IT之家 5 月 23 日消息，互聯國家互聯網應急中心（CNCERT）今日公告，網應位國CNCERT 和安天聯合監測到“游蛇”黑產團伙（IT之家注：又名“銀狐”、急中家互“谷墮大盜”、心什性質心“UTG-Q-1000”等）組織活動頻繁，聯網攻擊者采用搜索引擎 SEO 推廣手段，應急

偽造 Chrome 瀏覽器下載站偽造站與正版官網高度相似，中心極具迷惑性用戶一旦誤信并下載惡意安裝包，省級游蛇遠控木馬便會植入系統并實現對目標設備的分中遠程操控，盜取敏感數據等操作通過跟蹤監測發現其每日上線境內肉雞數（以 IP 數計算）最多已超過 1.7 萬

?；ヂ摴艋顒臃治龉粽叽罱ㄒ浴癈hrome 瀏覽器”為誘餌的網應位國釣魚網站，誘導受害者從網站下載惡意安裝包。急中家互

圖 1 釣魚網站示例 1

圖 2 釣魚網站示例 2攻擊者搭建了多個釣魚網站，心什性質心下載時又跳轉至多個下載鏈接，聯網具體如下表所示。應急表 1 釣魚網絡地址及惡意安裝包下載地址

下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。

圖 3 下載的惡意安裝包壓縮包存在兩個文件，其中 chromex64.exe 是一個文件解壓程序，另一個是正常的 dll 文件，但文件名以日月年格式命名，疑似惡意程序更新日期。

圖 4 惡意安裝包中的文件chromex64.exe 運行后將默認在 C:\Chr0me_12.1.2 釋放文件其中包含舊版本 Chrome 瀏覽器相關文件，由于該軟件不是正常安裝，導致瀏覽器無法正常更新。

圖 5 安裝程序釋放的文件同時會解壓程序在桌面創建快捷方式，但快捷方式中實際初始運行的是本次活動投放的惡意文件，攜帶參數運行，不僅啟動自身，還啟動 Chrome 瀏覽器進程，以掩蓋該惡意快捷方式功能

圖 6 偽裝的 Chrome 快捷方式對應路徑文件如下，采用 dll 側加載（白 + 黑）形式執行。

圖 7 實際投放的惡意文件在內存中解密并執行 shellcode，該 shellcode 實質為 dll 格式的 Gh0st 遠控木馬家族變種。

圖 8 內存中的 Gh0st 遠控木馬該 dll 加載后，連接 C2 地址 duooi.com:2869，其中的域名是 2025 年 2 月 19 日注冊的，目前最新樣本主要請求該域名。

圖 9 連接 C2 地址基于情報關聯域名解析的 IP 地址，發現攻擊者基于任務持續注冊域名，并硬編碼至加密的 shellcode 文件中，部分舊有域名也更換 IP 地址，樣本分析期間所有域名又更換了兩次解析 IP 地址。

表 2 C2 域名變化

樣本對應的 ATT&CK 映射圖譜

圖 10 技術特點對應 ATT&CK 的映射ATT&CK 技術行為描述表如下。表 3 ATT&CK 技術行為描述表

感染規模通過監測分析發現，國內于 2025 年 4 月 23 日至 5 月 12 日期間，“游蛇”黑產團伙使用的 Gh0st 遠控木馬日上線肉雞數最高達到 1.7 萬余臺，C2 日訪問量最高達到 4.4 萬條，累計已有約 12.7 萬臺設備受其感染。

每日境內上線肉雞數情況如下

圖 11 每日上線境內肉雞數防范建議請廣大網民強化風險意識，加強安全防范，避免不必要的經濟損失，主要建議包括：（1）建議通過官方網站統一采購、下載正版軟件如無官方網站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描并校驗文件 HASH。

（2）盡量不打開來歷不明的網頁鏈接，不要安裝來源不明軟件（3）加強口令強度，避免使用弱口令，密碼設置要符合安全要求，并定期更換建議使用 16 位或更長的密碼，包括大小寫字母、數字和符號在內的組合，同時避免多個服務器使用相同口令。

（4）梳理已有資產列表，及時修復相關系統漏洞（5）安裝終端防護軟件，定期進行全盤殺毒（6）當發現主機感染僵尸木馬程序后，立即核實主機受控情況和入侵途徑，并對受害主機進行清理相關 IOC樣本 MD5：A1EAD0908ED763AB133677010F3B9BD7

ED74A6765F2FFEE35565395142D8B8B410FAC344D2F74D47FF79FE4A6D19765EIP：104[.]233.164.13161[.]110.5.21137[.]220.131.139

137[.]220.131.140DOMAIN：hiluxo[.]comtitamic[.]comsimmem[.]comgolomee[.]comduooi[.]comsadliu[.].comURL：

http[:]//google-chrom.cnhttps[:]//google-chrom.cnhttps[:]//chrome-html.comhttps[:]//am-666.comhttps[:]//

chrome-admin.com/https[:]//zhcn.down-cdn.com/chromex64.ziphttps[:]//cdn.downoss.com/chromex64.ziphttps[:]

//oss.downncdn.com/chromex64.ziphttps[:]//cdn-kkdown.com/chromex64.zip