Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Киберпреступники с помощью ИИ создали сеть из 439 фишинговых сайтов и заразили 180 тысяч устройств трояном Silver Fox

information security

С февраля по май 2026 года китайский центр мониторинга сетевых угроз CNCERT зафиксировал масштабную атаку с использованием трояна удалённого доступа Silver Fox (серебряный лис). Злоумышленники развернули 439 поддельных сайтов, маскирующихся под популярное программное обеспечение, и заразили порядка 182 тысяч компьютеров. Особую тревогу вызывает тот факт, что фишинговые страницы, по всей видимости, создавались при помощи технологий искусственного интеллекта.

Описание

Атака началась с массовой регистрации доменов, имитирующих названия известных программ. Почти 77 процентов всех поддельных сайтов приходится на две цели: браузер Chrome и офисный пакет WPS. Оставшаяся доля распределена между мессенджером Telegram, клиентом для обхода блокировок LetsVPN, сервисами WhatsApp, "Куайлянь", "Юаньдао", браузером BitBrowser и утилитой Clash. Злоумышленники регистрировали домены пачками - в один из моментов за минуту было создано сразу 15 адресов, относящихся к LetsVPN. Для доменных имён преимущественно использовались китайские зоны: почти 43 процента пришлось на региональный домен провинции Хэйлунцзян hl.cn, около 31 процента - на com.cn, ещё 23 процента - на зону .cn.

Фишинговые страницы отличались высокой степенью автоматизации. Специалисты CNCERT обратили внимание, что код этих сайтов выглядит не как ручная работа, а как результат работы генеративной модели. HTML-разметка содержала аккуратные, стандартизированные комментарии, а сами страницы, даже имитирующие одну и ту же программу, не имели единого макета. Это говорит о том, что каждый сайт создавался с нуля по шаблону, вероятно, с помощью чат-бота или аналогичного инструмента. Отчёт CNCERT, подготовленный при содействии компании Weibu Online, указывает, что злоумышленники также применяли SEO-оптимизацию: поддельные сайты индексировались в поисковой системе Bing и требовали, чтобы переход осуществлялся именно из поисковой выдачи. При прямом обращении по URL пользователь перенаправлялся на bing.com или на неработающую страницу - это защищало фишинг от анализа.

После того как жертва переходила на поддельный сайт и скачивала якобы установочный пакет, начиналась вторая фаза атаки. Вредоносное ПО было упаковано с помощью инструмента Inno Setup и содержало легитимный установщик реальной программы - например, Chrome или WPS. Параллельно с установкой настоящего приложения запускался вредоносный код. Специалисты выяснили, что образец, полученный с сайта mb-google-chrome.hl.cn, представлял собой модифицированную версию трояна Gh0st. Он был дополнительно защищён упаковщиком VMP и использовал технику загрузки shellcode (вредоносного кода, выполняемого непосредственно в памяти) из зашифрованного файла. После расшифровки shellcode внедрялся в системные процессы Windows - ctfmon.exe, sihost.exe, svchost.exe и elevation_service.exe. Эти процессы системой считаются доверенными, что позволяло трояну работать незаметно для большинства антивирусов.

Для закрепления в системе троян создавал службу с правами SYSTEM и помещал конфигурационные файлы в случайно названную папку внутри каталога ProgramData. Папка, из которой запускался вредоносный код, также делалась недоступной для чтения и удаления. После этого заражённый компьютер начинал связываться с серверами управления и контроля (C2) по 22-му и 443-му портам. В ходе расследования было идентифицировано 17 вредоносных доменов и 20 IP-адресов C2. Среди наиболее активных серверов, контролировавших более 10 тысяч устройств, значатся dd.kmsccedn.com, vaeth.cn, feiji22.vip и другие.

Масштаб заражения оказался внушительным. Ежедневное количество активных "зомби" - компьютеров, подключённых к C2, - достигало 26 тысяч. Суммарно за месяц наблюдений (с 8 апреля по 7 мая 2026 года) число уникальных заражённых машин превысило 182 тысячи. Злоумышленники отслеживали эффективность своих фишинговых страниц с помощью бесплатного сервиса статистики 51.LA: они собирали данные о посещаемости, времени на сайте и источниках трафика. Это помогало вычислять рентабельность каждой фишинговой кампании и оптимизировать её.

