Skip to content

“银狐”到底是什么:从单一木马家族到黑产远控活动簇的标签演化

· 23 min

最近一次面试里,我和面试官聊到了“银狐”。对面提到了一个观点:银狐之所以看起来总是“杀不尽”、不断出现,并不一定是因为某一个木马家族真的如此顽强,而是因为“银狐”这个标签本身已经在行业语境中被不断泛化。

换句话说,“银狐”可能早已不再只是某一个固定木马家族的名字,也不再严格对应某一套唯一的代码特征、加载链或攻击组织。更多时候,它更像是厂商、应急团队和安全研究者在公开语境中使用的一个经验性标签,用来描述一类在中文攻击场景、投递渠道、远控能力、防护对抗和黑产变现路径上高度相似的攻击活动。

所以,当我们说“又出现了银狐”时,比起急着给样本贴上标签,更重要的问题可能是:这个样本究竟和既有“银狐”案例共享了哪些证据?是代码同源、配置复用、协议复用、工具链复用、基础设施重叠,还是只是攻击链和目标选择相似?

这也是本文想讨论的问题:当一个威胁标签逐渐从单一对象扩展成活动簇甚至生态级标签之后,我们应该如何理解它、使用它,以及避免被它误导。

一、银狐到底是什么?#

常规的恶意代码分类方式,通常会从主类型、平台、家族、组织、活动等角度切入。比如一个样本可以被描述为木马、后门、窃密程序、远控工具、某个家族的变种,或者某个攻击组织在某次活动中使用的载荷。

但“银狐”这个名字的问题在于,它在不同文章和不同厂商口径中经常被放在不同层级上使用。有人称它为“银狐木马”,有人称它为“银狐家族”,有人称它为“银狐团伙”,也有人称它为“银狐攻击活动”。

这些说法并不完全等价:

现在很多时候,“银狐”已经变成了一个覆盖范围很大的标签。它不是完全没有意义,而是容易被用错层级:当作家族名,会默认代码同源;当作组织名,会混淆不同团伙;当作活动簇或生态标签,反而更能解释不同批次样本之间“部分相似、部分不同”的状态。

我自己在做银狐相关样本对比时,也有类似感受。把两个时期的银狐链路放在一起看,确实能看到一些稳定相似点:中文语境诱饵、钓鱼或仿冒下载入口、白加黑或多阶段加载、远控上线、防护对抗、最终服务于窃密或诈骗变现。但如果继续追问“是不是同一套代码”“是不是同一个操作者”“是不是同一个严格意义上的家族分支”,证据往往没有那么强。

因此,本文不想争论“银狐这个名字是否还应该使用”。更实际的问题是:当它已经从单一家族名扩展成活动簇标签时,我们该如何理解它,才不至于被这个名字反过来误导。

二、公开资料里的定义变化:从家族到集合体,再到通称#

这里讨论的不是一条严格的“家族进化谱系”,而是公开语境中对“银狐”这一标签的使用方式如何变化。也就是说,重点不是证明某个样本从 2022 年一路演化到 2025 年,而是观察安全厂商、应急机构和研究文章如何描述这类活动。

1. 2022 年下半年:相关活动开始频繁活跃#

公开通报中提到,“游蛇”自 2022 年下半年开始频繁活跃,主要通过微信、企业微信、SEO 推广、钓鱼邮件等途径传播恶意文件,攻击国内用户,目标包括窃密和诈骗。

这一阶段的描述,更像是在强调一类持续活跃的黑产攻击活动:它面向国内用户,依赖钓鱼投递和社工诱导,最终服务于远控、窃密或诈骗。

2. 2023 年:已经有人指出“银狐/谷堕”命名造成归因混乱#

2023 年的《银狐猎影:深度揭示银狐团伙技战法》中提到,初始时有厂商将相关行动背后的团伙称为“银狐”“谷堕”等,但随着深入跟踪,发现这类网络攻击诈骗行动囊括了大量黑产团伙。文章还明确指出,继续使用“银狐”“谷堕”作为组织名称,已经造成安全圈一定的分析、归因混乱。

