文章总结： 2026年6月，荷兰、加拿大、美国、德国执法机构在欧洲刑警组织协调下开展终局行动，成功打击Socgholish恶意程序分发网络，关停106台服务器与恶意域名，并修复14971个遭入侵的WordPress站点。该恶意软件由TA569团伙运营，通过攻陷正规网站植入仿冒浏览器更新弹窗，最终可投放LockBit等勒索软件。行动方建议WordPress管理员启用多因素认证、限制后台访问、更新程序并重置泄露凭证。 综合评分： 83 文章分类： 恶意软件,应急响应,漏洞分析,安全运营,威胁情报

全球 SocGholish 专项清理行动：已修复 14971 个 WordPress 站点

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月22日 09:15 湖北

在小说阅读器读本章

去阅读

2026 年 6 月 18 日，荷兰、加拿大、美国、德国执法机构在欧洲刑警组织协调下，开展为期一周联合专项行动，打击 SocGholish。该恶意程序分发网络是互联网上存续时间最长、覆盖范围最广的恶意分发体系之一。

本次行动代号 “终局行动（Operation EndGame）”，关停超百台服务器与恶意域名，并清除 14971 个遭入侵 WordPress 网站内的恶意感染。自 2018 年起持续追踪 SocGholish 背后攻击团伙的 Proofpoint，为本次执法行动提供威胁情报支撑。

官方新闻稿原文：“过去一周，荷兰国家高科技犯罪小组（NHCTU）、加拿大皇家骑警（RCMP）、美国联邦调查局（FBI）、德国联邦刑事警察局（BKA），在欧洲刑警组织与欧洲司法组织配合下，对 SocGholish 犯罪基础设施实施重大打击。本次全球行动成果如下：关停 106 台涉案服务器及恶意域名；修复 14971 个被入侵网站。同时落地多项配套处置工作：

1. 清理遭入侵 WordPress 站点并通知站点所有者，提醒曾被攻陷的网站管理员升级程序、重置登录凭证；
2. 通过接管域名、下线服务器瓦解 SocGholish 僵尸网络；
3. 联合 HaveIBeenPwned、DIVD、Spamhaus、CheckjeHack、NoMoreLeaks、影子服务器基金会、荷兰国家网络安全中心，向警方查获登录凭证泄露的 WordPress 站长发送风险告知。”

SocGholish 也被称作 FakeUpdates，由威胁团伙 TA569 运营。其攻击逻辑简单精巧、破坏力极强：先攻陷正规网站，植入恶意 JavaScript 代码；访客访问页面并通过多层过滤校验后，页面会被完全替换为仿冒度极高的浏览器更新弹窗。

Proofpoint 报告记载：“TA569 是威胁情报数据库中最知名的网络犯罪团伙之一，我方研究人员自 2018 年持续追踪该组织。TA569 利用 SocGholish 植入恶意代码的攻击活动，已关联多款主流勒索软件家族及大型犯罪集团。”

关联勒索家族包含 WastedLocker、LockBit、RansomHub。TA569 属于初始访问代理团伙，公开情报显示其与 Evil Corp 存在勾结；该俄罗斯网络犯罪团伙多名成员多次遭到西方国家制裁。

清剿行动前，该威胁规模极为庞大。2026 年 5 月影子服务器基金会监测发现，超 144 万个 WordPress 网站被攻陷，可供 SocGholish 滥用。Infoblox 数据显示，今年约 55% 云服务客户遭遇过 SocGholish 攻击。

影子服务器基金会报告写明本次行动成果：

1. 完成 14971 个植入 SocGholish 恶意程序的正规 WordPress 站点修复；
2. 全球关停 106 台服务器与恶意域名，重创 SocGholish 僵尸网络。

TA569 入侵覆盖全行业站点：公益机构、院校、医院、律所、地产企业，以及日均数百万访问量的主流媒体、电商门户网站。

团伙入侵网站的手段并无特殊技术门槛。TA569 及其同伙通过凭证喷洒、盗取 / 复用账号密码、WordPress 插件与主题漏洞、第三方依赖组件缺陷实现入侵。

Proofpoint 补充说明：“此类攻击主要瞄准未更新的老旧组件，但不止利用已知漏洞。攻击者还会使用零日漏洞、废弃插件、自定义模板，或是无人维护的第三方依赖库。部分插件、主题开发者甚至未意识到产品内置底层库、捆绑组件同样需要安全补丁。即便内容管理系统核心版本为最新，网站仍可能存在入侵风险。”

