文章总结： 奇安信红雨滴团队发现某虚拟手机服务商官网安装包在2026年2-3月遭供应链攻击，恶意安装包GGBondRat通过多层加载器控制政企终端，支持文件操作、进程管理等远控功能。攻击者可能利用云手机进行刷量、养号等非法活动。目前奇安信全线产品已支持检测，并提供了IOC指标用于威胁研判。 综合评分： 88 文章分类： 供应链安全,恶意软件,漏洞预警,威胁情报,解决方案

shellcode 仍然是加载器，用于在内存中加载最终载荷木马，木马首先创建 Global\MerMgrUploadingLockEx 互斥体。

收集设备信息。

初始化并通过反序列化解析 C2 信息。

将收集到的信息加密后进行 Base64，填充到 E-GGBond-Id 字段。

连接 C2 后发送请求，并保持持续回连。

通过RC4解密对应的指令码，固定的key如下：FA 36 56 CD 80 A4 2F 09 97 9E B1 26 BC 62 45 BD。

木马对应远控功能如下：

• 0x3E：TCP 连接指定的地址

• 0x3F：UDP 连接指定的地址

• 0x40：发送 UDP 数据包(send)

• 0x41：发送 UDP 数据包(sendto)

• 0x42：清除已连接的地址

• 0x43：连接初始化

• 0x64：读取文件

• 0x65：复制文件

• 0x66：获取驱动器信息

• 0x67：设置并获取当前目录

• 0x68：获取指定文件的路径和大小

• 0x69：加载payload

• 0x6A：删除文件和命名管道

• 0x6D：TCP或管道连接

• 0x6E：查找文件

• 0x6F：移动文件

• 0x70：创建目录

• 0x71：修改C2连接状态

• 0x72：收集进程信息

• 0x73：终止指定进程

• 0x74：创建新进程

• 0x75：获取当前目录

• 0x76：删除指定的文件和目录

• 0x77：创建并写入文件

• 0x7C：清理网络连接

总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

Md5:

5627c24dd7661df4d4c8617a9a68c8bf

7eb1a6495269e8faf6b0faecd5dfcf58

C2:

whapp.linkgt.cc

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 红雨滴团队 红雨滴团队《“猪猪侠”的阴影：疑似某虚拟手机服务商官网安装包被供应链攻击》