这个说法很关键。它说明至少在 2023 年,已经有研究者意识到:“银狐”不再适合作为一个边界清晰的单一组织名。它背后可能不是一个固定团伙,而是多个黑产团伙、投递渠道、免杀链路和远控工具共同构成的活动集合。

3. 2024 年:银狐逐渐呈现“多团伙、多策略、多工具链”的活动簇特征#

到 2024 年,很多文章标题里仍然会使用“银狐家族木马”这样的说法,但正文描述已经更接近活动簇。相关报告往往会提到多个黑灰产团伙、多种攻击策略、多种目标行业和多种传播渠道。

这说明“家族”这个词还在使用,但它承载的对象已经变大了。它不再只指向一套明确的代码血缘,而是在公开写作里承担了更宽泛的归纳功能。

4. 2025 年:多别名并列,官方和应急口径出现交叉命名#

CNCERT 与安天的风险提示中,将“游蛇”写作又名“银狐”“谷堕大盗”“UTG-Q-1000”等。这说明不同机构、不同厂商、不同追踪体系之间,对同一类或相近活动存在命名交叉。

这些名字未必完全等价,但它们已经在公开语境中发生重叠。对防御者来说,这种重叠本身就是一个信号:要回到样本证据、攻击链证据和基础设施证据。

5. 2025 年度报告:明确承认“银狐”已经泛化#

360 的《2025 银狐木马年度报告》中明确写到:“银狐木马”又名“游蛇”或“谷堕大盗”等,该名称因为被广泛使用,现已不再指代某一特定家族木马,而是逐渐变为对一类木马程序的通称。

这句话基本确认了本文的核心判断:银狐这个标签的落点,已经不再适合简单理解成“某一个木马家族”。它正在从家族名、样本名,逐渐变成更宽泛的活动簇标签。

6. 另一个命名分歧:“银狐”不等于 APT#

除了“家族”这个词被泛化以外,“APT”这个词也容易被误用。APT 更强调长期、持续、有组织、有明确战略目标的攻击者活动。由于银狐相关样本经常表现出多阶段加载、免杀对抗、远控控制、持久化和针对性投递等能力,一些欧美安全供应商会把它称为 SilverFox APT。

下面这张讨论截图的重点也在这里:研究者在检索和调查过相关案例后,没有看到足够证据证明 Rapid7、Fortinet 等供应商口径中被称为 SilverFox APT 的对象确实属于 APT。

Pasted image 20260613213645

因此,无论是“家族”还是“APT”,都不足以完整概括现在公开语境里的银狐。更准确地说,它更像是一类技术能力较强、活动频繁、被多家厂商交叉命名的中文语境黑产远控活动簇。

三、为什么“银狐”会被泛化?#

“银狐”之所以会被泛化,本质上不是单纯的命名问题,而是黑产生态本身已经模块化、服务化、供应链化。

如果真正要做溯源归因,就不能只盯着某一个样本的名字,而要从投递入口、免杀服务、加载器、远控载荷、C2 基础设施、钓鱼页面、流量运营和变现路径这些环节去看。通常被称为银狐的样本和活动,往往都落在这条黑灰产远控链路上:起点是钓鱼或仿冒下载,过程是多阶段加载和防护对抗,终点是远控上线、窃密、诈骗或进一步转卖控制权。

1. 攻击链相似#

很多相关样本都会出现类似链路:

这些相似攻击链让不同样本很容易被归入同一个大标签下。尤其是在应急处置场景里,分析者往往先看到的是“诱饵、落地、外联、远控、窃密”这些行为链,而不是完整代码同源证据。

2. 目标人群相似#

银狐相关活动常见目标包括:

