宝运莱官方网站

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

髋装埋伏与仿冒陷阱：银狐组织借OpenClaw装置包执行攻击活动深度分析

颁布功夫 2026-03-26

“为智能时期立信，为创新价值护航。—— 宝运莱官方网站”

随着开源AI代理框架OpenClaw（“龙虾”）的爆火，黑产团伙“银狐”迅速借势提议垂钓攻击活动。通过天生高仿垂钓页面，注册仿冒域名，利用搜索引擎优化（SEO）和付费告白将恶意链接置顶，诱导用户下载假装成“OpenClaw本地部署工具”的恶意装置包。用户执行恶意装置包后，在开释出合法装置软件的同时，暗中执行恶意法式，最终开释并执行远控木马，对用户推算机进行节造，实现信息窃取、内网渗入、横向移动等恶意操作。攻击者通过针对装置链路的投毒，达成了对指标主机险些“零门槛”的远程收受。

宝运莱官方网站威胁谍报中心（VenusEye）近期追踪到银狐组织多个仿冒OpenClaw的站点，这些站点上的恶意装置包选取了一样的攻击手法，凭据样本特点和ioc关联，这些攻击活动都归由于银狐组织。下文以一个典型的样本为例进行分析。

用户接见仿冒网站http[:]//ai-openclaw.com.cn/，能看到较为精彩的下载页面，如下图所示：

图片1.png

用户点击页面中的「下载OpenClaw」按钮后，下载名为opealeAi_7beAole-x64.zip的压缩包。该压缩包内蕴含可执行法式opealeAi_7beAole-x64.exe，其MD5值为ff28115a55b9a11d92bbb458efe0b940。

样本分析

用户执行该恶意装置包之后，在开释出合法装置法式的同时，会暗中执行恶意法式。通过侧加载方式执行恶意DLL�？�，读取嵌入了恶意数据的png文件，解密出shellcode并执行，经过两层解压执行，最终执行拥有远程节造职能的恶意DLL。整体执行流程如下图所示：

图片2.png

原始恶意装置包

opealeAi_7beAole-x64.exe是原始恶意装置包，通过Inno Setup工具打包而成，在装置剧本中指定了文件的装置蹊径，并指定在装置过程中执行名为“9k9UV.exe”的文件。如下图所示：

图片3.png

用户执行opealeAi_7beAole-x64.exe之后，会将多个文件开释到C:\Program Files (x86)\165jut\yPSTY中。装置法式在桌面创建名为“Claw”的快捷方式，指向文件C:\Program Files (x86)\165jut\yPSTY\BTM1j\OpenClaw_77b4b0ac.exe，以蛊惑受害者。BTM1j文件夹中除了OpenClaw_77b4b0ac.exe之表，还有一个图标文件。如下图所示：

图片4.jpg

OpenClaw_77b4b0ac.exe是国内某公司开发的合法的OpenClaw本地部署工具，拥有有效的数字署名，如下图所示：

图片5.png

运行该法式，会进行OpenClaw的本地部署，如下图所示：

图片6.png

原始恶意装置包会将3个文件开释到dhbZ4文件夹中，如下图所示：

图片7.png

其中BxakJ.Mx是png体式文件，能够通过图片查看软件正常打开。如下图所示：

图片8.png

BxakJ.Mx中，在正常图片数据之后嵌入了多个恶意数据块，每个恶意数据块为0x200C字节，其中数据部门占0x2000字节。如下图所示：

图片9.png

恶意DLL

9k9UV.exe会被原始恶意装置包启动，该文件是经过篡改的白文件，法式启动后，会自动加载同目录下的恶意DLL�？関TPr.4DH。在 vTPr.4DH执行过程中，首先定位当前过程地点目录，读取文件BxakJ.Mx中的恶意数据，通过RC4算法解密各个恶意数据块并进行拼接，随后创建纤程(Fiber)，在纤程中将解密得到的明文作为shellcode执行。整体流程如下图所示：

图片10.png

创建纤程执行shellcode如下图所示：

图片11.png

第一层payload

该shellcode由两部门组成，第一部门是加载器，第二部门是经过压缩的DLL文件数据。加载器的职能是从第二部门数据解压缩出DLL文件，并将其加载执行。如下图所示：

图片12.png

第二部门的压缩数据如下图所示：

图片13.png

DLL文件的数据压缩算法为LZNT1，解压缩之后如下图所示：

图片14.png

解压缩后的DLL文件编译功夫为2026-03-11，该文件经过VMP加壳，代码严沉混合。如下图所示：

图片15.png

该DLL重要有以下3个职能：

? 首先将当前文件夹及其中的文件设置为暗藏和系统属性；

? 解密出远程节造法式的配相信息，将配相信息的各字段加密后进行Base64编码；

? 再解密出一段shellcode，凭据操作系统版本选择分歧的过程进行注入。在Windows7系统中，将shellcode注入当前过程自身；在Windows10及以上版本的操作系统中，选择系统过程（例如sihost.exe）进行注入。

