文章总结： SilverFox（又名虚空蛛）是一个自2022年起持续活跃的威胁组织，其攻击活动呈现出从经济利益向间谍活动转型的趋势。该组织在2025-2026年间的攻击手法不断演变：初期利用恶意PDF传播ValleyRAT；随后转向滥用合法的远程监控管理（RMM）工具；近期则开始使用伪装成WhatsApp应用的Python窃取程序。其攻击目标主要是中国及南亚地区的个人和实体，诱饵主题多模仿国家税务机关或薪资单等文件。该组织采用模块化的恶意软件框架，并能快速调整其基础设施和规避技术，以同时开展复杂的APT式攻击和广泛的机会主义网络犯罪活动。 综合评分： 95 文章分类： 恶意软件,威胁情报,漏洞分析,渗透测试,网络安全

---

诱饵主题和信息

这封邮件来自一个看起来很正规的邮箱地址，似乎属于中国台湾新竹国立清华大学。然而，在Have I Been Pwned数据库中快速查询后发现，该邮箱地址曾被泄露，这表明它可能已被劫持。

邮件各部分的翻译如下：

来源：“国家税务总局”

致：“官方网站外部使用”

主题：“涉嫌税务审计公司名单”

附件文件名：“税务稽查涉及公司名单.pdf”

邮件正文是：“请将此邮件转发给贵公司财务主管，以便其收集文件。”

这封邮件篇幅简短，旨在引发收件人的恐惧或好奇。然而，邮件中存在几处疑点。虽然邮件内容冒充国家税务机关，但发件人地址却与一所中国台湾大学相关联。这种政府诱饵与学术机构发件人之间的不匹配，再加上邮件内容指向私营部门，表明此次活动很可能是机会主义的，或者至少目标范围很广。

这份PDF文件是中国台湾财政部发布的关于113年（公历2024年）税务审计抽查结果的公告。公告解释了抽查方法，并强调审计指标基于往年数据，包括违法行为。公告鼓励企业进行内部审查和自查，为可能的审计做好准备。

2025 年 4 月，发现该活动范围扩大，目标也包括日本实体。

第二波：RMM 的转变

2025年12月中旬，观察发现了一种新的“银狐”网络攻击行动。该行动的特点是目标范围更广，包括马来西亚、菲律宾、泰国、印度尼西亚、新加坡和印度的实体。这种新版本可能更符合典型的以盈利为目的的攻击模式。

与第一次攻击相比，Silver Fox 利用其现有基础设施的一部分，包括几个已知域名，开展了一次规模更大的网络钓鱼攻击。基于这些入侵指标 (IoC)，攻击者得以迅速转移到新的基础设施上。最新的基础设施在服务器托管方面进行了审查和简化。该攻击者保留了几个已注册的旧域名，用于继续传播其恶意软件，值得注意的域名包括：[域名1]、[域名2]googlevip[.]icu和oytdwzz[.]shop[域名3]yvxyngw[.]cn。

攻击者最初使用钓鱼邮件进行攻击，邮件内容模仿了目标受害者所在国家税务机构的沟通风格。与最初直接在邮件中嵌入PDF文件的攻击不同，新版本将指向虚假税务钓鱼网站的链接嵌入邮件正文中。邮件内容经过精心设计，旨在诱使受害者访问该网站并下载文件。

自 2026 年起，该文件一直是一个压缩文件，可能是ZIP 文件或RAR 文件。该压缩文件包含一个 PE32+ 可执行文件。

所述，该可执行文件是一款合法的中国远程监控管理（RMM）工具。该二进制文件由“SyncFutureTec Company Limited”进行数字签名。通过VirusTotal上的PE签名指纹，并筛选父进程为压缩文件的情况，可以识别出其他样本。与释放RMM工具的压缩文件相关的哈希列表可在signature:F9EAAB0F05BD38A251427A05F95386CA7CEDDCE8部分找到。

RMM 文件遵循特定的命名格式：“[ipv4] + ClientSetup.exe”。在这种情况下，IPv4 字符串充当 C2 地址。攻击者利用合法 RMM 工具中处理配置错误的漏洞，通过文件名直接传递 C2 参数，从而避免对文件签名进行任何更改。

TDR 还识别出了文件名：45.119.55.]66ClientSetup.exe。基于此命名规则，发现了更多 C2 服务器，中提供了所有关联的 IPv4 地址。这些指标可用于追踪或回溯追踪。事实上，目前尚无充分证据表明这些 C2 服务器的来源和相关感染链，因此无法验证它们是否仍在运行，或者是否仅被 Silver Fox 运营者使用。

