国家互联网应急中心提示：黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马

艾奇百科百科资讯 2026-05-22 19:10:26 2

5 月 22 日消息，今日，国家互联网应急中心 CNCERT 发布关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示，整理如下：

一、事件概述

近期，CNCERT 监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播，样本落地后将 Shellcode 注入系统关键进程执行远控，与境外 C2 服务器建立持久化连接，实现对主机的隐蔽控制。黑产团伙疑似利用 AI 工具大幅提升钓鱼页面制作效率，结合域名批量注册、仿冒网站访问流量精细化监测等手段，形成“网络钓鱼 → 木马下载 → 进程注入 → 远控控制”的完整攻击链。

二、钓鱼网站特征分析

对 2026 年 2 月 6 日-5 月 4 日注册的 439 个钓鱼网站域名分析，这些网站的主要特点如下：

1）钓鱼网站主要围绕办公软件、浏览器和通讯 / 代理类软件进行仿冒，其中 wps、chrome 合计 340 个，占 77.4%。

2）注册行为具有明显的批量化特征，发现最高峰一分钟内注册 15 条 letsvpn 相关域名。

3）域名后缀策略高度集中，hl.cn 占 42.6%，com.cn 占 30.8%，二者合计 73.4%。

4）命名模板复用明显，常见关键词包括 zh、cn、apps、web、office 并大量使用字母重复、缺字、错拼等手法。

5）钓鱼网站在 bing 搜索网站上通过 SEO 投递，确保网站能在 bing.com 网站搜索到；钓鱼网站会检测 refer 头信息，确保访问必须来自搜索引擎，若直接通过域名访问，这些钓鱼网站会跳转 bing.com 或者其他不可访问的网站，防止钓鱼网站被分析。

6）钓鱼页面并未对官方网站进行原样仿造，而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释，且大量采用通用化前端技术栈。针对同一仿冒主题（如 Chrome 浏览器），不同时间注册的页面在布局与内容上均不统一。综合判断，此类钓鱼页面疑似由 AI 编码快速生成。

被仿冒软件占比分布：

相似软件

数量

占比

google/chrome

179

40.80%

wps

161

36.70%

5.50%

letsvpn

4.10%

2.70%

kuailian

2.50%

youdao

2.30%

bitbrowser

1.10%

clash

0.90%

顶级域名占比分布：

顶级域名

数量

占比

含义

hl.cn

187

42.60%

中国黑龙江地域二级域名

com.cn

135

30.80%

中国商业机构二级域名

102

23.20%

中国国家顶级域名

ac.cn

1.80%

中国科研 / 学术机构二级域名

hk.cn

1.10%

中国香港地域二级域名

hn.cn

0.20%

中国湖南地域二级域名

ah.cn

0.20%

中国安徽地域二级域名

三、案例分析

（一）批量搭建钓鱼网站

攻击者疑似使用 AI 技术批量化搭建钓鱼网站。该黑产团伙批量制作仿冒 Chrome、Clash、WPS 等主流常用软件的高仿真钓鱼页面，将页面伪装成官方正版下载入口，以此诱导用户点击并下载恶意程序。如下图所示，为仿冒 Chrome、WPS、Clash 下载的钓鱼页面样例。

这些仿冒网页前端代码有较强的编码固定格式，且对代码段有相对应的注释说明，如下图所示，仿冒有道翻译和 Clash 的两个网站，其 html 代码样式高度一致。

（二）恶意木马投递

攻击者通过钓鱼网站完成木马投递。钓鱼网站会向用户提供携带恶意程序的压缩包下载链接，相关恶意资源文件大多存储于境外云存储服务平台或国内云对象存储服务中，通过多层跳转下载的方式迷惑用户，降低早期被检测拦截的概率。

（三）系统进程注入

银狐木马样本执行后实施进程注入行为。样本运行后，在安装真实 Chrome、WPS 等软件的同时，会将恶意 shellcode 注入到 ctfmon.exe、sihost.exe、svchost.exe、elevation_service.exe 等系统关键进程中，以合法系统进程为掩护，实现恶意代码的隐蔽运行。下图为 EDR 产品告警，可以看出，被控主机与 C2 的通信均使用 Windows 的系统进程。

（四）远程控制连接

被注入进程主动发起远控连接。被植入恶意代码的系统进程会主动外联境外 C2 服务器，通信端口主要为 443 端口与 22 端口，成功建立连接后接收攻击者下发的远控指令，完成数据窃取、文件操作、持久化驻留等恶意行为。