注入到过程中的shellcode与上一阶段的shellcode类似，同样由两部门组成，其职能同样是解压缩出DLL文件并加载执行。

数据压缩算法同样为LZNT1，解压缩前后如下图所示：

图片16.png

加载该DLL并执行其入口函数，将配相信息作为参数传入。

最终payload

解压缩出的DLL文件是最终payload，其职能是远程节造工具。该DLL的编译功夫为2026-01-08，也经过vmp加壳处置。如下图所示：

图片17.png

配相信息被作为参数传递到DLL的入口函数，其中蕴含IP、端口、木马版本、功夫戳等，这些信息经过异或加密和Base64编码。部门内容如下图所示：

图片18.png

配相信息各字段的内容和寓意如下表所示：

图片19.png

该DLL启动后，首先在%ALLUSERSPROFILE%下创建名为6C9A2AEAD706160111D90B7F3748D150的文件夹并设置为暗藏和系统属性，在其中创建文件config.ini并写入配相信息。如下图所示：

图片20.png

config.ini文件的内容经过异或加密，其中蕴含ip、port、ip1、port1、ip2、port2、version等字段，如下图所示：

图片21.png

而后顺次衔接配相信息中指定的各个C2，若是衔接失败，则切换到下一个。网络衔接情况如下图所示：

图片22.png

衔接C2成功后，获取本机的推算机名、用户名、操作系统版本、MAC地址、内网IP地址、当前功夫、Telegram和微信装置情况等信息，压缩并加密后发送到C2。网络的信息如下图所示：

图片23.png

将加密后的数据进行封装，在头部增长了数据长度和固定值0x11、0x22、0x33、0x44，作为上线包发送到C2。对应的网络流量如下图所示：

图片24.png

将上线包的网络流量解密、解压，能够得到原始的明文信息，如下图所示：

图片25.png

而后从C2接管节造指令并执行，实现远程节造职能，蕴含文件上传、文件下载、文件执杏注装置插件、键盘纪录、CMD号令、绕过UAC等。解析节造指令并执行，如下图所示：

图片26.png

其中绕过UAC进行提权如下图所示：

图片27.png

接管shellcode并创建线程执行，如下图所示：

图片28.png

关联样本

我们还追踪到银狐组织的另一个仿冒OpenClaw的站点 https[:]//web-openclaw.com.cn/，该站点界面如下图所示：

图片29.png

从该站点下载的文件名为openclaw.zip，其中蕴含名为openclaw.exe的恶意法式。该恶意法式选取与上文一样的攻击手法和流程，开释出合法的豆包v2.2.3版以蛊惑受害者。如下图所示：

图片30.png

装置法式暗中开释并启动恶意�？�，最终执行远程节造法式。C2为202.95.11.220和yyyndym.icu。

防备建议

银狐是活跃于东南亚区域的中文黑灰产团伙，重要通过仿冒网站和假装热点软件装置包执行垂钓攻击，指标涵盖金融、电商、教育、设计等多个行业。

为有效防备银狐组织的攻击活动，建议用户做好以下措施：

? 通过官方网站或可信利用商店获取软件装置包，切勿点击搜索引擎告白位中的链接；

? 装置前右键查看文件属性，确认数字署名刊行方为正规企业；

? 装置杀毒软件并实时更新；

? 部署具备垂钓网站鉴别和恶意域名拦截能力的网关/防火墙；

? 终端部署支持行为分析能力的 EDR 产品，并开启过程注入、内存木马等高级威胁检测职能。

总结

银狐黑产组织借OpenClaw（“龙虾”）爆火之势提议的垂钓攻击，是黑产团伙“借势热点、精准攻击”的典型案例，其攻击链路周密、假装性强、风险极大，不仅威胁幼我用户的信息安全，更对企业、科研机构等各类主体的网络安全组成严格挑战。这也提醒宽大用户，在追赶热点技术工具时，务必提高安全警惕，通过官方渠路下载有关法式，仔细核验域名真伪，预防点击陌生链接，同时实时更新安全软件、建复系统缝隙，从源头防备此类垂钓攻击，守护自身信息与系统安全。

IoCs

域名

dcleb.com

yyyndym.icu

IP

47.242.9.11

202.95.11.220

MD5

73390ba587e5fd80ae6680480c00b64f (openclawAI 7beAolenc.zip)

ff28115a55b9a11d92bbb458efe0b940 (opealeAi_7beAole-x64.exe)

90dc6ea84b87148ce4eeb723cdc1bf48 (vTPr.4DH，恶意DLL�？�)

1e3908b4208ba22a4c5297652323841d (openclaw.zip)

e839115ff87a0c12b3b3ec5c4c98a41a (openclaw.exe)

c838a8b4b5f7b8c4fa29beffc23aa016 (9.3x8，恶意DLL�？�)

上一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 宝运莱官方网站版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】