虚假WPS安装程序暗藏远控木马，可完全控制受害者系统

网络安全公司Netskope威胁实验室近日发现一起隐蔽的恶意软件攻击活动，攻击者通过将恶意软件包伪装成WPS Office、搜狗输入法和Deepseek等流行应用，通过仿冒官方下载门户的钓鱼网站传播 Sainbox远程访问木马（RAT，Gh0stRAT变种）和基于开源项目的Hidden rootkit。

针对国内用户的钓鱼陷阱

攻击者使用全中文界面的钓鱼页面，这表明攻击活动专门针对国内及其他使用中文的用户。恶意软件以MSI文件形式传播，运行时看似正常的安装程序，实则暗中执行名为Shine.exe的文件，通过旁加载恶意libcef.dll文件启动感染流程。

研究报告指出：所有被分析的MSI文件行为模式基本一致...都会执行名为Shine.exe的合法文件，用于旁加载恶意DLL文件libcef.dll。这个DLL文件是Chromium Embedded Framework（CEF）组件的伪造版本，其功能包括通过Windows注册表建立持久性、读取包含shellcode的1.txt文件，并将内嵌的恶意载荷加载到内存中。

隐蔽的注入技术与多重功能

从1.txt提取的shellcode采用sRDI技术（Shellcode Reflective DLL Injection），通过移除内嵌DLL的标准"MZ"DOS头来规避取证工具检测。注入的载荷是Sainbox RAT，其导出的Shellex函数用于启动命令与控制操作。

该RAT使攻击者能完全控制受害者机器，可下载执行其他载荷、窃取敏感数据等。更危险的是，Sainbox载荷的.data区段还嵌入了基于开源Hidden项目的rootkit驱动，该rootkit能够：

• 隐藏文件、注册表键和进程
• 防止恶意软件被终止
• 通过IOCTL命令提供控制接口

高级系统访问权限

恶意软件创建名为"Sainbox"的Windows服务后，通过NtLoadDriver加载rootkit——这种底层系统访问方式在普通恶意软件中较为罕见。报告补充说明："该rootkit使用迷你过滤器及内核回调...并包含通过IOCTL访问的用户界面。"

Netskope以中等置信度将此活动归因于银狐（Silver Fox）组织。该组织以使用Gh0stRAT变种、钓鱼网站和针对本地用户的社会工程学手段攻击中文用户而闻名。虽然网络威胁归因具有复杂性和不确定性，但本次活动中观察到的战术、技术与程序（TTPs）与银狐组织过往行动相符。