在COVID-19疫情爆发后，远程办公成为常态，VPN系统成为许多员工访问公司内部环境的重要渠道，然而这类系统的凭证信息也遭到黑客盯上，被视为入侵企业组织的关键资源。

微软近期发布博客文章指出，他们在一月中旬发现了一起搜索引擎优化中毒（SEO poisoning）攻击活动。黑客组织Storm-2561假借提供企业级VPN客户端程序的名义，将搜索此类软件的用户引导至攻击者控制的网站，并下载恶意压缩包。一旦用户按照指示安装，电脑就会被植入带有数字签名的木马程序。这些木马伪装成正规的VPN客户端，窃取相关凭证信息。

这些黑客通过操纵搜索引擎的检索结果，将假冒的VPN下载页面排在搜索结果的最前列，诱使用户点击。值得注意的是，这些网页提供的下载链接会将用户导向恶意的GitHub仓库，下载ZIP文件。文件内包含MSI安装程序，若用户执行安装，系统会在安装过程中侧载恶意DLL文件，部署看似正常的VPN软件。实际上，该假冒程序会窃取凭证并上传至攻击者服务器。

关于Storm-2561的背景，微软指出，他们自2025年5月起便观察到相关活动。该组织擅长冒充知名软件厂商，并利用搜索引擎优化中毒手法接触用户，从而传播恶意软件。