Специалисты рекомендуют пользователям сохранять бдительность. Прежде всего следует скачивать программы только с официальных сайтов (например, www.wps.cn) или из магазинов приложений. Домены, содержащие лишние дефисы, повторяющиеся буквы или странные префиксы вроде "kn-wps.com.cn", почти наверняка ведут на фишинг. Особую опасность представляют рекламные ссылки в поисковых системах - злоумышленники часто выкупают объявления, чтобы их поддельные сайты оказывались на первой странице выдачи под видом легитимных. Не стоит пренебрегать и стандартными мерами защиты: держать включённым антивирус в реальном времени, своевременно обновлять операционную систему и приложения, а также следить за необычной сетевой активностью или подозрительными фоновыми процессами. Если компьютер стал вести себя странно, лучше сразу отключить его от сети и проверить на наличие вредоносного ПО.

История с трояном Silver Fox в очередной раз демонстрирует, как киберпреступники адаптируют современные технологии - от генеративных нейросетей до облачных хранилищ - для массовых атак. Борьба с такими угрозами требует не только технических средств, но и повышения цифровой грамотности самих пользователей.

Индикаторы компрометации

IPv4

  • 103.12.148.80
  • 103.156.25.99
  • 103.73.220.57
  • 104.143.33.78
  • 122.248.198.240
  • 137.220.153.134
  • 137.220.158.22
  • 154.23.183.157
  • 154.23.184.120
  • 182.16.88.242
  • 185.203.39.134
  • 192.238.128.30
  • 192.252.176.79
  • 203.91.74.8
  • 27.124.2.150
  • 47.130.236.119
  • 47.76.195.75
  • 47.76.255.167
  • 54.254.148.22

