风险警报： “黑猫” 网络犯罪组织定向攻击活动

 发布单位： 中国国家互联网应急中心（CNCERT）与 安恒信息（DBAPPSecurity）(https://www.dbappsecurity.com.cn/content/details4756_46730.html)
(WXA Deep Research 摘要）

摘要报告

中国 CNCERT 与安恒信息联合披露了“黑猫”网络犯罪组织实施的一起复杂的 SEO 投毒攻击活动。攻击者通过操纵搜索引擎排名，将恶意网站推至搜索结果顶部，伪装成“官方”网站，引诱用户下载捆绑木马的安装程序。一旦执行，这些安装程序会连接至攻击者控制的 C2 服务器，从而实现对受感染设备的远程、持续控制。

• SEO 投毒技术：恶意站点仿冒官方软件下载页面，以获得搜索引擎高排名。
• 域名投机（Typosquatting）：攻击者注册拼写错误的“mlcrosoft”域名（如 fyat.mlcrosoft[.]cyou 和 fymaimai.mlcrosoft[.]asia）诱导用户访问。
• 共享恶意基础设施：这些域名解析至 114.114.114.114（Zenlayer IP），该 IP 段内托管了大量可疑域名。
• 感染规模：2025 年 6 月 1 日至 7 月 28 日，中国约 28,800 台主机遭到感染，日峰值达 2,328 台。木马通过 RC4 算法和 “IDAT” 标记解密加载恶意程序，并保持与 C2 的通信。

恶意域名基础设施分析

攻击者注册了多个与微软合法域名极其相似的站点。如前所述，fyat.mlcrosoft[.]cyou 和 fymaimai.mlcrosoft[.]asia 就是其中的主要例子。

CNCERT 的分析还指出，这些仿冒域名都会重定向到同一 IP 地址。木马的加载器在初始阶段会访问这些假域名进行检测，每次 DNS 查询结果均为 114.114.114.114，这表明这些域名托管在同一位置。

在此基础上，WhoisXML API 通过反向 DNS 和 IP 地理定位，发现了 10 个托管在同一 IP 地址（208.91.197.91）上的微软仿冒域名。这些域名专门针对微软生态系统进行冒充，并采用多种滥用手法实施攻击。

DNS 与相关基础设施

除了两个主要域名外，此次攻击活动还涉及数百个利用“mlcrosoft”拼写错误及其他与 Microsoft 相似名称的仿冒域名。CNCERT 的 IOC 列表中包含了 www.imqqd[.]com 和 i4.com[.]vn 等钓鱼网站，这些站点通过仿冒真实软件下载页面传播木马。相关恶意域名与 C2 服务器的注册时间接近。共享 IP 地址 114.114.114.114（Zenlayer 托管）上托管了 270 多个域名，其中许多可能为可疑站点。攻击者可能使用了 Cloudflare 或类似的 CDN 服务，并通过更换不同的域名服务器来隐藏其基础设施、提升隐蔽性。

WHOIS 历史分析为这些恶意域名提供了进一步的归因信号。

• imqqd.com —— 2017 年的历史记录显示，注册人、管理员和技术联系人均为 [email protected]，关联至比利时 RANQED 组织的 Maxime Sahroui。
• tk9885.com —— 2018–2019 年的历史记录显示，其代理邮箱为 [email protected]，该邮箱未提供有效的归因价值。

在此基础上，对 [email protected] 进行后续 WHOIS 查询，识别出了以下域名足迹：

当前活跃域名（2 个）

• mademore.xyz
• epqstd.xyz

历史关联域名（共 14 个）

• nodicorns.com
• wearenodicorns.com
• nodicorn.com
• imqqd.com（已列入 IoC 清单）
• zweihq.xyz
• stateless.xyz
• stateless.today
• scaleout.xyz
• adonix.xyz
• rocketfee.com
• mademore.xyz
• epqstd.xyz
• epoqstudio.com
• histart.co

围绕这一暴露邮箱地址的聚合迹象表明，其背后可能存在更广泛的历史域名组合。过去的大多数注册要么已经过期，要么在近几年更新为隐私保护的 WHOIS 记录。

攻击规模与技术细节

2025 年 6 月 1 日至 7 月 28 日，约有 28,800 台中国主机遭入侵，峰值每日 C2 连接达 18,913 次。木马使用内嵌 “IDAT” 标记，后 16 字节作为 RC4 密钥在运行时解密，增加了静态检测难度。

