感谢北京微步在线科技有限公司（微步在线）在本报告的样本分析工作中做出的重要贡献。

      一、事件概述

      近期，CNCERT监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播，样本落地后将Shellcode注入系统关键进程执行远控，与境外C2服务器建立持久化连接，实现对主机的隐蔽控制。黑产团伙疑似利用AI工具大幅提升钓鱼页面制作效率，结合域名批量注册、仿冒网站访问流量精细化监测等手段，形成“网络钓鱼→木马下载→进程注入→远控控制”的完整攻击链。

      二、钓鱼网站特征分析

      对2026年2月6日-5月4日注册的439个钓鱼网站域名分析，这些网站的主要特点如下：

     1）钓鱼网站主要围绕办公软件、浏览器和通讯/代理类软件进行仿冒，其中wps、chrome合计340个，占77.4%。

     2）注册行为具有明显的批量化特征，发现最高峰一分钟内注册15条letsvpn相关域名。

     3）域名后缀策略高度集中，hl.cn 占42.6%，com.cn占30.8%，二者合计73.4%。

     4）命名模板复用明显，常见关键词包括zh、cn、apps、web、office并大量使用字母重复、缺字、错拼等手法。

     5）钓鱼网站在bing搜索网站上通过SEO投递，确保网站能在bing.com网站搜索到；钓鱼网站会检测refer头信息，确保访问必须来自搜索引擎，若直接通过域名访问，这些钓鱼网站会跳转bing.com或者其他不可访问的网站，防止钓鱼网站被分析。

    6）钓鱼页面并未对官方网站进行原样仿造，而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释，且大量采用通用化前端技术栈。针对同一仿冒主题（如 Chrome 浏览器），不同时间注册的页面在布局与内容上均不统一。综合判断，此类钓鱼页面疑似由AI 编码快速生成。

      报告：关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示 ( 点击下载)