国家互联网应急中心（CNCERT）监测到“游蛇”黑产团伙利用伪造的Chrome浏览器下载站进行攻击，诱导用户下载恶意安装包，植入Gh0st远控木马，盗取敏感数据。该团伙通过搜索引擎SEO推广，伪造官网，欺骗用户下载。一旦用户中招，木马便会远程控制设备，窃取信息。监测显示，受感染设备已达12.7万台，每日上线肉鸡数最高达1.7万。CNCERT提醒公众提高警惕，从官方渠道下载软件，加强密码安全，并安装终端防护软件。

⚠️ 攻击者通过搭建与正版Chrome浏览器官网高度相似的钓鱼网站，利用搜索引擎SEO推广，诱导用户下载恶意安装包。

💻 恶意安装包包含文件解压程序和伪装的dll文件。当运行后，会在C:\Chr0me_12.1.2目录下释放文件，并创建伪装的Chrome快捷方式，实际运行恶意文件。

🦠 实际投放的恶意文件是Gh0st远控木马家族变种，通过dll侧加载方式执行，连接C2服务器以进行远程控制，窃取用户敏感数据。

📈 监测发现，该团伙使用的Gh0st远控木马日上线肉鸡数最高达1.7万余台，累计已有约12.7万台设备受其感染。

🛡️ CNCERT建议用户从官方网站下载软件，加强密码强度，定期更换密码，安装终端防护软件并定期杀毒，以防范此类攻击。

IT之家 5 月 23 日消息，国家互联网应急中心（CNCERT）今日公告，CNCERT 和安天联合监测到“游蛇”黑产团伙（IT之家注：又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）组织活动频繁，攻击者采用搜索引擎 SEO 推广手段，伪造 Chrome 浏览器下载站。伪造站与正版官网高度相似，极具迷惑性。

用户一旦误信并下载恶意安装包，游蛇远控木马便会植入系统并实现对目标设备的远程操控，盗取敏感数据等操作。通过跟踪监测发现其每日上线境内肉鸡数（以 IP 数计算）最多已超过 1.7 万。

攻击活动分析

攻击者搭建以“Chrome 浏览器”为诱饵的钓鱼网站，诱导受害者从网站下载恶意安装包。

图 1 钓鱼网站示例 1

图 2 钓鱼网站示例 2

攻击者搭建了多个钓鱼网站，下载时又跳转至多个下载链接，具体如下表所示。

表 1 钓鱼网络地址及恶意安装包下载地址

下载的恶意安装包是以“chromex64.zip”命名的压缩包文件。

图 3 下载的恶意安装包

压缩包存在两个文件，其中 chromex64.exe 是一个文件解压程序，另一个是正常的 dll 文件，但文件名以日月年格式命名，疑似恶意程序更新日期。

图 4 恶意安装包中的文件

chromex64.exe 运行后将默认在 C:\Chr0me_12.1.2 释放文件。其中包含旧版本 Chrome 浏览器相关文件，由于该软件不是正常安装，导致浏览器无法正常更新。

图 5 安装程序释放的文件

同时会解压程序在桌面创建快捷方式，但快捷方式中实际初始运行的是本次活动投放的恶意文件，携带参数运行，不仅启动自身，还启动 Chrome 浏览器进程，以掩盖该恶意快捷方式功能。

图 6 伪装的 Chrome 快捷方式

对应路径文件如下，采用 dll 侧加载（白 + 黑）形式执行。

图 7 实际投放的恶意文件

在内存中解密并执行 shellcode，该 shellcode 实质为 dll 格式的 Gh0st 远控木马家族变种。

图 8 内存中的 Gh0st 远控木马

该 dll 加载后，连接 C2 地址 duooi.com:2869，其中的域名是 2025 年 2 月 19 日注册的，目前最新样本主要请求该域名。

图 9 连接 C2 地址

基于情报关联域名解析的 IP 地址，发现攻击者基于任务持续注册域名，并硬编码至加密的 shellcode 文件中，部分旧有域名也更换 IP 地址，样本分析期间所有域名又更换了两次解析 IP 地址。

表 2 C2 域名变化

样本对应的 ATT&CK 映射图谱

图 10 技术特点对应 ATT&CK 的映射

ATT&CK 技术行为描述表如下。

表 3 ATT&CK 技术行为描述表

感染规模

通过监测分析发现，国内于 2025 年 4 月 23 日至 5 月 12 日期间，“游蛇”黑产团伙使用的 Gh0st 远控木马日上线肉鸡数最高达到 1.7 万余台，C2 日访问量最高达到 4.4 万条，累计已有约 12.7 万台设备受其感染。每日境内上线肉鸡数情况如下。

图 11 每日上线境内肉鸡数

防范建议

请广大网民强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：

（1）建议通过官方网站统一采购、下载正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描并校验文件 HASH。

（2）尽量不打开来历不明的网页链接，不要安装来源不明软件。

（3）加强口令强度，避免使用弱口令，密码设置要符合安全要求，并定期更换。建议使用 16 位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。

（4）梳理已有资产列表，及时修复相关系统漏洞。

（5）安装终端防护软件，定期进行全盘杀毒。

（6）当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。

相关 IOC

样本 MD5：

A1EAD0908ED763AB133677010F3B9BD7

ED74A6765F2FFEE35565395142D8B8B4

10FAC344D2F74D47FF79FE4A6D19765E

IP：

104[.]233.164.131

61[.]110.5.21

137[.]220.131.139

137[.]220.131.140

DOMAIN：

hiluxo[.]com

titamic[.]com

simmem[.]com

golomee[.]com

duooi[.]com

sadliu[.].com

URL：

http[:]//google-chrom.cn

https[:]//google-chrom.cn

https[:]//chrome-html.com

https[:]//am-666.com

https[:]//chrome-admin.com/

https[:]//zhcn.down-cdn.com/chromex64.zip

https[:]//cdn.downoss.com/chromex64.zip

https[:]//oss.downncdn.com/chromex64.zip

https[:]//cdn-kkdown.com/chromex64.zip