360独家发布《银狐木马年度报告》，深度剖析网络威胁“隐形炸弹”

近年来，银狐木马持续对我国政企机构构成重大安全威胁。该木马自2020年首次现身以来，初期传播范围有限，直至2022年9月进入集中爆发阶段。

进入2025年后，其传播态势呈现显著飙升态势，已从最初的单一病毒样本演变为远程控制木马家族的统称，长期针对政府、金融、医疗及制造业的管理与财务人员实施隐蔽攻击，成为潜伏在数字网络中的“隐形炸弹”。

为应对日益严峻的银狐木马威胁，360数字安全集团基于二十年实战攻防及持续一线对抗经验，首次独家发布《银狐木马年度报告》，系统剖析其传播态势与技术演进。

报告披露，该木马背后已聚集超过20个制作与免杀团伙，且仍有新团伙持续加入。仅过去一年间，该木马已向国内政企单位发起数万起精准攻击，显著加剧了政企机构内网安全防护难度，对关键基础设施安全运营构成严峻挑战。

为此，报告还针对性提出体系化的防御方案，旨在有效构建多维度应对能力，切实提升对银狐木马威胁的抵御效能，为关键业务系统构筑起动态防护屏障。

攻击策略由精转广

传播量级持续攀升

报告显示，在过去的一年间，银狐木马在攻击目标、传播范围、获利模式及对抗查杀等方面均呈现显著演变，威胁态势持续升级。

首先，其攻击策略从“精准打击”转向“广泛撒网”：过去针对财务、高管等关键岗位，通过窃取账号诱导大额转账（单笔达百万级），与电信诈骗深度绑定；如今转为小额诈骗（单笔2000-3000元），利用“企业所得税汇算”“清明放假通知”等周期性场景或“补贴领取”“系统退款”等话术，通过微信群发、钓鱼网站广泛传播，受害人群扩展至普通用户及海外华人。木马感染后还会自动收集信息，利用已登录社交账户转发恶意文件，实现链式扩散，部分变种可窃取数字货币钱包私钥，直接盗取数字资产。

背后获利链条呈现多元化、产业化特征：受控设备被转卖为“跳板机”，窃取数据在暗网分类贩卖，形成“恶意软件即服务（MaaS）”模式，甚至为勒索软件铺垫攻击，形成多维危害生态。

整体态势呈现高频迭代、传播激增、变种暴涨特点：免杀版本分钟级更新，单日数百次迭代；工作日日均查杀量超5万次，高峰周传播量破90万次，单日拦截峰值超20万次；年内拦截钓鱼站点逾1万个，7月日均新增数百个，11月处置6000个境外站点；同期发现967个新变种，累计记录近3万种新免杀样本，3-4月及9-10月尤为活跃。

此外，攻击集中于境内，广东、山东、江苏受攻击量居前三，与地区人口、经济及政企设备量相关；攻击时段呈现规律性高峰，每日10点及14-16点与目标人群工作时间吻合，高峰期每秒数百台设备受袭。为应对该木马威胁，360安全智能体2025年内已更新超156项专项防护方案。

攻击链产业化成型

技术体系持续演进

银狐木马成为当前最具威胁的恶意程序，关键在于其背后已形成分工明确、环节完整的产业化攻击链，覆盖传播、潜伏、对抗、驻留、远控直至获利全过程，显著提升了其生存能力与危害性，使得防御与追溯极为困难。

传播方式上，其核心是借助微信、钉钉等即时通讯工具，利用已登录账号通过社交关系链快速扩散伪装文件。其次，攻击者还会搭建仿冒办公及常用软件的钓鱼网站，并通过SEO或广告提升搜索排名以诱导访问。此外，木马也利用钓鱼邮件、常见Web应用漏洞进行传播，并在企业内部通过窃取的社交关系实现横向扩散，大幅增加防控难度。

潜伏策略上，银狐木马已从过去长达数周或数月的长期潜伏，转向“短平快”模式：控制设备后通常在1至3天内完成信息收集并迅速用于二次传播或诈骗。这一变化主要源于安全厂商检测效率的提升，迫使攻击者缩短操作窗口以避免木马被快速清除。

攻防对抗上，银狐木马综合运用多种技术：采用加壳、“白加黑”等免杀手法规避静态检测；滥用.NET框架机制、篡改WDAC策略等系统特性提升隐蔽性；通过模拟用户操作、篡改安全配置等方式绕过动态防护；并滥用第三方合法驱动程序对抗安全进程。这些持续演进的技术使其得以维持高威胁态势。

驻留技术上，该木马采用的手段包括滥用系统工具进行无文件驻留、部署合法远程管理软件建立隐蔽后门、利用计划任务等服务实现自启动、将ShellCode注入关键进程隐藏行踪，以及通过劫持常用软件组件或系统TypeLib实现随合法程序激活。

远程控制上，其方式呈现多样化：既使用自研的Gh0st、WinOS等变种，也滥用AnyDesk等合法远程工具，或直接购买商业远控软件，最隐蔽的是滥用IPGUARD、阳途等企业管理软件“合法外衣”持久控制。近两年，360发现数十款被滥用软件，并推出检测与一键清理方案，持续助力政企机构有效应对。

获利方式上，则主要包括四类：冒充领导实施转账诈骗；以补贴通知为名诱骗扫码，窃取支付信息；监控并劫持钱包地址盗取虚拟货币；以及作为前置工具投递勒索软件。这表明其已从单一诈骗工具演变为支撑多样化黑产变现的攻击平台。

2025年中，360监测到超20个活跃团伙，其中超六成在全年保持高度活跃。攻击者呈现跨国分布特征，境外主要集中在东南亚地区，占攻击源的36.4%，越南尤为突出；境内则以广东和香港为主要聚集地。整体上，银狐木马团伙活跃度显著上升，且与电诈从业人员关联密切，威胁持续泛化与升级。

360终端安全智能体蜂群赋能

全面抵御银狐木马威胁

对于各类安全威胁，预防始终是应对的第一道防线。针对银狐木马，最有效的预防在于用户能够主动识别常见钓鱼信息，并严格遵守相关安全规范，从而显著提高攻击者的实施难度。360建议政企机构保持高度警惕，并采取体系化、针对性的防护措施，筑牢安全屏障。

作为国内唯一兼具数字安全和人工智能双重能力的企业，360在自研安全大模型的赋能下，将安全专家的能力和经验进行固化，并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点，打造出终端安全智能体蜂群。

为有效应对银狐木马威胁，360依托终端安全智能蜂群体赋能的云安全立体防护体系，构建起涵盖传播拦截、行为监测、深度清理的银狐木马全周期防御矩阵。

在木马传播的初始阶段

该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖，可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测，在木马落地前即完成自动查杀。

针对攻击者精心设计的对抗手段

比如遭遇掺杂大量干扰文件的多文件攻击，抑或是面对超大文件规避检测的传统伎俩，以及针对加密压缩包和“配置型白利用”等新型攻击方式，该体系皆可依托终端安全智能体蜂群赋能的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，从而实现自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并持续监测其后续行为。

对于传输过程中的漏网之鱼

360主动防御系统会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等，360主动防御对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。

在终端处置环节

360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道，为深度清理争取宝贵时间窗口。此外，该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复，也支持对被银狐木马利用的合法管理软件的智能检测与卸载。

据360终端安全智能体蜂群监测，近两年被滥用于攻击的合法软件已达数十款，常见包括IPGUARD、阳途、固信、安在等，360终端安全智能体蜂群已支持对此类软件的全面检测与一键清理。