Domains

  • 360-app.cn
  • aa-google-chome.hk.cn
  • aa-wps-office.com.cn
  • api-google-chrome.hl.cn
  • app-binance.cn
  • app-gate.cn
  • app-okx.cn
  • apps-chrome-browser.hl.cn
  • apps-chrome-cn-zh.hl.cn
  • apps-chrome-google.hl.cn
  • apps-chrome-google-com.hl.cn
  • apps-chrome-zh.hl.cn
  • apps-chrome-zhcn.hl.cn
  • apps-chrome-zh-cn.hl.cn
  • apps-clash-zh.com.cn
  • apps-googgle-chrome.hl.cn
  • apps-google-cchrome.hl.cn
  • apps-google-chhrome.hl.cn
  • apps-google-chrome.hl.cn
  • apps-google-chroome.hl.cn
  • apps-google-chrroome.hl.cn
  • apps-google-com-cn.hl.cn
  • apps-google-com-zh.hl.cn
  • apps-google-zh.com.cn
  • apps-google-zh.hl.cn
  • apps-google-zh-com.hl.cn
  • apps-googlle-chrome-zh.hl.cn
  • apps-kuailiian-zh.com.cn
  • apps-offiice-wps.com.cn
  • apps-telegram-zh.hl.cn
  • apps-whatsapp-com.hl.cn
  • apps-whatsapp-zh.hl.cn
  • apps-wps-cnzh.com.cn
  • apps-wps-cn-zh.com.cn
  • apps-wps-offce.com.cn
  • apps-wps-offfice.com.cn
  • apps-wps-offiiice.com.cn
  • apps-wps-platform.com.cn
  • apps-wps-ppt.com.cn
  • apps-wps-word.hl.cn
  • apps-wps-zh.hl.cn
  • apps-wps-zhcn.com.cn
  • apps-wps-zh-cn.com.cn
  • apps-wps-zhcn.hl.cn
  • apps-wps-zh-cn.hl.cn
  • apps-zhcn-google.hl.cn
  • apps-zhcn-wps.com.cn
  • app-wps-zh.hl.cn
  • app-youdao-zh.hl.cn
  • bb-wps-office.com.cn
  • bit-bybit.cn
  • bitgetapp.cn
  • bitget-app.cn
  • browsercore.cn
  • browserdock.cn
  • browserfast.cn
  • browserhub.cn
  • browserlink.cn
  • cc-google-chome.hk.cn
  • ch-chrome-apps.hl.cn
  • ch-office-wps.com.cn
  • chrome-apps.hl.cn
  • chrome-apps-cn.hl.cn
  • chrome-apps-google.com.cn
  • chrome-apps-google.hl.cn
  • chrome-apps-zh.hl.cn
  • chrome-app-zh.hl.cn
  • chromebridge.cn
  • chromecenter.cn
  • chrome-ch-google.hl.cn
  • chrome-cnzh-google.com.cn
  • chromecore.cn
  • chromedock.cn
  • chromee-cnzh-google.hl.cn
  • chromee-google-zh.hl.cn
  • chromee-googlle.hl.cn
  • chromefast.cn
  • chrome-google.ah.cn
  • chrome-google.hn.cn
  • chrome-google-com.com.cn
  • chrome-google-com-zh.hl.cn
  • chrome-googlee-zhcn.hl.cn
  • chrome-googlle-com.hl.cn
  • chrome-googllee.com.cn
  • chrome-googllee-zh.hl.cn
  • chrome-gooogle-zh.hl.cn
  • chrome-gooole.cn
  • chromehubx.cn
  • chromelink.cn
  • chromeportal.cn
  • chromeservice.cn
  • chromesite.cn
  • chromewave.cn
  • chrome-zhcn-apps.hl.cn
  • chromezone.cn
  • chroome-google-zh.hl.cn
  • chrrome-googlie.hl.cn
  • chrrome-googlle.hl.cn
  • chrroome-google-zh.hl.cn
  • chrroome-googlle.hl.cn
  • clash-app.cn
  • clash-zh-cn.com.cn
  • cn-chrome-googlle.hl.cn
  • cn-google-apps.hl.cn
  • cn-google-zhcn.com.cn
  • cn-googlle-chrome.hl.cn
  • cn-googlle-chrome-apps.hl.cn
  • cn-office-wps-zh.hl.cn
  • cn-telegram-zh.hl.cn
  • cn-wps-hl.com.cn
  • cn-wps-office-zh.hl.cn
  • cn-wps-offiice.hl.cn
  • cn-wps-zh.com.cn
  • cn-wps-zh.hl.cn
  • cn-zh-chrome-apps.hl.cn
  • cnzh-chrome-google.hl.cn
  • cnzh-google-apps.hl.cn
  • cnzh-google-cchrome.hl.cn
  • cnzh-google-chrrome.hl.cn
  • cnzh-kuailian-zh.com.cn
  • cnzh-wps-zh.hl.cn
  • cnzh-youdao.com.cn
  • cnzh-youdao.hl.cn
  • dd.kmsccedn.com
  • dd-wps-office.com.cn
  • dianbao-tg.com.cn
  • dict-youdao.cn
  • doc-wps-office.com.cn
  • do-google-chrome-com.hl.cn
  • dy-doubao.cn
  • ee-tg-cn.com.cn
  • ee-wps-office.com.cn
  • en-chrome-google.com.cn
  • eqs-whatsapp-zh.hl.cn
  • fanyi-youdao-zh.hl.cn
  • feiji22.vip
  • feiji-tg.cn
  • ff-wps-office.com.cn
  • gate-app.cn
  • gg-google-chrome.hl.cn
  • ggogle-chrome.hl.cn
  • ggooglle-chrome.hl.cn
  • ggooglle-chrrome.com.cn
  • gg-wps-office.com.cn
  • gogglle-chrome.com.cn
  • go-google-chrome-zh.hl.cn
