国家互联网应急中心提示：黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马

5 月 22 日消息，今日，国家互联网应急中心 CNCERT 发布关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示，IT之家整理如下：

一、事件概述

近期，CNCERT 监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播，样本落地后将 Shellcode 注入系统关键进程执行远控，与境外 C2 服务器建立持久化连接，实现对主机的隐蔽控制。黑产团伙疑似利用 AI 工具大幅提升钓鱼页面制作效率，结合域名批量注册、仿冒网站访问流量精细化监测等手段，形成“网络钓鱼 → 木马下载 → 进程注入 → 远控控制”的完整攻击链。

二、钓鱼网站特征分析

对 2026 年 2 月 6 日-5 月 4 日注册的 439 个钓鱼网站域名分析，这些网站的主要特点如下：

1）钓鱼网站主要围绕办公软件、浏览器和通讯 / 代理类软件进行仿冒，其中 wps、chrome 合计 340 个，占 77.4%。

2）注册行为具有明显的批量化特征，发现最高峰一分钟内注册 15 条 letsvpn 相关域名。

3）域名后缀策略高度集中，hl.cn 占 42.6%，com.cn 占 30.8%，二者合计 73.4%。

4）命名模板复用明显，常见关键词包括 zh、cn、apps、web、office 并大量使用字母重复、缺字、错拼等手法。

5）钓鱼网站在 bing 搜索网站上通过 SEO 投递，确保网站能在 bing.com 网站搜索到；钓鱼网站会检测 refer 头信息，确保访问必须来自搜索引擎，若直接通过域名访问，这些钓鱼网站会跳转 bing.com 或者其他不可访问的网站，防止钓鱼网站被分析。

6）钓鱼页面并未对官方网站进行原样仿造，而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释，且大量采用通用化前端技术栈。针对同一仿冒主题（如 Chrome 浏览器），不同时间注册的页面在布局与内容上均不统一。综合判断，此类钓鱼页面疑似由 AI 编码快速生成。

被仿冒软件占比分布：

顶级域名占比分布：

三、案例分析

（一）批量搭建钓鱼网站

攻击者疑似使用 AI 技术批量化搭建钓鱼网站。该黑产团伙批量制作仿冒 Chrome、Clash、WPS 等主流常用软件的高仿真钓鱼页面，将页面伪装成官方正版下载入口，以此诱导用户点击并下载恶意程序。如下图所示，为仿冒 Chrome、WPS、Clash 下载的钓鱼页面样例。

这些仿冒网页前端代码有较强的编码固定格式，且对代码段有相对应的注释说明，如下图所示，仿冒有道翻译和 Clash 的两个网站，其 html 代码样式高度一致。

（二）恶意木马投递

攻击者通过钓鱼网站完成木马投递。钓鱼网站会向用户提供携带恶意程序的压缩包下载链接，相关恶意资源文件大多存储于境外云存储服务平台或国内云对象存储服务中，通过多层跳转下载的方式迷惑用户，降低早期被检测拦截的概率。

（三）系统进程注入

银狐木马样本执行后实施进程注入行为。样本运行后，在安装真实 Chrome、WPS 等软件的同时，会将恶意 shellcode 注入到 ctfmon.exe、sihost.exe、svchost.exe、elevation_service.exe 等系统关键进程中，以合法系统进程为掩护，实现恶意代码的隐蔽运行。下图为 EDR 产品告警，可以看出，被控主机与 C2 的通信均使用 Windows 的系统进程。

（四）远程控制连接

被注入进程主动发起远控连接。被植入恶意代码的系统进程会主动外联境外 C2 服务器，通信端口主要为 443 端口与 22 端口，成功建立连接后接收攻击者下发的远控指令，完成数据窃取、文件操作、持久化驻留等恶意行为。

（五）钓鱼网站访问统计

这些钓鱼页面使用了免费流量统计技术服务提供商 51.LA 的网站统计来对钓鱼网站的访问量，访问时长，来源页面等来做统计分析。利用这些统计数据，黑产团伙能够专业化的开发钓鱼网站，计算钓鱼网站的 ROI（投入产出比），精准优化钓鱼策略，提升攻击成功率。下图为钓鱼网站的统计代码。