案例 1 – 假冒 QQ 安装程序
钓鱼域名 www.imqqd[.]com 提供了一个捆绑安装包，该安装包运行 fgUSymqzvm.exe，并加载 Y6vv.dll。程序会通过访问 fyat.mlcrosoft[.]cyou 检查运行环境，然后利用 “IDAT” 标记和 RC4 算法解密文件，最后连接到 xat.tk9885[.]com 的 45 端口实现远程控制。

钓鱼网站

• https://www.imqqd[.]com

恶意安装包下载链接

• https://www.imqqd[.]com/qq_9.9.025311.zip
• https://windqq.oss-ap-southeast-1.aliyuncs[.]com/windo-qq.64.zip
  

解压后文件信息

• 文件名：qqdslgj.exe
• MD5：f86ecc767faal3fd8dc55d51878d3cc6
• 文件格式：Inno Setup Module (6.0.0)
• 开发语言：Delphi

文件目录

案例 2 – 假冒软件下载器
钓鱼域名 i4.com[.]vn 托管了一个捆绑安装包，该安装包运行 stQkSAAC.exe，并加载 KpKUt8.dll。程序会通过访问 fymaimai.mlcrosoft[.]asia 检查运行环境，利用 RC4-IDAT 方式解密文件，随后连接到 C2 服务器 mm.opi6qi5k[.]com（IP：143.92.60.214）。

钓鱼网站

• i4.com[.]vn
  

恶意安装包下载链接

• https://oss12318.oss-cn-hongkong.aliyuncs[.]com/i4aisizshou06.23.09.zip
  

解压后文件信息

• 文件名：i4aisizshou06.23.09.exe
• MD5：9d32902ad0d9f44e7f594d97d0fb88ab
• 文件格式：Inno Setup Module (6.4.3)
• 开发语言：Delphi

文件目录

这些案例确认了多阶段感染流程（钓鱼网站 → 木马安装程序 → 加载器 DLL → 解密 → 最终远控程序），同时明确了关键基础设施（仿冒域名和 C2 服务器）。

关键威胁指标（IOC）

• 钓鱼域名：
  • www.imqqd[.]com
  • i4.com[.]vn
    
• 回连域名：
  • fyat.mlcrosoft[.]cyou
  • fymaimai.mlcrosoft[.]asia
    
• C2 服务器：
  • xat.tk9885[.]com（IP：202.79.175.117）
  • mm.opi6qi5k[.]com（IP：143.92.60.214）
    
• 样本哈希值：
  • f86ecc767faa13fd8dc55d51878d3cc6
  • 9d32902ad0d9f44e7f594d97d0fb88ab

防御与缓解建议

CNCERT 建议在保持基本网络安全卫生的基础上，针对该威胁采取以下防护措施：

• 使用官方软件来源：始终从官方网站或可信软件商店下载程序，验证文件哈希，使用杀毒软件扫描，避免因 SEO 投毒导致误点恶意链接。
• 警惕不可信链接：不要点击不明搜索结果或从不可信网站安装软件，警惕攻击者伪造的“官方”标签。
• 部署终端防护：保持终端杀毒软件和 EDR 系统更新，定期进行安全扫描以发现异常行为。
• 监控 DNS 与域名：重点监控含“mlcrosoft”拼写错误的域名，封锁 IP 段 114.114.112.0/21 及相关投机域名，切断攻击链路。
• 事件响应：发现恶意软件时，立即隔离感染主机，检查是否存在 C2 通信，清理恶意残留，并追踪感染源头。

核心要点

“黑猫”SEO 投毒攻击活动展示了一个高度成熟的威胁行为者如何利用搜索引擎的信任传播恶意软件。主要教训包括：

• 搜索引擎操纵：攻击者将假冒网站推至搜索结果顶部，并错误标注为“官方”站点，切勿盲目信任排名。
• 大规模域名投机：数千个与“Microsoft”极为相似的域名被注册，持续的域名监控至关重要。
• 持久的多阶段恶意软件：木马通过安装包、加载器、RC4 加密等多层混淆手段逃避检测，需采用行为检测技术。
• 广泛的感染范围：两个月内近 3 万台设备被感染，说明 SEO 投毒影响巨大，即使是防护严密的企业也不能掉以轻心。