（五）钓鱼网站访问统计

这些钓鱼页面使用了免费流量统计技术服务提供商 51.LA 的网站统计来对钓鱼网站的访问量，访问时长，来源页面等来做统计分析。利用这些统计数据，黑产团伙能够专业化的开发钓鱼网站，计算钓鱼网站的 ROI（投入产出比），精准优化钓鱼策略，提升攻击成功率。下图为钓鱼网站的统计代码。

每种钓鱼应用会通过不同的 ID 进行区分统计，各应用对应 ID 的如下表所示。

仿冒对象

统计 ID

clash

L4rC8E7ISMR5cOyi / L56E7kDSHNvNpfzY

快连

L4NNnKpJZ0RcW8GY / L4e6WH4KcxTQEsJO

chrome

L4eCf0G8oXvab2n7 / L4S9pW46ugZ5HLhW

teams

L4ixuUuJi0dA2nYF

WPS

L5OOMojcmFzavw26

搜狗浏览器

L5MbevAiByh9Bosu

L5TOP7tRWKlFL5Su

四、恶意样本分析

对仿冒 Chrome 的应用的安装包进行分析，发现该软件运行后会安装真实的 Chrome 软件，同时该程序会将恶意代码注入系统进程中隐藏自身。样本相关信息如下表所示：

属性

值

来源钓鱼网站

mb-google-chrome.hl.cn

样本下载链接

https://xgootd.oss-cn-hongkong.aliyuncs.com/ggpc_win64_14.zip

样本 hash

2f8cf966b3fc87ba1a8151428a36652e78f2d57005621eecd514629a902e88b5

样本名称

ggpc_win64_14.zip

样本 C2

sangbiao11.com(137.220.154.107:22)

样本简述

样本为 Gh0st 远控木马，通过 VMP 加壳以及内存加载的方式规避检测，最终实现远程命令执行和敏感数据窃取等恶意功能。

该样本为“Inno Setup”打包的软件安装文件，样本打包于 2026 年 1 月 2 日。

安装文件运行后会在“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”目录下释放文件并运行可执行文件 Hveuh3.exe。

Hveuh3.exe 具有无效的数字签名，且含有 PDB 路径：“E:\CC\lab_release\video\src\client2\GameLiveTool\Release\x64\D3DHook.pdb”。通过该 PDB 地址分析可执行文件是基于一个游戏录屏、直播、外挂检测项目的正常代码，样本编写者可能具有游戏外挂编写能力，同时做了远控木马的开发。

可执行文件 Hveuh3.exe 文件会加载同目录下的可执行文件 0C5uqPzO.Uww，该文件为 vmp 加壳的 dll 可执行文件，文件信息如下图所示。

可执行文件 Hveuh3.exe 文件会导入 0C5uqPzO.Uww 文件中混淆后的导出函数，如下图所示。

恶意 dll 文件 0C5uqPzO.Uww 会使用 CreateFileW 方法读取同目录下的加密 Shellcode 文件 L0PM0o0j.EC，并进行内存加载。

样本同时将释放目录“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”设置为不可删除和无法访问：

动态调试发现该样本会获取 system 权限，创建服务自启动，并在“sihost.exe/ ctfmon.exe”等系统进程中注入 gh0st 载荷，并加密配置保存在 config.ini 文件中：

config.ini 保存在“C:\ProgramData\”下随机生成的目录中，如下图所示。

植入完成后，会与其 C2 地址进行通信，C2 地址为 sangbiao11.com (137.220.154.107:22)。

五、控制规模

通过关联分析已发现 17 个相关 C2 恶意域名，和 20 个 C2 的 IP 地址。通过监测分析发现，2026 年 4 月 8 日-5 月 7 日，相关木马境内肉鸡数最高达 2.6 万台，累计感染肉鸡数达到 18.2 万台，每日总上线规模变化趋势如下图所示。

其中日控制规模超 500 的恶意 IP 有 9 个，其每日被控 IP 数变化如下图所示。其中，近 1 个月总控制规模超 10000 个 IP 的 C2 共有 6 个，分别是 185.203.39.134（dd.kmsccedn.com），182.16.88.242（vaeth.cn），103.12.148.80（feiji22.vip），137.220.158.22（www.amdyjl5.com），27.124.2.150（www.w1pf9.com），104.143.33.78（www.vpconn.fit）。