近日，微步发现并参与处置了多起大型央企、医疗机构等被黑产大规模拉群钓鱼、诈骗钱财的网络安全事件。经过关联分析和综合研判后，微步认为 " 银狐 " 最新变种正在集中引发大规模网络攻击，广泛影响中大型企业，累计受影响员工数千人以上，堪称 2025 开年以来最大规模的黑产攻击。

本次攻击发现和处置难度前所未有，原因如下：

1.   企业 IM 成钓鱼攻击 " 集散地 "，难以分辨。攻击者大量使用企业 IM（如企业微信）拉群传播恶意文件和诈骗二维码，单位员工分辨较难，容易受骗，因此几乎每起攻击事件都会引发钱财损失；

2.   钓鱼途径多样，诱饵紧贴时事、高度逼真。攻击者用以仿冒钓鱼的主题包括但不限于税务局稽查局、DeepSeek、谷歌在线翻译、公共电子邮件登录入口，甚至伪装为成人网站，详情见后文。

3.   黑产攻击资源丰富，攻击规模大、时间持久。恶意域名更新频次极高，恶意样本变种快、分布广，影响企业数量极多，仅限制部分 ip 黑名单不能完全防范。

4.   极难发现和清理，攻击反复。" 银狐 " 最新变种在免杀对抗和驻留技术上有极大提升，导致部分单位的攻击事件反复出现。

一、近期银狐攻击概览

二、钓鱼手法的超进化

黑产团伙在投递木马程序时，以财税相关主题诱饵文件和或部署各类软件仿冒站点为主，使大量企业受害。

在财税相关主题诱饵上，近期主要以 pdf，html 文件为主，伪装为税务局稽查局向辖区企业进行税务抽查，投递虚假公告，诱导受害者访问木马下载地址，下载木马进行远控：

在部署各类软件仿冒站点时，攻击者进行模板化部署，钓鱼网站更新频繁多样，近期更以 DeepSeek 等热点 AI 工具为主题分发携带后门的木马程序，结合搜索引擎 SEO 技术，使钓鱼网站位列搜索引擎关键字结果前几名，受害者难以分辨。 

仅以 " 安装 Flash 插件钓鱼模板进行投毒 " 手法为例，3 月份就新增的钓鱼站点多达 69 个：

此外攻击者紧跟时事，发布了伪装成 DeepSeek 主题的钓鱼网站模板：

同时，企业受害员工电脑被控，通过微信、企业微信等 IM 拉群、群发链接或者有毒附件的攻击事件也大量发生：

部分受影响企业的失陷资产在暗网被售卖，导致反复出现安全事件：

三、免杀技术的超进化

（1）大量的白加黑应用

银狐采用白加黑手法加载同目录下的黑 dll 文件，通过黑 dll 拉起同目录下的子进程并进行解密，以隐藏银狐的上线模块。

（2）新型注入方法使用

详情如下图：

（3） 使用多重注入形成断进程链的同时，构建注入的白链

详情如下图

（4）使用 rpc 远程创建计划任务和服务进行持久化

手法见《银狐叒进化，溯源不了，清理不掉！》但更为完善。

（5）远控工具多样化

目前银狐木马采用了各类魔改的 gh0st 和多样化的商业远控，如 IPGuard，固信等。

（5）自保和对抗能力增强

此次银狐会使用多个驱动保护自身不被结束，其关联的文件不被删除，其创建的持久化项不被清理，确保驻留。

四、应对措施

微步建议广大企业安全运营团队立刻采取措施：

1. 积极应对活跃黑产，成立专项运营小组、制定计划；

2. 应用有效的 EDR 技术，快速发现威胁并进行响应；

3. 提高员工安全意识，警惕伪装成内部员工拉群的钓鱼攻击，扫描转账前一定要多方核实，提高特定部门尤其是财务的安全意识宣导。