天穹沙箱近期捕获并深度分析了一类具备环境自适应能力的高级恶意样本。这些样本在初始执行阶段会主动探测系统是否安装 360sd.exe 或 ZhuDongFangYu.exe，并根据探测结果动态切换攻击路径： 策略一（检测到安全软件）：采用 .URL 热键快捷方式 + 文件关联劫持 + 模拟按键触发的组合链，通过终止并重启 explorer.exe 完成隐蔽投递，最终将载荷精准释放至开机启动项。 策略二（载荷执行与C2通信）：无论通过何种路径投递，最终均会利用“白加黑”技术加载 sgfeedbackhelper.exe 与 HWSignature.dll，在内存中反射执行 Shellcode，并直连 C2 服务器 206.238.180[.]192。