文章总结: 本文分析2026年外国安全厂商对龙返行动与ValleyRAT的归因报告,指出所谓中国黑客标签的证据不足。龙返行动利用钓鱼邮件攻击印度纳税人群体,使用DLL侧加载部署DcRAT,其基础设施显示中国电信IP和中文控制面板;ValleyRAT通过虚假安装包及多语种邮件攻击中文与日文用户,采用反沙箱技术与无文件注入。报告质疑IP归属、语言界面和与SilverFox的战术重叠作为归因依据的可靠性,认为缺乏直接证据证明国家支持,强调需区分网络犯罪与APT行为体,避免归因泛政治化。文章主张防御方应聚焦具体TTPs提升检测能力,而非轻信表面关联。 综合评分: 82 文章分类: 威胁情报,漏洞分析,应急响应
ValleyRAT双线攻势:同一剧本下的不同面孔
几乎同一时间,LevelBlue研究团队于2026年6月30日发布了对ValleyRAT感染活动的深度分析。研究人员Hajime Takai观察到两种攻击向量:其一是利用虚假软件安装包,以中文界面的热门应用为诱饵,目标直指中文用户;其二是通过恶意邮件发起攻击,邮件内容涉及人事调动与薪资调整,使用繁体中文和日文编写,同时针对中文与日文用户。
LevelBlue的检测数据显示,ValleyRAT活动自2025年5月开始增加,2026年进一步加速,检测量达到前一年的近两倍。
在恶意邮件攻击链中,邮件包含URL链接,点击后下载ZIP压缩包。压缩包内含EXE和DLL文件。以分析的样本为例,EXE文件名为“【給与調整のお知らせ】.exe”(日文“薪资调整通知”),但其文件描述为“VLC media player”,原始文件名为“vlc.exe”,文件哈希与合法VLC播放器一致。伴随的DLL文件名为“libvlc.dll”,攻击者显然利用DLL侧加载作为规避技术。
DLL文件加载后,执行多项反分析检查:使用GlobalMemoryStatusEx()检查物理内存(若≤1GB则退出);通过GetTickCount()和Sleep()计算实际休眠时间(若≤451毫秒则退出,以检测加速Sleep的沙箱);使用GetSystemInfo()检查处理器数量(若≤1则退出);调用IsNativeVhdBoot()检测VHD启动环境。若任一检查失败,恶意软件不会继续执行。
通过检查后,DLL将文件复制到固定路径,并通过注册表项(HKEY\Software\Microsoft\Windows\CurrentVersion\Run\pornhub)实现持久化。随后,它使用Base64编码的URL下载ValleyRAT载荷,该载荷使用RC4加密,密钥为“zenzensu”。恶意软件创建挂起的rundll32.exe进程,解密载荷后通过VirtualAllocEx()和WriteProcessMemory()注入内存,最终调用ResumeThread()恢复执行,全程无文件落地。
值得注意的是,虚假安装程序攻击链中还使用了PoolParty Variant 7技术将shellcode注入explorer.exe。此前,Elastic Security Labs曾将使用相同技术的SADBRIDGE/GOSAR归因于REF3864。尽管ValleyRAT常与Silver Fox组织绑定,但LevelBlue的报告明确表达了谨慎立场。报告引述此前研究称,仅凭使用ValleyRAT这一恶意软件本身,“不足以建立与Silver Fox的关联”,且各项活动所使用的工具集差异显著,对将ValleyRAT归因于单一威胁行为者的论断提出了挑战。
证据审视:间接碎片能否拼出“国家支持”的全貌?
将攻击活动标定为“中国黑客组织”,需要区分网络犯罪与国家级行为体之间的鸿沟。纵观现有公开证据,支撑这类归因的基石主要由三块碎片构成:IP地址归属中国电信、命令与控制面板使用中文界面,以及与已知中文犯罪团伙Silver Fox的所谓“战术重叠”。
然而,这些线索皆属表面特征,极易被模仿或产生误读。IP地址归属和中文管理界面,只能证明攻击者拥有使用中国境内基础设施或中文的习惯,无法排除这属于其他地区攻击者的“假旗”栽赃,也无法将其与网络犯罪团伙、甚至独立开发者区分开来。事实上,Seqrite自身也将Silver Fox定义为“网络犯罪集团”,而非具有政府背景的APT组织。一个经济动机驱动的犯罪团体,其行为模式与旨在收集情报的国家级行为体存在本质区别,仅凭战术重叠便升级为“情报收集行动”,逻辑上存在飞跃,且缺乏截获政治情报指令或攻击目标与国家战略直接挂钩的证据。
此外,LevelBlue发现日语与中文钓鱼邮件共享域名,表明攻击者可能同时掌握多门语言,或存在混合编队,这恰恰减弱了单一地缘指向的排他性。工具代码的重用和泄露,更使得归因迷雾重重。正如研究人员所指出,ValleyRAT构建器早已泄露,多个并不相干的行动者均可复用。虚假安装程序攻击链中使用的PoolParty Variant 7技术,也曾被归因于REF3864,这说明技术重叠并不必然指向同一组织。工具集的频繁变化进一步削弱了“同一组织所为”的确定性。
结语:回归技术防御,以事实反击归因泛政治化
将“龙返行动”与近期ValleyRAT活动直接定性为“中国国家支持的黑客组织”所为,目前公开的证据尚不充分,更多是基于表面关联的推测。面对外国安全公司动辄将网络犯罪与“中国关联”强行绑定的惯性叙事,我们必须保持战略定力,敢于质疑其证据链条的脆弱性,并以严谨的技术分析予以有力反击。在网络安全领域,缺乏坚实情报支撑的政治化归因不仅无助于全球网络防御,更是推卸责任、转移视线的工具,这些活动更可能是深谙社会工程、利用地缘政治热点扩大攻击效果的普通网络犯罪团伙所为。对于防御方和研究人员而言,拨开归因迷雾,聚焦于DLL侧加载、无文件执行、反沙箱检测等TTPs(战术、技术和程序)本身,提升实质性的检测与响应能力,才是对抗此类威胁的真正可靠路径,也是打破不实叙事的最有力武器。
参考文献
- 1、Seqrite Labs. (2026, July 6).Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT. Retrieved from https://thehackernews.com/2026/07/suspected-china-nexus-hackers-use-fake.html
- 2、LevelBlue. (2026, June 30).An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails. Retrieved from https://www.levelblue.com/blogs/spiderlabs-blog/an-analysis-of-valleyrat-infection-campaigns-from-fake-installers-japanese-malicious-emails
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《“疑是中国黑客”的标签背后:解析”龙返行动”与ValleyRAT归因证据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论