駭客組織Storm-2561假借提供企業級VPN用戶端軟體，意圖竊取企業VPN憑證

微軟近期發布部落格文章指出，他們在一月中旬看到搜尋引擎最佳化中毒（SEO poisoning）攻擊活動，駭客組織Storm-2561假借提供企業級VPN用戶端程式的名義，將搜尋這種軟體的使用者導向攻擊者控制的網站，然後下載惡意壓縮檔。一旦使用者依照指示安裝，電腦就會被植入具備數位簽章的木馬程式，這些木馬偽裝成VPN用戶端程式，並竊取相關憑證。

這些駭客操縱使用者在搜尋引擎的檢索結果，將冒牌VPN下載網頁項目排列在搜尋結果的最前面，來引誘使用者上當。值得留意的是，由於這些網頁提供下載的連結，會將使用者導向惡意GitHub儲存庫，下載ZIP檔，其內容包含MSI安裝程式，假若執行安裝，系統就會在安裝流程側載有問題的DLL檔案，並部署看似正常的VPN軟體，不過實際上，假的應用程式會竊取憑證並外傳。

對於Storm-2561的來歷，微軟指出他們從2025年5月看到相關活動，這些駭客擅長冒充知名軟體廠商，並透過搜尋引擎最佳化中毒手法接觸使用者，藉此散布惡意軟體。