中国黑客操控2800个恶意域名分发Windows恶意软件

一个名为"SilverFox"的复杂威胁组织自2023年6月起策划大规模恶意软件分发活动，主要在中国时区的工作时间运作。该行动针对中国境内外的中文用户和实体，利用超过2800个新注册域名分发Windows专用恶意软件。

全球中文用户成为目标

攻击者采用欺骗性策略，包括伪造应用下载网站和嵌入虚假更新提示的欺骗登录页面、营销应用、商业销售工具和加密货币相关应用。这些方法基本保持一致，促进旨在窃取凭证、金融剥削和潜在访问代理的恶意载荷传播。

截至2025年6月，分析显示自2024年12月识别的850多个域名中，有266个活跃参与恶意软件分发，突显该活动的持续基础设施和运营韧性。

域名注册模式分析

域名注册模式为了解攻击者工作流程提供见解，创建日期和首次DNS解析集中在典型中国工作时间。这种时间对齐表明自动化流程和人工监督的结合，基础设施获取在这些时间窗口内过渡到操作化，如部署欺骗站点进行恶意软件分发。

此类模式不仅突显潜在区域起源，还表明机会性针对销售、营销和跨境业务专业人士，特别是那些具有中文能力并与区域前景有联系的人。

深度恶意软件分析

针对先前检测，SilverFox优化了其操作，纳入反自动化脚本和浏览器模拟检查以规避站点扫描器和自动化分析工具。攻击者减少了对第三方跟踪器（如百度、Gtag和Facebook集成）的依赖，同时将域名解析分散到扩展的服务器足迹以减少基于IP的聚类和增强混淆。

注册细节变得更加谨慎，去除可识别标记以复杂化归因。样本域名的技术剖析说明了恶意软件分发链。

例如，googeyxvot[.]top模仿Gmail登录页面，部署混淆的JavaScript在输入时触发虚假浏览器不兼容错误，提示下载flashcenter_pl_xr_rb_165892.19.zip (SHA-256: 7705ac81e004546b7dacf47531b830e31d3113e217adeef1f8dd6ea6f4b8e59b)。

虚假Gmail登录

该ZIP提取一个MSI安装程序 (SHA-256: a48043b50cded60a1f2fa6b389e1983ce70d964d0669d47d86035aa045f4f556)，包含嵌入的可执行文件如svchost.13.exe (SHA-256: f1b6d793331ebd0d64978168118a4443c6f0ada673e954df02053362ee47917b) 和 flashcenter_pl_xr_rb_165892.19.exe (SHA-256: 1c957470b21bf90073c593b020140c8c798ad8bdb2ce5f5d344e9e9c53242556)。前者作为下载器，从https://ffsup-s42.oduuu[.]com/uploads%2F4398%2F2025%2F06%2F617.txt (SHA-256: e9ba441b81f2399e1db4b86e1fe301aaf2f11d3cf085735a55505873c71cbc6f)获取加密载荷，使用XOR密钥0x25的shellcode解码器循环解密并执行嵌入的PE文件 (SHA-256: 28e6c4d71b700ac93c8278ef7968e3d8f9454eff2e8df5baf2fff6acbfdf6c39)。

类似地，yeepays[.]xyz欺骗Alipay结账界面，使用从assets/js/external_load.js和assets/download/filename.js导入的JavaScript构建下载URL for 收银台权限.exe (SHA-256: 21a0b62adc71b276a5bc8a3170ab6e315ac2c0afe8795cfeade8461f00a804d2)。加密货币主题网站如coinbaw[.]vip重定向到模仿交易所（如Coinbase）的伪造登录页面，进一步例证攻击者的网络钓鱼武器库。

虚假加密货币网站

该活动的财务动机性质在其机会性利用用户信任中显而易见。现代浏览器如Chrome和Edge通过Google安全浏览和Microsoft Defender SmartScreen减轻风险，这些工具执行声誉检查和签名分析以阻止恶意下载。然而，不断演变的威胁需要用户警惕。

推荐防御措施包括电子邮件网关中的高级威胁保护（ATP）、Windows系统上的下一代防病毒（NGAV）和端点检测与响应（EDR）、DNS过滤、网络分割和多因素认证（MFA）执行。通过集成威胁情报源和进行定期网络钓鱼模拟，组织可以增强对SilverFox持续操作的韧性。