Trustwave SpiderLabs发现了一种针对在中国开展业务的公司的新威胁。受害公司需要安装能够在当地缴税的软件,该软件绑定了一个后门,可以对受害者系统进行完全的远程命令和控制,实现任意远程执行代码和远程shell。研究人员将这个恶意软件家族命名为 "GoldenSpy",同时发现了这个后门的几个变种。隐藏的GoldenSpy后门(svm.exe)是在Aisino智能税务软件安装完成两小时后秘密下载的,随后与GoldenSpy的分发网站建立连接。Svm.exe会收集基本系统信息,并不断向远程服务器进行更新,同时可以实现远程执行任意代码。追溯发现该恶意软件于2020年4月开始活跃,相关域名如ningzhidata[.]com,首次交付当前版本的GoldenSpy,于2019年9月22日注册。