360獨家發布《銀狐木馬年度報告》，深度剖析網絡威脅“隱形炸彈”

摘要： 銀狐木馬攻擊策略從"精準打擊"轉向"廣泛撒網"，政企亟需警惕

近年來，銀狐木馬持續對我國政企機構構成重大安全威脅。該木馬自2020年首次現身以來，初期傳播范圍有限，直至2022年9月進入集中爆發階段。進入2025年后，其傳播態勢呈現顯著飆升態勢，已從最初的單一病毒樣本演變為遠程控制木馬家族的統稱，長期針對政府、金融、醫療及制造業的管理與財務人員實施隱蔽攻擊，成為潛伏在數字網絡中的“隱形炸彈”。
 
為應對日益嚴峻的銀狐木馬威脅，360數字安全集團基于二十年實戰攻防及持續一線對抗經驗，首次獨家發布《銀狐木馬年度報告》，系統剖析其傳播態勢與技術演進。
 
報告披露，該木馬背后已聚集超過20個制作與免殺團伙，且仍有新團伙持續加入。僅過去一年間，該木馬已向國內政企單位發起數萬起精準攻擊，顯著加劇了政企機構內網安全防護難度，對關鍵基礎設施安全運營構成嚴峻挑戰。
 
為此，報告還針對性提出體系化的防御方案，旨在有效構建多維度應對能力，切實提升對銀狐木馬威脅的抵御效能，為關鍵業務系統構筑起動態防護屏障。
 

攻擊策略由精轉廣
傳播量級持續攀升

 
報告顯示，在過去的一年間，銀狐木馬在攻擊目標、傳播范圍、獲利模式及對抗查殺等方面均呈現顯著演變，威脅態勢持續升級。

首先，其攻擊策略從“精準打擊”轉向“廣泛撒網”：過去針對財務、高管等關鍵崗位，通過竊取賬號誘導大額轉賬（單筆達百萬級），與電信詐騙深度綁定；如今轉為小額詐騙（單筆2000-3000元），利用“企業所得稅匯算”“清明放假通知”等周期性場景或“補貼領取”“系統退款”等話術，通過微信群發、釣魚網站廣泛傳播，受害人群擴展至普通用戶及海外華人。木馬感染后還會自動收集信息，利用已登錄社交賬戶轉發惡意文件，實現鏈式擴散，部分變種可竊取數字貨幣錢包私鑰，直接盜取數字資產。
 
背后獲利鏈條呈現多元化、產業化特征：受控設備被轉賣為“跳板機”，竊取數據在暗網分類販賣，形成“惡意軟件即服務（MaaS）”模式，甚至為勒索軟件鋪墊攻擊，形成多維危害生態。
 
整體態勢呈現高頻迭代、傳播激增、變種暴漲特點：免殺版本分鐘級更新，單日數百次迭代；工作日日均查殺量超5萬次，高峰周傳播量破90萬次，單日攔截峰值超20萬次；年內攔截釣魚站點逾1萬個，7月日均新增數百個，11月處置6000個境外站點；同期發現967個新變種，累計記錄近3萬種新免殺樣本，3-4月及9-10月尤為活躍。
 
此外，攻擊集中于境內，廣東、山東、江蘇受攻擊量居前三，與地區人口、經濟及政企設備量相關；攻擊時段呈現規律性高峰，每日10點及14-16點與目標人群工作時間吻合，高峰期每秒數百臺設備受襲。為應對該木馬威脅，360安全智能體2025年內已更新超156項專項防護方案。
 

攻擊鏈產業化成型
技術體系持續演進

 
銀狐木馬成為當前最具威脅的惡意程序，關鍵在于其背后已形成分工明確、環節完整的產業化攻擊鏈，覆蓋傳播、潛伏、對抗、駐留、遠控直至獲利全過程，顯著提升了其生存能力與危害性，使得防御與追溯極為困難。
 
傳播方式上，其核心是借助微信、釘釘等即時通訊工具，利用已登錄賬號通過社交關系鏈快速擴散偽裝文件。其次，攻擊者還會搭建仿冒辦公及常用軟件的釣魚網站，并通過SEO或廣告提升搜索排名以誘導訪問。此外，木馬也利用釣魚郵件、常見Web應用漏洞進行傳播，并在企業內部通過竊取的社交關系實現橫向擴散，大幅增加防控難度。
 
潛伏策略上，銀狐木馬已從過去長達數周或數月的長期潛伏，轉向“短平快”模式：控制設備后通常在1至3天內完成信息收集并迅速用于二次傳播或詐騙。這一變化主要源于安全廠商檢測效率的提升，迫使攻擊者縮短操作窗口以避免木馬被快速清除。
 
