国家互联网应急中心提示：黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马

2026年 5 月 22 日网络消息，今日，国家互联网应急中心 CNCERT 发布关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示，IT之家整理如下：

一、事件概述

近期，CNCERT 监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播，样本落地后将 Shellcode 注入系统关键进程执行远控，与境外 C2 服务器建立持久化连接，实现对主机的隐蔽控制。黑产团伙疑似利用 AI 工具大幅提升钓鱼页面制作效率，结合域名批量注册、仿冒网站访问流量精细化监测等手段，形成“网络钓鱼 → 木马下载 → 进程注入 → 远控控制”的完整攻击链。

二、钓鱼网站特征分析

对 2026 年 2 月 6 日-5 月 4 日注册的 439 个钓鱼网站域名分析，这些网站的主要特点如下：

1）钓鱼网站主要围绕办公软件、浏览器和通讯 / 代理类软件进行仿冒，其中 wps、chrome 合计 340 个，占 77.4%。

2）注册行为具有明显的批量化特征，发现最高峰一分钟内注册 15 条 letsvpn 相关域名。

3）域名后缀策略高度集中，hl.cn 占 42.6%，com.cn 占 30.8%，二者合计 73.4%。

4）命名模板复用明显，常见关键词包括 zh、cn、apps、web、office 并大量使用字母重复、缺字、错拼等手法。

5）钓鱼网站在 bing 搜索网站上通过 SEO 投递，确保网站能在 bing.com 网站搜索到；钓鱼网站会检测 refer 头信息，确保访问必须来自搜索引擎，若直接通过域名访问，这些钓鱼网站会跳转 bing.com 或者其他不可访问的网站，防止钓鱼网站被分析。

6）钓鱼页面并未对官方网站进行原样仿造，而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释，且大量采用通用化前端技术栈。针对同一仿冒主题（如 Chrome 浏览器），不同时间注册的页面在布局与内容上均不统一。综合判断，此类钓鱼页面疑似由 AI 编码快速生成。