文章总结： 银狐组织近期伪造Telegram中文语言包传播ValleyRAT，通过高仿真社会工程学攻击诱导用户执行恶意MSI安装包，采用多阶段解密、内存加载及BYOVD技术规避检测，攻击目标聚焦中文用户与企业环境，具备APT化趋势。建议警惕非官方软件、部署EDR监控异常行为、启用内核保护并加强员工安全意识培训。 综合评分： 85 文章分类： 恶意软件,威胁情报,应急响应,社会工程学,终端安全

银狐针对国人伪造Telegram中文语言包传播ValleyRAT

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年4月10日 13:52 河南

近年来，银狐（Silver Fox，又被部分安全研究机构跟踪为Void Arachne、SwimSnake等）持续活跃于针对中文用户及企业环境的网络攻击活动中。该组织以高仿真社会工程学攻击和多阶段恶意软件投递链为核心特征，逐渐从传统钓鱼攻击演变为具备一定APT（高级持续性威胁）特征的攻击体系。近期披露的“伪造Telegram语言包传播ValleyRAT”事件，再次体现了其在攻击手法上的持续进化与工业化水平提升。

在最新攻击活动中，攻击者将恶意程序伪装为“Telegram中文语言包安装程序”，通过用户对即时通信工具的信任心理诱导下载与执行。该安装包通常以MSI格式呈现，外观与正常软件更新无异，但内部却嵌套多层加密与解压逻辑。执行后，安装程序会通过多阶段加载机制逐步释放恶意组件，最终部署远控木马ValleyRAT，并与远程控制服务器建立通信通道，实现对受害主机的全面控制。（telegram在我国境内时被禁用的！）

值得注意的是，该攻击链并非单一载荷结构，而是典型的“分阶段解密&脚本执行&内存加载”复合模式。攻击过程中可能使用VBScript、PowerShell或压缩文件嵌套等方式逐步解密下一阶段载荷，使安全设备在静态检测阶段难以直接识别完整攻击意图。同时，该恶意安装程序往往通过WiX Toolset等正规安装构建工具生成，从而进一步降低行为异常特征，提高隐蔽性。

从历史攻击活动来看，银狐组织长期围绕“热门软件仿冒”展开攻击投递，包括伪造Microsoft Teams、Zoom、Telegram、VPN客户端以及浏览器扩展插件等。攻击者通常通过搜索引擎投毒、虚假下载站点、社交媒体广告甚至即时通讯群组传播恶意安装包，使用户在缺乏安全验证的情况下主动执行恶意程序。这种“用户主动执行型攻击”显著提高了攻击成功率。

在更早的攻击案例中，银狐还广泛使用ValleyRAT及其变种作为核心远控工具。该恶意软件基于Gh0st RAT体系演化而来，具备文件管理、远程桌面控制、键盘记录、摄像头调用以及凭证窃取等功能。在部分升级版本中，还引入加密通信机制（如对称加密算法保护C2通信），并支持模块化插件扩展，使其能够按需加载不同攻击功能。

更为严重的是，银狐在近期攻击中开始引入“BYOVD（自带漏洞驱动）”技术，通过加载存在漏洞的合法驱动程序进入内核模式，从而绕过EDR与杀毒软件的用户态防护机制。一旦进入内核层，攻击者可实现进程隐藏、日志篡改、安全软件禁用等高级操作，显著提升驻留能力与隐蔽性。这种技术的引入，使其攻击能力已明显超越传统网络犯罪组织，向国家级攻击技术靠拢。

从攻击目标来看，银狐主要集中在中文用户生态环境，包括企业员工、财务人员、IT运维人员以及跨境业务相关人员。攻击动机以数据窃取与经济利益为主，但也存在长期潜伏与信息收集行为。在部分攻击事件中，攻击者还会进行横向移动，在企业内网中进一步扩散，以获取更高权限或敏感业务数据。

此外，银狐组织在攻击过程中还表现出较强的反溯源能力。在部分攻击样本中，攻击者故意使用特定语言环境字符串或伪造境外攻击特征，以误导安全研究人员的归因分析。这种“伪旗行为”进一步增加了溯源难度，也说明其具备较成熟的攻击运营体系。

综合来看，银狐攻击活动呈现出明显趋势：一是以热门软件伪装作为主要入口，持续强化社会工程学欺骗能力；二是攻击链条高度模块化与自动化，具备快速迭代能力；三是逐步引入内核级攻击与高级规避技术；四是攻击目标从个人扩展至企业核心岗位人员；五是整体攻击模式向APT化演进。

安全预警与防护建议

针对银狐类攻击，组织与个人应重点关注以下风险与防护措施：

首先，必须高度警惕任何“非官方渠道”的软件安装包，尤其是所谓“汉化包”“破解工具”“插件增强包”等高风险载体。此类文件是银狐最常见的入口形式，极易诱导用户主动执行恶意代码。

其次，企业应建立严格的软件准入与白名单机制，禁止员工随意安装未经审批的软件。同时，应加强对下载行为的监控，对来源不明的MSI、EXE、脚本文件进行自动隔离与沙箱分析。

在技术防护层面，应全面启用EDR/XDR能力，重点监控异常进程树、脚本执行链（PowerShell、WScript）、以及可疑驱动加载行为。同时开启Windows事件日志审计（如4688进程创建、4104脚本日志），提升攻击链可见性。

此外，应加强对BYOVD攻击的防御能力，禁止未签名或异常驱动加载，并启用内核完整性保护机制。对于企业网络，应建立出站流量检测机制，重点识别异常C2通信行为。

最后，从安全意识角度，应定期开展钓鱼攻击与仿冒软件识别培训，使员工能够识别“看似正常但来源异常”的软件风险，从源头降低感染概率。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《银狐针对国人伪造Telegram中文语言包传播ValleyRAT》