每种钓鱼应用会通过不同的 ID 进行区分统计，各应用对应 ID 的如下表所示。

四、恶意样本分析

对仿冒 Chrome 的应用的安装包进行分析，发现该软件运行后会安装真实的 Chrome 软件，同时该程序会将恶意代码注入系统进程中隐藏自身。样本相关信息如下表所示：

该样本为“Inno Setup”打包的软件安装文件，样本打包于 2026 年 1 月 2 日。

安装文件运行后会在“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”目录下释放文件并运行可执行文件 Hveuh3.exe。

Hveuh3.exe 具有无效的数字签名，且含有 PDB 路径：“E:\CC\lab_release\video\src\client2\GameLiveTool\Release\x64\D3DHook.pdb”。通过该 PDB 地址分析可执行文件是基于一个游戏录屏、直播、外挂检测项目的正常代码，样本编写者可能具有游戏外挂编写能力，同时做了远控木马的开发。

可执行文件 Hveuh3.exe 文件会加载同目录下的可执行文件 0C5uqPzO.Uww，该文件为 vmp 加壳的 dll 可执行文件，文件信息如下图所示。

可执行文件 Hveuh3.exe 文件会导入 0C5uqPzO.Uww 文件中混淆后的导出函数，如下图所示。

恶意 dll 文件 0C5uqPzO.Uww 会使用 CreateFileW 方法读取同目录下的加密 Shellcode 文件 L0PM0o0j.EC，并进行内存加载。

样本同时将释放目录“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”设置为不可删除和无法访问：

动态调试发现该样本会获取 system 权限，创建服务自启动，并在“sihost.exe/ ctfmon.exe”等系统进程中注入 gh0st 载荷，并加密配置保存在 config.ini 文件中：

config.ini 保存在“C:\ProgramData\”下随机生成的目录中，如下图所示。

植入完成后，会与其 C2 地址进行通信，C2 地址为 sangbiao11.com (137.220.154.107:22)。

五、控制规模

通过关联分析已发现 17 个相关 C2 恶意域名，和 20 个 C2 的 IP 地址。通过监测分析发现，2026 年 4 月 8 日-5 月 7 日，相关木马境内肉鸡数最高达 2.6 万台，累计感染肉鸡数达到 18.2 万台，每日总上线规模变化趋势如下图所示。

其中日控制规模超 500 的恶意 IP 有 9 个，其每日被控 IP 数变化如下图所示。其中，近 1 个月总控制规模超 10000 个 IP 的 C2 共有 6 个，分别是 185.203.39.134（dd.kmsccedn.com），182.16.88.242（vaeth.cn），103.12.148.80（feiji22.vip），137.220.158.22（www.amdyjl5.com），27.124.2.150（www.w1pf9.com），104.143.33.78（www.vpconn.fit）。

六、防范措施

请广大网民强化网络安全风险意识，提高自我防范能力，谨防仿冒软件、恶意程序侵害，避免造成财产和信息损失，主要防范建议如下：

1）优先认准软件官方网站（如 www.wps.cn）及手机、电脑官方应用商店；警惕搜索引擎结果中带有乱码前缀、拼接拼凑式的域名链接，例如 kn‑wps.com.cn、www-wps-cn.com 等，这类链接大多为仿冒钓鱼网站，切勿点击下载。

2）提高对搜索引擎标注“广告”链接的警惕性，大量恶意软件、仿冒下载链接常通过广告置顶展示，尽量避开广告条目，优先选择自然排名的普通搜索结果。

3）全程开启杀毒软件实时防护功能，定期进行全盘安全扫描，及时更新电脑及手机操作系统、常用软件的安全补丁，修补安全漏洞。

4）日常留意设备流量使用与运行状态，及时排查异常网络流量、陌生后台行为；若发现设备疑似感染银狐木马等恶意程序，立即核查被控风险，第一时间隔离并清理受害设备。

七、相关 IOC

控制端 IP 地址

控制端域名