  • googgle-chrrome.com.cn
  • googgle-chrrome.hl.cn
  • googgle-com.hl.cn
  • goog-google-chrome.hl.cn
  • google-app-chrome.hl.cn
  • google-apps.ac.cn
  • google-apps-chrome.com.cn
  • google-apps-chrome.hl.cn
  • google-apps-chrrome.hl.cn
  • google-apps-cn.hl.cn
  • google-apps-com.hl.cn
  • google-apps-zh.hl.cn
  • google-apps-zhcn.hl.cn
  • google-cchhrome.hl.cn
  • google-ch-chrome.com.cn
  • google-chhrrome.hl.cn
  • google-chlome.com.cn
  • google-chrome-apps.hl.cn
  • google-chrome-browser.com.cn
  • google-chrome-browser.hl.cn
  • google-chrome-ch.hl.cn
  • google-chrome-chen.com.cn
  • google-chrome-com-zh.hl.cn
  • google-chromee.hl.cn
  • google-chromee-com.hl.cn
  • google-chromee-zh.hl.cn
  • google-chrome-new.hl.cn
  • google-chrome-pro.hl.cn
  • google-chrome-site.hl.cn
  • google-chrrome.ac.cn
  • google-chrrome-app.hl.cn
  • google-chrrome-cn.com.cn
  • google-chrrome-com.hl.cn
  • google-chrromee.hl.cn
  • google-chrrome-zh.com.cn
  • google-chrrome-zh.hl.cn
  • google-chrromme.hl.cn
  • google-chrrrome.hl.cn
  • google-cn-chrome.hl.cn
  • google-cn-chrome-zh.com.cn
  • google-cnzh-chrome.com.cn
  • google-cnzh-chrome.hl.cn
  • google-cn-zh-chrome.hl.cn
  • google-cnzh-chromee.hl.cn
  • google-com-zh.hl.cn
  • googlee-chrrome-com.hl.cn
  • google-google-chrome-new.hl.cn
  • google-google-chrome-pro.hl.cn
  • google-google-chrome-site.hl.cn
  • google-google-cn-chrome.hl.cn
  • google-web-chrome.hl.cn
  • google-zh-chrom.com.cn
  • google-zhcn-chhrome.hl.cn
  • google-zhcn-chrome.com.cn
  • google-zhcn-chrome.hl.cn
  • google-zh-cn-chrome.hl.cn
  • google-zhcn-cn.hl.cn
  • googlle-cchrome.hl.cn
  • googlle-chrome.hl.cn
  • googlle-chrome-apps.com.cn
  • googlle-chrome-com.hl.cn
  • googlle-chroome.hl.cn
  • googlle-chrromee.hl.cn
  • googlle-chrrome-zhcn.hl.cn
  • googllee-chrrome.com.cn
  • googllee-chrrome.hl.cn
  • goo-google-chrome.hl.cn
  • goooggle-chroome.hl.cn
  • hh-wps-office.com.cn
  • kk-wps-office.com.cn
  • kuaiilian-zh.com.cn
  • kuaiinilian.com.cn
  • kuaiinllian.com.cn
  • kuailian-cnzh.com.cn
  • kuailiian-zh.com.cn
  • kulkuailian.com.cn
  • letsvpnaccess.cn
  • letsvpnbridge.cn
  • letsvpncenter.cn
  • letsvpncloud.cn
  • letsvpnconnect.cn
  • letsvpncore.cn
  • letsvpndock.cn
  • letsvpnfast.cn
  • letsvpnline.cn
  • letsvpnlink.cn
  • letsvpnnetwork.cn
  • letsvpnnode.cn
  • letsvpnportal.cn
  • letsvpnproxy.cn
  • letsvpnroute.cn
  • letsvpnsecure.cn
  • letsvpnservice.cn
  • letsvpnshield.cn
  • lineclub.cn
  • ll-wps-office.com.cn
  • ltan7942.top
  • mb-google-chrome.hl.cn
  • offfiice-wps.com.cn
  • office-wps-com.hl.cn
  • office-wps-hl.hl.cn
  • office-wps-zh.hl.cn
  • office-zhcn-wps.com.cn
  • offiece-wps.com.cn
  • offiiice-wps.com.cn
  • okxapp.cn
  • pros-wps.com.cn
  • qq-google-chome.hk.cn
  • qq-tg-cn.com.cn
  • rr-tg-cn.com.cn
  • rtjthgjnwetghf39.top
  • sogou-shurufa.cn
  • sougou-shurufa.cn
  • telegram-dianbao-cn.hl.cn
  • telegram-dianbao-web.hl.cn
  • telegram-dianbao-zh.hl.cn
  • telegram-tg-cn.hl.cn
  • telegram-tg-web.hl.cn
  • telegram-tg-zh.hl.cn
  • tellegram-zh.hl.cn
  • tg-dianbao.com.cn
  • tg-dianbao-zh.com.cn
  • tg-feiji.com.cn
  • tg-feiji-zh.cn
  • tg-feiji-zh.hl.cn
  • tmm.magentaias.com
  • trading-view.cn
  • tt-wps-office.com.cn
  • uu-wps-office.com.cn
  • vaeth.cn
  • webchrome.cn
  • web-chrome-google-zh.hl.cn
  • web-google-zh.hl.cn
  • web-kuailiian-zh.com.cn
  • web-telegram-zh.hl.cn
  • web-whatsapp-zh.hl.cn
  • web-wps-zh.hl.cn
  • wee-whatsapp.hl.cn
  • whap-whatsapp-zh.hl.cn
  • whatsapp-web-zh.hl.cn
  • womsz.com
  • word-wps-office.com.cn
  • woyfc.com
  • wp-office-wps.com.cn
  • wpp-wps.cn