第三波：Python窃贼将目标锁定马来西亚

2026年2月，从钓鱼网站下载的有效载荷被替换。攻击者停止使用远程监控管理（RMM）工具，转而使用编译后的Python窃取程序。

在这次新的攻击活动中，被识别出的投放恶意代码的网站使用马来语，表明其目标指向马来西亚。然而，根据以往的攻击活动来看，“银狐”很可能继续在更广泛的南亚地区开展活动，攻击目标也包括其他实体。

部署这种定制的Python窃取程序会为各种恶意活动打开方便之门。除了潜在的间谍活动外，被盗用的凭证还会被用于各种金融活动，包括商业电子邮件诈骗（BEC）、数据转售等等。

该可执行文件运行一个 Python 窃取程序，该程序模仿WhatsApp 应用程序。代码很简单，它会在受感染的设备上收集多个感兴趣的数据，并将它们上传到其 C2 服务器xqwmwru[.]top。该服务器的域名指向与钓鱼网站位于同一 CIDR 范围内的 IP 地址。

在这个版本中，钓鱼网站托管在154.201.87[.]75，而伪造的 WhatsApp C2 服务器位于同一地址块中：154.201.87[.]124。

与之前观察到的 Silver Fox 活动相似之处在于使用了版本为 1.0 的自定义 User-Agent。这里WhatsAppBackup/1.0使用的是 User-Agent: .。

甚至连 C2 服务器都试图伪装成合法的 WhatsApp 网络服务器。

该可执行文件会在受感染的主机上留下一些独特的痕迹，例如：

C:\WhatsAppBackup\WhatsAppData.zip

%TEMP%\whatsapp_backup.lock

窃取者访问的网址为：

https://xqwmwru[.]top/upload_large.php

https://xqwmwru[.]top/upload_status.php

第二和第三次攻击活动依赖于远程监控管理 (RMM) 工具和 Python 窃取程序，这似乎更接近于机会主义网络犯罪而非高级持续性威胁 (APT) 行动。更广泛的攻击目标、缺少模块化 ValleyRAT

后门以及较为简单的传播机制都支持了这一假设。

此外，被滥用的商业RMM 工具和用于收集凭证的自定义Python 窃取器的有效载荷是网络犯罪生态系统中常用的通用工具，而使用以税务为主题的网络钓鱼诱饵则是一种与行业无关的初始访问方法，更符合以盈利为目的的目标。

受害者分析

这三次2025-2026年的“银狐”行动针对的是南亚地区的实体。行动影响了中国大陆和中国台湾地区，随后又波及到日本、马来西亚、菲律宾、泰国、印度尼西亚、新加坡和印度。

2025年初的初步TDR调查显示，银狐公司为了最大限度地提高诱饵效果，将投放阶段与中国台湾的全国税务审计窗口期同步。然而，该活动的后续版本逐渐偏离了特定的政策导向时间表。

评估认为，威胁行为者转向了一种更普遍的“金融主题”方法，利用税务和会计方面的诱饵作为与行业无关的基准，以维持持续的初始访问方法，并有可能获得经济利益。

虽然 Silver Fox 可能依靠ValleyRAT模块化后门进行高级操作，但 TDR 评估认为，该威胁行为者继续在南亚开展以盈利为目的的活动，并不断调整其武器库和交付方式。

尽管有此双重动机，Silver Fox 的核心 TTP 仍然保持一致，即利用与文化相关的税收/金融诱饵来获得初始访问权限，维持一个多功能的恶意软件生态系统，并快速调整基础设施和规避技术。