攻防對抗上，銀狐木馬綜合運用多種技術：采用加殼、“白加黑”等免殺手法規避靜態檢測；濫用.NET框架機制、篡改WDAC策略等系統特性提升隱蔽性；通過模擬用戶操作、篡改安全配置等方式繞過動態防護；并濫用第三方合法驅動程序對抗安全進程。這些持續演進的技術使其得以維持高威脅態勢。
 
駐留技術上，該木馬采用的手段包括濫用系統工具進行無文件駐留、部署合法遠程管理軟件建立隱蔽后門、利用計劃任務等服務實現自啟動、將ShellCode注入關鍵進程隱藏行蹤，以及通過劫持常用軟件組件或系統TypeLib實現隨合法程序激活。
 
遠程控制上，其方式呈現多樣化：既使用自研的Gh0st、WinOS等變種，也濫用AnyDesk等合法遠程工具，或直接購買商業遠控軟件，最隱蔽的是濫用IPGUARD、陽途等企業管理軟件“合法外衣”持久控制。近兩年，360發現數十款被濫用軟件，并推出檢測與一鍵清理方案，持續助力政企機構有效應對。

獲利方式上，則主要包括四類：冒充領導實施轉賬詐騙；以補貼通知為名誘騙掃碼，竊取支付信息；監控并劫持錢包地址盜取虛擬貨幣；以及作為前置工具投遞勒索軟件。這表明其已從單一詐騙工具演變為支撐多樣化黑產變現的攻擊平臺。
 
2025年中，360監測到超20個活躍團伙，其中超六成在全年保持高度活躍。攻擊者呈現跨國分布特征，境外主要集中在東南亞地區，占攻擊源的36.4%，越南尤為突出；境內則以廣東和香港為主要聚集地。整體上，銀狐木馬團伙活躍度顯著上升，且與電詐從業人員關聯密切，威脅持續泛化與升級。
 

360終端安全智能體蜂群賦能
全面抵御銀狐木馬威脅

 
對于各類安全威脅，預防始終是應對的第一道防線。針對銀狐木馬，最有效的預防在于用戶能夠主動識別常見釣魚信息，并嚴格遵守相關安全規范，從而顯著提高攻擊者的實施難度。360建議政企機構保持高度警惕，并采取體系化、針對性的防護措施，筑牢安全屏障。
 
作為國內唯一兼具數字安全和人工智能雙重能力的企業，360在自研安全大模型的賦能下，將安全專家的能力和經驗進行固化，并結合過去20年積累的海量樣本數據、情報能力以及終端安全上1200余項能力點，打造出終端安全智能體蜂群。

為有效應對銀狐木馬威脅，360依托終端安全智能蜂群體賦能的云安全立體防護體系，構建起涵蓋傳播攔截、行為監測、深度清理的銀狐木馬全周期防御矩陣。
 
在木馬傳播的初始階段，該體系中的下載安全防護模塊已實現對主流通訊軟件的全鏈路覆蓋，可對通過釘釘、微信、QQ等渠道傳播的惡意文件進行實時檢測，在木馬落地前即完成自動查殺。
 
針對攻擊者精心設計的對抗手段，比如遭遇摻雜大量干擾文件的多文件攻擊，抑或是面對超大文件規避檢測的傳統伎倆，以及針對加密壓縮包和“配置型白利用”等新型攻擊方式，該體系皆可依托終端安全智能體蜂群賦能的智能分析系統，將安全專家的分析經驗匯集于模型之中，快速從各類掃描數據中找出符合以上攻擊特性的樣本，從而實現自動阻斷攔截。此外，還會對無法識別的可疑文件進行標記，并持續監測其后續行為。
 
對于傳輸過程中的漏網之魚，360主動防御系統會對用戶電腦提供強力保護。近期，銀狐木馬常用的攻擊包括PoolParty注入、模擬用戶點擊、WFP斷網、安全軟件驅動利用、Windows Defender策略濫用等，360主動防御對這些攻擊均能進行有效防御，并對發現的漏網之魚進行清剿。
 
在終端處置環節，360云安全立體防護體系中的遠控·勒索急救模式展現強大應急響應能力。該模式可一鍵切斷攻擊者控制通道，為深度清理爭取寶貴時間窗口。此外，該體系不僅支持對各類驅動級木馬的清理、對被篡改的系統配置進行修復，也支持對被銀狐木馬利用的合法管理軟件的智能檢測與卸載。
 
據360終端安全智能體蜂群監測，近兩年被濫用于攻擊的合法軟件已達數十款，常見包括IPGUARD、陽途、固信、安在等，360終端安全智能體蜂群已支持對此類軟件的全面檢測與一鍵清理。

目前，360云安全立體防護體系已經實現對銀狐木馬病毒的全面查殺，建議廣大政企機構盡快部署。