这些目标有一个共同点:他们更容易接触外部文件、表格、合同、发票、软件安装包和业务沟通场景。攻击者并不一定需要 0-day,只要把恶意载荷包装进足够真实的业务入口,就能让用户主动执行。

目标相似会进一步强化“这是一类攻击”的印象。

3. 工具链可复用#

不同团伙可能并不共享同一套完整代码,但可能共享:

也就是说,它们不一定是“同一个家族”,但处在同一个黑产供应链里。这个供应链里的一部分能力可以购买,一部分能力可以租用,一部分能力可以复用,一部分能力可以被下游团伙二次包装。

4. 黑产服务化导致边界模糊#

当工具、免杀、投递、远控、钓鱼站、流量统计和变现渠道都可以被购买、租用或复用时,样本之间的关系就会变得复杂。

它们可能不是同一个团伙写的,但使用了相似工具;
不是同一批攻击者操作的,但用了相似投递;
不是同一个家族变种,但共享了相似攻击链;
不是同一套 C2 基础设施,但面向相似目标人群和变现路径。

这就是“银狐”逐渐从家族名变成活动簇标签、生态标签的根本原因。

四、怎么把“银狐”拆到可用层级?#

如果“银狐”已经变成生态级标签,那么“这是银狐”就不应该是分析终点,而只能是分析入口。它提示我们:这个样本可能属于国内活跃的黑产远控生态,但接下来真正要判断的,是它和历史案例到底相似到了哪一层。

如果相似点落在代码、配置、协议、密钥、构建痕迹上,那它更接近“家族变种”或“同源工具链”。如果相似点落在加载器、白加黑组件、远控载荷、C2 基础设施上,那更适合说“工具链复用”或“活动批次有关联”。如果只是诱饵、目标人群、传播渠道相似,那它更像是同一类黑产远控活动,不能直接证明是同一个团伙或同一个家族。

因此,实操上可以拆成四层:

拆到这一层之后,结论才会变得可用。我们不只是说“这是银狐”,而是能说清楚:它像银狐,是因为共享了哪一层证据。

五、对检测和防御有什么启发?#

从企业防御角度看,“银狐”标签泛化之后,防御思路也不能只停留在“拉黑银狐 IoC”。它更适合被拆成三层:入口治理、终端行为检测、威胁情报运营。

1. 入口治理:把防御重点前移#

与其只等终端告警,不如重点治理入口:

银狐相关攻击的一个特点是很擅长借助“正常业务场景”进入终端。用户往往不是被动收到一个陌生病毒,而是在找软件、收文件、处理表格、下载工具时主动触发攻击链。因此入口治理要尽量靠近用户真实工作流。

2. 终端检测:不能只依赖 IoC#

如果银狐背后有多个团伙、多个变种、多个免杀链路,那么 hash、域名、IP 很快会失效。

IoC 仍然有价值,但它更适合短期阻断。长期检测应该关注行为组合:

这些行为单点看可能并不都高危,但组合起来就能形成更稳定的检测画像。

3. 高风险岗位:重点保护而不是平均用力#

银狐相关攻击经常围绕“容易接收外部文件、容易涉及资金或账号”的岗位展开。

因此可以重点关注:

这些岗位应该获得更强的下载管控、文件执行管控、外联监控和安全提醒,而不是只靠统一的杀毒策略。

4. 威胁情报运营:把“银狐”拆成可维护对象#

情报运营也应该按这些层级维护,而不是只沉淀 hash、域名和文章链接。

例如:

这样,“银狐”就不只是一个大而泛的名字,而能变成持续更新的狩猎线索、检测规则和应急处置框架。

六、总结#

“银狐”这个名字仍然有价值,但它不适合直接当作归因结论。它更像一个索引,提示我们进入一类中文语境下的黑产远控活动。

真正重要的不是判断“它是不是银狐”,而是拆清楚它和历史案例共享了哪一层证据。只有这样,这个标签才不会停留在命名上,而能转化为可处置、可检测、可持续跟踪的分析对象。

参考资料#