最近，Silver Fox 开始使用RMM 工具进行交付并采用定制窃取程序，这表明该公司在南亚地区追求有利可图的战略目标的同时，也在不断努力保持低调并避免被发现

–RMM 工具 IPv4 地址

115[.]187.17.212

112[.]121.183.102

156[.]251.18.45

206[.]238.178.116

112[.]213.120.164

47[.]85.99.19

216[.]250.104.166

45[.]119.55.66

69[.]30.250.99

103[.]228.12.151

103[.]97.128.142

156[.]254.5.118

156[.]251.18.238

112[.]121.183.106

45[.]119.55.112

115[.]187.17.68

103[.]231.12.45

103[.]97.128.103

45[.]194.37.147

220[.]167.103.145

103[.]97.128.109

130[.]250.191.46

103[.]203.48.174

154[.]91.84.3

93[.]127.142.77

220[.]167.103.160

154[.]12.87.28

150[.]109.79.82

220[.]167.103.158

170[.]205.54.88

116[.]213.43.23

103[.]231.12.23

222[.]186.190.138

103[.]70.76.130

154[.]44.28.175

IOC指标

Silver Fox 使用的钓鱼网站

ksdfuefagfrukayhfka[.]eu[.]cc

rdhrse[.]qpon

googlevip[.]icu

oytdwzz[.]shop

cocdex[.]cn

nao[.]nnnwin[.]vip

googlehfgj[.]cyou

fhauifhyileydhfl[.]com

megamovielord[.]com

fzdoor[.]vip

amvcoins[.]vip

peyvz[.]com

sdyteq[.]shop

ksudeu[.]nanguanglu[.]com

domainct[.]com

host-hunter[.]com

domainca[.]top

fghs[.]shlowcarbon[.]com

jinmai[.]vip

opkllasyy[.]shop

fdfhddfss[.]top

udste[.]xidyuyedg[.]qpon

swy[.]juanseguros[.]com

primetechstocks[.]com

juanseguros[.]com

mohaazon[.]com

fkfjrvfa[.]cn

zibenbang[.]vip

zptsgryw[.]cn

betooo[.]vip

czxfdz[.]com

sgeshex[.]vip

eaxwwyr[.]cn

wwfygid[.]biz[.]id

sgegdvip[.]vip

morecoworking[.]com

gov[.]incometax[.]click

yigushengjin[.]com

gofjasj[.]help

isyraw[.]quidoaehse[.]icu

xueshirencai[.]com

wgooglegoogle[.]com

gfmqvip[.]vip

归档删除 RMM 工具hash

055c3fff8f1f58a41e7571b9bd7ebf4b1b10ba5231f1ffbcb47e0307d7ff6072

06ecf34ecf1f3f56a1760b8757b978d6bd859adcf699af4adfbeb0982e41282a

18cb036bcc7aacf7393575ddf15133e24d3a22cc92a4b14e8595686e4bf80629

249d2d1d6cfcf34d48ac0465ede688759a3c90b7412723373ea5a434d6d64c9c

2a4eab726a878a74dcad41d090681a7fa78d9247b1812e5c3066d7a1aa0413b1

316cbc90ad71a421e571b529af2dee40f901b15b4bc549836c25f1be35597249

36e0368dd4c3c9c70a78050618797705cda87a017e41777968c6b4b9173f553f

3f8e2ef8a5e7b8f8d14e43032ad2b18f0a4fb168609494fd346dcdfe1127a5cd

616be8ba3383909b2b04c87bcb9ca0707f5a19a8eaa6fc1e552181baa4e3e0aa

75bf89f0369b6eef1e2931e6da67a9d4f3095b9a623e6e8fdddf7fee66cc7cc0

80f7f10bcddafaec497a2de78dd3d2a53b72f27bb72e7939443539115f7e2168

8c54e6d91d95885beae125b30ab9096bd341e12be08dec3aeb859e539dc77d47

98be97a6f4663d04cf5382f4ed046b479af1dd300d0ab3fa7a399ab15078d7a0

a6fd51bf2da2c2544ff78ef1824c30d4feef9a77c824f36d9afd2c6093c9b6ae

a8d193e49e6c9c6d7c32ea807d22311bd1b110f2326b8a96c67978ecc6862ee6

a8edb8fb1cf83031a454b5f39ffab0b1d93448cb3b9794246507e35ba0036801

ae243178e201c6ee475e4498cade0d21ef22b8a6923322576115b0888e189013

aed5ce23aa11f28e063c8b1b0836d3dbd059d93867e8e828a8356770ee185d1b

d49bd211364594c671c4e34a31afb75becc69b32b45b140ed0d200f4b05868c6

d91ea2ec158e871408229ec2f7a8fe78a8d30ed0db42f73fe9e31875b30b17c2

eb4a53145734d1ef612897337b1fc3375209598c427590731bb87de3bd8f9bb0

fc43d1640d94ef621c82a4d3a0406df3443b39043c4ddef0a23608c186c307e8

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 sekoia sekoia《Silver Fox 银狐的攻击组织在 2025-2026 攻击趋势及关键IOC分析》