微软研究人员发现了一场持续的挖矿劫持活动，攻击目标为搭载高性能计算机的系统，主要是游戏玩家和高级用户。该攻击通过SEO投毒传播，在CrystalDiskInfo和HWMonitor等常用工具的下载页面中植入恶意链接，并提升其在搜索结果中的排名。部分受害者还被AI聊天机器人推荐至恶意域名。当用户从gleeze.com的子域名下载并运行恶意ZIP压缩包时，会启动合法可执行文件并加载恶意DLL，从而安装合法远程管理工具ScreenConnect，实现持久访问。攻击者随后部署SimpleRunPE.exe，该二进制文件在Windows自启动位置建立了六种持久化机制。恶意软件通过进程空洞技术注入微软签名的实用程序（如InstallUtil.exe）以逃避检测，并添加Microsoft Defender排除项。完成逃避后，它会下载并执行三款GPU矿机之一：gminer、lolMiner或SRBMiner-MULTI。该活动以最大化每台被感染设备的GPU挖矿收益为目标，而非追求数量。微软建议使用报告中提供的中危及指标进行防御。

关键事实

• 通过SEO投毒传播CrystalDiskInfo等工具的恶意下载。
• 部署远程管理工具ScreenConnect实现持久访问。
• 在Windows自启动位置建立了六种持久化机制。
• 使用进程空洞技术注入微软签名的二进制文件以逃避检测。
• 下载并执行GPU矿机gminer、lolMiner和SRBMiner-MULTI。