置 PowerChell 框架，暴力降维打击

这也是我个人觉得最秀的地方。咱们平时对抗 PowerShell 恶意脚本，主要靠 AMSI（反恶意软件扫描接口）、ETW（事件跟踪）或者限制语言模式。

但 AtlasCross 根本不按套路出牌！它自带了一个叫 PowerChell 的原生 C/C++ PowerShell 执行引擎，直接在木马进程中托管 .NET CLR。在执行任何恶意命令之前，它会从底层直接干掉/禁用 AMSI、ETW、受限语言模式和 ScriptBlock 日志记录。这相当于把保安的对讲机和监控探头全砸了再作案。

💡 绝招二：硬件级随机数的 ChaCha20 加密

在流量侧，它的 C2 通信使用的是 ChaCha20 加密算法。关键在于，它的每个数据包的随机密钥，都是通过硬件 RNG（随机数生成器）生成的。这就导致我们在做流量审计和特征提取时，极难抓到固定特征，传统的 IDS/IPS 规则几乎瘫痪。

💡 绝招三：精准制导的进程对抗，弃用 BYOVD

很多高级木马喜欢用 BYOVD（自带脆弱驱动）技术来干掉杀软。但这招现在被盯得很紧。 AtlasCross 换了玩法。对于国内主流的安全产品（如 360、火绒、金山、QQ电脑管家），它采取了主动的 TCP 级别连接终止。我不杀你的进程，但我切断你与云端查杀/更新服务器的连接，直接让云查杀变成瞎子。 此外，它还具备针对微信的定向 DLL 注入以及 RDP 会话劫持功能，摆明了就是要偷你的聊天记录和远程控制权限。

🌍 04. 威胁情报速递：不只是国内，剑指亚洲

目前，除了国内市场，安全公司 Sekoia 和 ESET 的情报显示，银狐正在把手伸向整个亚洲（日本、马来西亚、菲律宾、泰国、新加坡、印度等）。

他们的战术非常灵活，可以说是“广撒网”与“精打猎”的双轨制模式：

• 针对普通用户

  利用伪造的 RMM 工具（比如某国内合法的远控监控软件 SyncFuture TSM），或者把 Python 窃密软件伪装成 WhatsApp 满世界乱发。

• 针对企业（APT式攻击）

  开始使用税务合规、薪资调整、员工持股等极其逼真的话术作为诱饵，向制造企业的财务、管理层发送带有木马的钓鱼邮件。一旦攻陷一台，就会利用 ValleyRAT 或 AtlasCross 进行内网横向移动。

📝 工程师的防线

从技术角度看，AtlasCross RAT 代表了黑产技术的一次重要迭代。从 Gh0st 协议的基础，加上 PowerChell 的免杀框架，再到精准绕过国产杀软的逻辑，都在提醒我们：现在的黑灰产，技术实力绝对不容小觑。

作为 IT 和安全运维人员，我们能做什么？

1. 收敛员工权限

   非必要不给本地管理员权限，软件安装必须走统一分发平台。

2. 强化终端监控

   不能只依赖基于签名的查杀，必须上基于行为监控的 EDR，重点关注异常的内存注入和 PowerShell 调用链。

3. 安全意识培训

   今天咱们讲的各种绕过技术，源头其实仅仅是用户点错了一个拼写错误的域名。

技术对抗是没有尽头的。 希望今天的拆解能给大家带来一些新的攻防启示。

如果你觉得这篇文章够硬核，欢迎点赞、在看、转发给你的技术群友们！

大家在日常运维中遇到过哪些奇葩的远控木马？咱们留言区见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《硬核拆解！从钓鱼到内存加载，黑产“银狐”全新免杀木马AtlasCross底层逻辑分析》