  • wps1-zh.com.cn
  • wps-ac-office.com.cn
  • wps-api.cn
  • wpsapp-cn.cn
  • wpsapphub.cn
  • wps-apps.ac.cn
  • wpsapps.cn
  • wps-apps.cn
  • wps-apps-office.com.cn
  • wpsbase.cn
  • wpsbyte.cn
  • wps-center.cn
  • wpsclient.cn
  • wps-cloud.cn
  • wps-cn.ac.cn
  • wps-cn-office.com.cn
  • wps-cn-zh.com.cn
  • wps-cnzh-apps.com.cn
  • wps-cnzh-office.com.cn
  • wps-cnzh-ppt.com.cn
  • wps-com.ac.cn
  • wpscore.cn
  • wpsdesk.cn
  • wpsdock.cn
  • wps-doc-office.com.cn
  • wpsedge.cn
  • wpsfast.cn
  • wpsflux.cn
  • wps-gf.com.cn
  • wpsgrid.cn
  • wpshub.cn
  • wps-hub.cn
  • wps-id.cn
  • wpslane.cn
  • wpslink.cn
  • wpslogic.cn
  • wpsloop.cn
  • wpsnest.cn
  • wpsnode.cn
  • wpsnova.cn
  • wps-offfice.com.cn
  • wps-offfice.hl.cn
  • wps-officce.com.cn
  • wps-officce.hl.cn
  • wps-office-ac.com.cn
  • wps-office-ch.com.cn
  • wps-office-ch.hl.cn
  • wps-office-com.hl.cn
  • wps-officee-apps.com.cn
  • wps-office-excel.com.cn
  • wps-office-mb.com.cn
  • wps-office-mb.hl.cn
  • wps-office-pdf.com.cn
  • wps-office-ppt.com.cn
  • wps-office-pro.com.cn
  • wps-office-world.com.cn
  • wps-office-wps-world.com.cn
  • wps-office-wps-xlsx.com.cn
  • wps-office-xls.com.cn
  • wps-office-xlsx.com.cn
  • wps-office-zh.hl.cn
  • wps-office-zhcn.hl.cn
  • wps-offiicce.com.cn
  • wps-offiicee.com.cn
  • wps-offiice-zh.hl.cn
  • wps-ooffiice.com.cn
  • wpspath.cn
  • wpspaths.cn
  • wps-pp.cn
  • wps-ppt.cn
  • wps-ppt.hl.cn
  • wps-pros.com.cn
  • wps-pt.com.cn
  • wpsring.cn
  • wps-sec.cn
  • wpsserve.cn
  • wpssoft.cn
  • wpsunit.cn
  • wps-web-office.com.cn
  • wps-word-office.com.cn
  • wps-work.cn
  • wps-work-office.com.cn
  • wpsworks.cn
  • wps-wpp.cn
  • wps-wpsoffice-zh.hl.cn
  • wps-wps-zh.hl.cn
  • wps-wwp.cn
  • wps-xls.com.cn
  • wps-zh-apps.com.cn
  • wps-zhcn-offce.com.cn
  • wps-zhcn-office.com.cn
  • wps-zhcn-office.hl.cn
  • wps-zhcn-offiiice.com.cn
  • wps-zh-office.com.cn
  • wpszone.cn
  • wpszones.cn
  • wp-wps-office.com.cn
  • wp-wps-zh.com.cn
  • wpwp-wps.com.cn
  • ww-tg-cn.com.cn
  • www.amdyjl5.com
  • www.chishuikaisuo.com
  • www.danpengit.com
  • www.hongyun4.com
  • www.ozz79u.com
  • www.vpconn.fit
  • www.w1pf9.com
  • www.xr95633.com
  • www-cn-google.hl.cn
  • www-google.ac.cn
  • www-google-chrome-zh.hl.cn
  • www-google-com-zh.hl.cn
  • www-win-rar.com.cn
  • www-wps-cn.cn
  • www-wps-zh.cn
  • xls-wps.com.cn
  • xls-wps-zhcn.com.cn
  • xx-google-chome.hk.cn
  • ychsq.icu
  • youdao-dict.cn
  • youdao-fanyi-zh.hl.cn
  • youdao-pc.cn
  • zh-app-wps.com.cn
  • zh-chrome-com.hl.cn
  • zh-chrome-google-com.hl.cn
  • zh-chrome-google-web.hl.cn
  • zh-chroome-google.hl.cn
  • zh-chrroome-google.hl.cn
  • zh-clash-apps.com.cn
  • zhcn-apps-google.hl.cn
  • zhcn-goggle-chrome.hl.cn
  • zhcn-googele.hl.cn
  • zhcn-google.ac.cn
  • zhcn-google-browser.hl.cn
  • zhcn-googlle-chrome.com.cn
  • zhcn-googlle-chrrome.hl.cn
  • zhcn-office-wps.com.cn
  • zhcn-whatsapp-app.hl.cn
  • zhcn-whatsapp-apps.hl.cn
  • zhcn-whatsapp-com.hl.cn
  • zhcn-wps-cn.com.cn
  • zhcn-wps-office.hl.cn
  • zhcn-wps-xls.com.cn
  • zh-google-apps-com.hl.cn
  • zh-google-chromme.hl.cn
  • zh-google-com.hl.cn
  • zh-googlle-chrome.hl.cn
  • zh-kuaiilian.com.cn
  • zhnc-google-com.hl.cn
  • zh-telegram-com.hl.cn
  • zh-tg-dianbao.com.cn
  • zh-we-whatsapp.hl.cn
  • zh-whatsapp-com.hl.cn
  • zh-wps.ac.cn
  • zh-wps-apps.hl.cn
  • zh-wps-com.hl.cn
  • zh-wps-offce.com.cn
  • zh-wps-platform.com.cn
  • zh-yd-google-chrome.hl.cn
  • zh-yd-kuailian.com.cn
  • zh-youdao-apps.com.cn
  • zh-youdao-com.hl.cn
  • zn-google-chrome.com.cn
  • zz-google-chome.hk.cn
  • zz-tg-cn.com.cn

