IT之家 5 月 23 日消息，國家國國家互聯網應急中心（CNCERT）今日公告，互聯互聯CNCERT 和安天聯合監測到“游蛇”黑產團伙（IT之家注：又名“銀狐”、網應網應位“谷墮大盜”、急中急中“UTG-Q-1000”等）組織活動頻繁，心舉心事攻擊者采用搜索引擎 SEO 推廣手段，辦屆

偽造 Chrome 瀏覽器下載站偽造站與正版官網高度相似，業單極具迷惑性用戶一旦誤信并下載惡意安裝包，國家國游蛇遠控木馬便會植入系統并實現對目標設備的互聯互聯遠程操控，盜取敏感數據等操作通過跟蹤監測發現其每日上線境內肉雞數（以 IP 數計算）最多已超過 1.7 萬

。網應網應位攻擊活動分析攻擊者搭建以“Chrome 瀏覽器”為誘餌的急中急中釣魚網站，誘導受害者從網站下載惡意安裝包。心舉心事

圖 1 釣魚網站示例 1

圖 2 釣魚網站示例 2攻擊者搭建了多個釣魚網站，辦屆下載時又跳轉至多個下載鏈接，業單具體如下表所示。國家國表 1 釣魚網絡地址及惡意安裝包下載地址

下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。

圖 3 下載的惡意安裝包壓縮包存在兩個文件，其中 chromex64.exe 是一個文件解壓程序，另一個是正常的 dll 文件，但文件名以日月年格式命名，疑似惡意程序更新日期。

圖 4 惡意安裝包中的文件chromex64.exe 運行后將默認在 C:\Chr0me_12.1.2 釋放文件其中包含舊版本 Chrome 瀏覽器相關文件，由于該軟件不是正常安裝，導致瀏覽器無法正常更新。

圖 5 安裝程序釋放的文件同時會解壓程序在桌面創建快捷方式，但快捷方式中實際初始運行的是本次活動投放的惡意文件，攜帶參數運行，不僅啟動自身，還啟動 Chrome 瀏覽器進程，以掩蓋該惡意快捷方式功能

圖 6 偽裝的 Chrome 快捷方式對應路徑文件如下，采用 dll 側加載（白 + 黑）形式執行。

圖 7 實際投放的惡意文件在內存中解密并執行 shellcode，該 shellcode 實質為 dll 格式的 Gh0st 遠控木馬家族變種。

圖 8 內存中的 Gh0st 遠控木馬該 dll 加載后，連接 C2 地址 duooi.com:2869，其中的域名是 2025 年 2 月 19 日注冊的，目前最新樣本主要請求該域名。

圖 9 連接 C2 地址基于情報關聯域名解析的 IP 地址，發現攻擊者基于任務持續注冊域名，并硬編碼至加密的 shellcode 文件中，部分舊有域名也更換 IP 地址，樣本分析期間所有域名又更換了兩次解析 IP 地址。

表 2 C2 域名變化

樣本對應的 ATT&CK 映射圖譜

圖 10 技術特點對應 ATT&CK 的映射ATT&CK 技術行為描述表如下。表 3 ATT&CK 技術行為描述表

感染規模通過監測分析發現，國內于 2025 年 4 月 23 日至 5 月 12 日期間，“游蛇”黑產團伙使用的 Gh0st 遠控木馬日上線肉雞數最高達到 1.7 萬余臺，C2 日訪問量最高達到 4.4 萬條，累計已有約 12.7 萬臺設備受其感染。

每日境內上線肉雞數情況如下

圖 11 每日上線境內肉雞數防范建議請廣大網民強化風險意識，加強安全防范，避免不必要的經濟損失，主要建議包括：（1）建議通過官方網站統一采購、下載正版軟件如無官方網站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描并校驗文件 HASH。

（2）盡量不打開來歷不明的網頁鏈接，不要安裝來源不明軟件（3）加強口令強度，避免使用弱口令，密碼設置要符合安全要求，并定期更換建議使用 16 位或更長的密碼，包括大小寫字母、數字和符號在內的組合，同時避免多個服務器使用相同口令。

（4）梳理已有資產列表，及時修復相關系統漏洞（5）安裝終端防護軟件，定期進行全盤殺毒（6）當發現主機感染僵尸木馬程序后，立即核實主機受控情況和入侵途徑，并對受害主機進行清理相關 IOC樣本 MD5：A1EAD0908ED763AB133677010F3B9BD7

ED74A6765F2FFEE35565395142D8B8B410FAC344D2F74D47FF79FE4A6D19765EIP：104[.]233.164.13161[.]110.5.21137[.]220.131.139

137[.]220.131.140DOMAIN：hiluxo[.]comtitamic[.]comsimmem[.]comgolomee[.]comduooi[.]comsadliu[.].comURL：

http[:]//google-chrom.cnhttps[:]//google-chrom.cnhttps[:]//chrome-html.comhttps[:]//am-666.comhttps[:]//

chrome-admin.com/https[:]//zhcn.down-cdn.com/chromex64.ziphttps[:]//cdn.downoss.com/chromex64.ziphttps[:]

//oss.downncdn.com/chromex64.ziphttps[:]//cdn-kkdown.com/chromex64.zip