仿冒DeepSeek本地部署工具：银狐与UTG-Q-1000的新活动

奇安信威胁情报中心近期捕获的多个伪造DeepSeek本地部署工具包，经关联溯源分析显示：攻击者首先构建高仿的水坑网站，之后再针对“DeepSeek本地部署”、“深度求索”等高频检索关键词实施搜索引擎投毒。此类攻击手法与此前披露的善于使用银狐等木马的黑产组织UTG-Q-1000历史活动及技术手段存在同源性。

攻击者编写的木马通过在安装包中内置正常DeepSeek本地部署工具安装程序进行伪装：

随着受害者运行安装包将调用黑DLL的恶意导出函数：

该黑DLL内嵌了压缩包，运行过程中使用硬编码的密码 "puli@09" 将下一阶段所需文件解压到ProgramData目录下：

解压的下一阶段文件包含了一个黑DLL文件 "UnityPlayer.dll" 及两个伪装成PNG格式的恶意文件 "data.ini"、"view.res"：

UnityPlayer.dll主要作用分为两部分：

1. 读取文件 "view.res" 中内嵌的shellcode代码写入注册表 "AiServer"。

2. 读取并执行文件 "data.ini" 中内嵌的shellcode代码，这段shellcode将会利用PoolParty技术对explorer.exe进行注入：

此时注入explorer.exe的新shellcode代码将解密一个DLL并调用，该DLL将会启动一个新的 "explorer.exe" 进程同时注入之前写入注册表 "AiServer" 的shellcode代码：

注册表 "AiServer" 的shellcode代码将解密出最终的Payload，经过分析确认payload为银狐WinOS远控，硬编码C2服务器地址为 "47.76.197.205:4433/47.76.197.205:10443" ：

UTG-Q-1000此前还搭建了DeepSeek聊天客户端的水坑网站：

值得注意的是，我们发现该团伙在搭建此类水坑网站时存在“偷懒”的行为，他们基于同一框架批量部署了不同的水坑站点，而进一步分析发现，在共享顶级域名的不同水坑网站中，攻击者均通过JS文件调用将下载请求统一重定向至了同一子域名的恶意URL链接，因此同域下的不同水坑下载的木马文件将会是相同的：

对应的木马程序也同样“偷懒”，其并不通过释放常规的白安装文件进行伪装，而是直接触发恶意行为流程（推测这一现象源于攻击团伙的便利性考量，同域下的多个水坑网站复用了同一子域名目录下的木马文件，导致其无法构建差异化的感染流程）。

经过分析，该框架下不同域的对应样本执行过程虽然不尽相同，但最终都将释放远程控制木马例如Gh0st、银狐WinOS、FatalRAT：

除了上面提到的针对DeepSeek的木马程序之外，还需要警惕针对开发者的DeepSeek主题钓鱼诈骗行为，此类诈骗域名除了会支付推广费购买广告外，还会在各类技术论坛及技术文档中伪装为官方相关程序下载地址。虽然这些虚假网站并不一定会下载木马程序，但会以各种方式欺诈用户缴费。

我们建议使用者在访问、使用DeepSeek相关服务时，务必确认访问的是官方网站。对于其他域名，除非能够确认其身份真实性，否则不建议进行深度交互，尤其是涉及到用户名密码、下载安装部署等操作时，需要慎之又慎。

若需运行或安装来历不明的应用，可先通过奇安信情报沙箱（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

38.45.126.170:10443

154.91.90.102:4433

154.91.90.102:10443

45.192.168.6:4433

45.192.168.6:10443

45.192.168.11:4433

45.192.168.11:10443

206.238.220.50:4433

206.238.220.50:10443

192.238.134.113:4433

192.238.134.113:10443

27.50.63.24:4433

27.50.63.24:10443

134.122.135.105:4433

134.122.135.105:10443

27.124.17.7:4433

27.124.17.7:10443

45.194.37.102:4433

45.194.37.102:10443

154.91.83.136:4433

154.91.83.136:10443

27.124.17.49:4433

27.124.17.49:10443

27.50.63.8:4433

27.50.63.8:10443

121.127.241.29:4433

121.127.241.29:10443

45.192.168.10:4433

45.192.168.10:10443

137.220.135.197:4433

137.220.135.197:10443

47.76.197.205:4433

47.76.197.205:10443

154.91.90.234:4433

154.91.90.234:10443

8.217.221.239:4433

38.181.21.125:4433

38.181.21.125:10443

154.23.176.39:4433

154.23.176.39:10443

45.192.168.12:4433

45.192.168.12:10443

81.31.208.17:4433

81.31.208.17:10443

45.194.36.59:4433

45.194.36.59:10443

192.238.134.52:4433

192.238.134.52:10443

hk1.index2028.com

ttest.dalaozijid.com

winsa.cc

perineptunium.s3.ap-east-1.amazonaws.com

pub-cde06bcbe3a3479296fa21daf4bb5af3.r2.dev

ovulating.s3.ap-east-1.amazonaws.com

wdkjtrn.top

munhgbs.top

kiujwwb.top

yujherr.top

edcxf3.icu

sxg5d.icu

qscfz2.icu

hnjuol.icu

xcbhsn.icu

djkim3s.icu

dcfey5.icu

mxvc5.icu

shdjm0.icu

qknhb4.icu

2sdcgy.icu

4wevnn.icu

sopekr3.icu

vmksjn5.icu

opwisk8.icu

4uioslrj.icu

oegwli3.icu

sfplfwk3.icu

djm43j.icu

bajnsk4.icu

ujkvmk3.icu

sdlhai0.icu

sjflilso3.icu

fjsmfn5.icu

eodpl4.icu

sdfriskb2.icu

sfhsle3.icu

2wisklf.icu

xcvsh3.icu

mnbhn2.icu

dfklike.icu

xskifj6.icu

wsxc2i9.icu

cdfve2.icu

rtgdwbh6.top

hnbgvc2.top

poyjuh.top

fvcdry6.top

lomjh6.top

xdcfw.top

nilaike.top

weopflk.top

tgbnhy.top

cjdmnki.top

rtyfgv.top

rfdvs.top

rdjjha.top

szluanxin.com

gtbfhj.top

dijnhf.top

ipokfl.top

xcdjmkie.top

sofklrt.top

vkwklai.top

xrkljk.top

voepfkg.top

widnfkr.top

qiwjsk.icu

sderfg.top

pleirkb.top

qowmske.icu

sxwopd.icu

xreklq.top

edsliw.top

yiyiwangke.top

deepseek-pc.com

47.83.225.15:8006

hjppasghj.top

v2rayng-pc.com

v2rayng-cn.net