Комментарии: 0
Похожие записи
0
27.01.2026
Индикаторы компрометации

«Серебряная лиса» скрывается в стандартной библиотеке Python: анализ сложного многоэтапного вредоносного ПО

Silver Fox
Специалисты лаборатории Huorong обнаружили новую кампанию с использованием бэкдора, известного как «Серебряная лиса» (Silver Fox). Угроза отличается высоким уровнем скрытности, поскольку её ключевая вредоносная
0
30.07.2025
Индикаторы компрометации

Киберугроза "Silver Fox" эволюционирует: новые методы скрытности с использованием RootKit

APT
Активность хакерской группировки Silver Fox продолжает нарастать, а её атакующие методы становятся всё более изощрёнными. По последним данным, злоумышленники внедрили в свой арсенал RootKit-технологии
0
25.02.2026
Индикаторы компрометации

Silver Fox расширяет арсенал: Еовая уязвимость в драйвере STProcessMonitor (CVE-2025-70795) позволяет отключать антивирусное ПО

Silver Fox
В ходе непрерывного мониторинга угроз специалисты по информационной безопасности обнаружили новую кампанию вредоносного кластера, известного как «Серебряная лисица» (SilverFox).
0
10.02.2026
Индикаторы компрометации

Silver Fox атакует банки: фишинг под видом ФНС доставляет троян ValleyRAT в Россию

Silver Fox
Группа киберразведки Threat Intelligence компании Positive Technologies зафиксировала активность финансово мотивированной хакерской группировки Silver Fox (также известной как Void Arachne).