成功入侵站点后，攻击者通过多重手段实现持久驻留：新增管理员账号、在 CMS 目录外放置 PHP 后门、使用名称看似无害的虚假插件（可在 WordPress 后台隐藏自身）。仅清除页面可见恶意代码，却未根除持久化后门是常见运维误区，网站往往数日内再次被攻陷。

该团伙的恶意分发链路逐年迭代，当前 TA569 与 TA2726 协同作案；TA2726 运营恶意版 Keitaro 流量分发平台（TDS）。TA2726 通过伪造 WordPress 插件向失陷站点植入高度混淆加密的 JavaScript 脚本，脚本最终加载 SocGholish 核心代码。SocGholish 第一阶段程序会采集访客环境指纹：识别自动化爬虫、检测浏览器开发者工具、判断是否曾访问仿冒更新页面、检索 WordPress 管理员会话，同时等待用户完成至少十次鼠标移动才继续执行后续流程。访客全部校验通过后，恶意程序会完整覆盖原有网页内容。

报告继续写道：“仿冒页面的下载按钮看似简陋，实则设计复杂。点击按钮会向独立隐藏 iframe 发送 postMessage 指令，该 iframe 由 data 协议地址加载，从 TA569 命令控制服务器拉取脚本文件 Google Launcher.js（GhoLoader 第一阶段加载器，C2 地址：js-new [.] newtoyourgame [.] com），文件以 Base64 编码嵌入，客户端通过 URL.createObjectURL 生成本地文件并触发下载。整套流程的下载源为 blob 协议地址，不存在指向恶意 JS 文件的直接网络请求记录。沙箱工具若仅模拟点击按钮，未处理跨框架消息交互，将完全无法触发下载行为。”

用户最终下载文件为 GhoLoader 第一阶段加载器，一款 WSH 脚本程序，负责与命令服务器通信并执行下发指令。若沙箱未处理跨框架消息，仅模拟点击按钮，无法触发文件下载。

Orange Cyber Defense 应急响应团队监测到，SocGholish 会下发多类加载器：GhoLoader、MintsLoader，可进一步投放 GhostWeaver PowerShell 后门、LockBit、RansomHub 勒索程序，以及 AsyncRAT、NetSupport 远程控制木马。荷兰警方同步向凭证泄露的 WordPress 站长推送安全通知，建议重置账号、开启多因素认证、删除可疑管理员账号、全站更新程序。

本次专项行动将大幅削弱该团伙攻击能力，但无法彻底根除网页植入类攻击。Proofpoint 指出，TA569 虽是该攻击手法的开创者，但当前使用网页植入技术的团伙早已不止这一家。

报告总结：“网页植入技术最初仅少数威胁团伙使用，经 TA569 推广与创新后，现已成为大量威胁集群的通用攻击手段，除 TA569 生态圈外，ClearFake、ZPHP、ErrTraffic 等团伙均在大量使用。”

Proofpoint 追踪到近十支独立威胁集群持续开展网页植入攻击，该手法自 2023 年起攻击量持续上涨。为 TA569 导流的流量分发团伙 TA2726 并非本次行动打击目标，仍可正常运营；其流量渠道目前同时服务 TA2727，该团伙针对 macOS 终端投放 FrigidStealer 等恶意载荷。

荷兰警方与 Proofpoint 共同面向 WordPress 管理员发布完整修复方案：

1. 所有管理员账号启用多因素认证；
2. 通过 IP 白名单限制 wp-admin 后台访问权限；
3. 卸载未使用的插件与网站主题；
4. 禁止上传目录执行 PHP 脚本；
5. 开启文件完整性监控；
6. 若网站曾遭入侵，默认所有登录凭证均已泄露，必须全部重置。

仅清理页面植入代码，却保留废弃管理员账号、不修改密码，算不上完整修复，只能延后再次被攻陷的时间。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《全球 SocGholish 专项清理行动：已修复 14971 个 WordPress 站点》