5月14日，微步OneSEC首次检测到了使用EDRChoker技术的银狐样本。样本运行后，这项技术可将目标EDR、杀软进程的网络速率，限制为10bit/s，使其无法正常检测攻击行为，随后再远程下载黑DLL。这是微步首次观测到使用未公开对抗手法的银狐样本，而直到6月7日，该手法才由知名安全研究员Zero Salarium公开。

微步情报局对同源样本追踪发现：5月至今，有黑产团伙大量投递使用该技术的银狐样本，绝大多数EDR和杀软都无法检测。从新手法公开到银狐首次利用的时间窗口来看，短短1年半之内，已经从4年多缩短到了负1个月。

在传播层面，黑产团伙主要向Bing（少量百度、360搜索）高强度投递仿冒软件钓鱼网站，投递密度为目前监控到的所有黑产团伙之最，注册钓鱼域名数量达到1100+，仿冒软件数量近100个。钓鱼页面也一改往日浓浓的AI味，而是1:1复制了官网下载页面，肉眼看上去完全没有区别。

目前，微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对这批样本的精确检测。

本文为银狐5-6月攻击活动报告。微步情报局还将持续发布银狐月度报告，并第一时间跟进解读相关重大攻击事件。以下为详细分析。

传播手法：投递密度、仿真度前所未有

（1）bing搜索出现海量“官网1:1复制品”

此次黑产攻击活动中，黑产团伙主要向Bing搜索引擎高强度投递仿冒钓鱼网站，且投递密度是目前监控的黑产团伙之最。以飞书为例，在Bing搜索引擎搜索“飞书下载”，在首页搜索结果中，连续三个搜索结果均为该团伙仿冒钓鱼网站：

该团伙除了飞书应用外，还通过SEO的方式在Bing搜索引擎投递了其他常见软件应用：

这些应用在搜索引擎中排行前列，且钓鱼网站并非vibe coding快速生成，而是使用官网复制的形式，与官网下载页面没有任何区别。

（2）使用特殊js文件筛选受害人群

微步情报局发现，该黑产团伙在搜索引擎展示的钓鱼网站会加载一个特殊的js文件：

文件经过大量混淆编码：

但实际的逻辑是做userAgent，refer以及地理位置的检测，解混淆后主要逻辑为：

恶意代码根据referrer头、userAgent 和GeoBlocked这些参数决定是否进行跳转，这些参数来分辨用户的访问来源，用户请求进程以及用户访问的地理位置，屏蔽了非搜索引擎来源和爬虫，只有真正的来自搜索引擎的用户才会访问到后续的钓鱼域名。

● 搜索引擎来源，且不是爬虫，且在不在限制的地理位置内：跳转到后续钓鱼域名

● 非搜索引擎来源，且不是爬虫时：跳转到官网

● 爬虫或在限制的地理位置时：不跳转

这些后续钓鱼域名结构上以：<随机数字>web.cdn-<应用名>.com为结构，比如：

（3）1100+钓鱼域名、90+仿冒软件

通过追溯whois信息，这批钓鱼域名关联了两个qq邮箱：

其中137260413@qq.com累计注册了914个钓鱼域名，3906534200@qq.com累计注册了198个钓鱼域名，这些钓鱼域名最早能追溯到2026-03-28，在2026-05-04这周注册域名数量达到高峰，有238个：

这两个注册邮箱累计仿冒了91个应用，其中前20名仿冒应用数量如下：

微步情报局监控了搜索引擎关键字搜索结果，发现在2026-04-17到2026-06-16之间，该黑产团伙在Bing/Baidu/So360搜索引擎上投递了100个仿冒钓鱼域名，涉及搜索关键字22个：

对抗手法：率先使用EDRChoker

以仿冒千问的银狐样本为例。

样本解压后为2026年5月14日编译的程序：

该程序入口会创建一个wxbase333u_init_Mux的互斥量，如果检测到该互斥量会故意写空地址并double free，触发崩溃/异常退出

后续修改工作目录为临时目录，base64解码(多次解码)：

解码拼接后为字符串：

e4dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4L8%4u0C8M7%4c8I4i4K6u0W2L8%4y4K6i4K6u0V1j5$3&6Q4x3X3c8Z5L8$3&6Y4K9$3!0F1k6#2)9J5k6h3q4D9K9i4W2#2L8X3y4K6i4K6u0W2j5$3!0E0i4K6u0r3j5U0u0U0j5e0M7K6k6o6V1%4y4e0t1K6x3U0N6T1K9g2)9J5c8V1k6J5k6h3g2u0L8h3q4Y4k6g2)9J5k6h3c8D9L8l9`.`.

恶意代码尝试下载该远程dll，并加载导出函数：FreeImage_ConvertLine16To24_555

在加载完成后，也通过写空地址并double free，触发崩溃/异常退出。

下载dll文件为2026-05-06 15:19:47编译，且含有PDB地址：

C:\Users\admin\Desktop\repos\freeimage-master\x64\Release\FreeImage.pdb

该PDB地址为著名开源C/C++图像处理库，恶意dll使用该项目源码添加恶意逻辑编译而成，在下载的恶意dll里面会继续下载后续恶意程序：

其中恶意程序地址为：

bc9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4L8%4u0C8M7%4c8I4i4K6u0W2L8%4y4K6i4K6u0V1j5$3&6Q4x3X3c8Z5L8$3&6Y4K9$3!0F1k6#2)9J5k6h3q4D9K9i4W2#2L8X3y4K6i4K6u0W2j5$3!0E0i4K6u0r3j5U0u0U0j5e0M7K6k6o6V1%4y4e0t1K6x3U0N6T1K9g2)9J5c8X3I4K6M7r3W2F1M7%4c8Q4y4h3k6^5y4U0c8Q4x3X3g2W2P5r3f1`.

其中b2ca73d9752327bi/是在FreeImage.dll的导出函数调用时候传入：

下载该程序后调用运行：

下载的恶意程序lspinst_x64.exe 为 2026-05-10 18:37:16，PDB地址：alacritty.pdb

该程序是基于Alacritty添加恶意逻辑编译而成，而Alacritty是一款基于RUST语言编写的开源终端模拟器，恶意程序在原本主逻辑后加入了恶意逻辑，恶意逻辑开头首先进行虚拟机检测，通过CPU vendor/CPU feature的功能检查来判断程序是否运行在虚拟机：

如果不在虚拟机中运行，则获取当前时间和设定失效时间2028-04-13 00:00:00进行比较：

只有在失效时间内，程序才继续运行。在该程序中，攻击者硬编码了后续运行的恶意命令，其中包括了通过Windows Policy-based QoS 给相关进程进行网络限速：

命令中涵盖一些动态设定的变量，具体根据终端含有的安全软件而定：

这条命令通过Windows Policy-based QoS机制设定了目标程序的网络带宽，将目标程序的网络速率限制为10bit/s。在这种网络速率下，目标程序如果是依赖云端查杀能力的杀毒软件或EDR，则几乎等同于“断网”。

相对于此前广泛使用BYOVD技术关闭杀软进程，该手法只影响正常数据采集而不影响心跳包，因此管理员不会发现Agent掉线，隐蔽性有所增强。

在完成对目标程序的“断网”后，恶意程序会在指定目录下释放白加黑程序：

并通过调用PowerShell设置了计划任务持久项：

恶意样本创建名为StateRepositoryapp的Windows计划任务，用于持久化执行C:\Program Files (x86)\MCWinMailAll\YXCalendar.exe。任务会在创建后约5秒立即触发一次，同时设置每10分钟重复执行一次、持续900天，并在用户登录时再次触发；任务主体使用当前交互用户运行，请求最高权限级别，允许电池供电状态下启动且不中止，允许多个实例并行执行，并使用-Force覆盖同名任务。

而该计划任务启动白加黑程序会向系统进程colorcpl.exe注入恶意载荷来连接远控地址：

附录：部分IOC

钓鱼

tm-tencent.com.cn

surfsharks.com.cn

pc-kook.com.cn

ks-todesk.com.cn

go-web-chrome.com.cn

e-feishu.com.cn

feishu-web.com.cn

中间跳转钓鱼域名

cdn-chrome-google.com

cdn-todesk.com

cdn-kook.com

cdn-surfshark.com

cdn-tencent.com.cn

cdn-qianwen.com

cdn-kuailian.com

cdn-helloworld.com

cdn-youdao.com

C2远控

chrome-gtp.com

192.238.134.56:8080

192.238.134.56:8081

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。