2025年上半年,全球僵尸网络(Botnet)的控制服务器数量涨了26%。下半年又涨24%。这种增速上一次出现,还是2016年Mirai第一次把半个美国互联网打瘫痪的时候。
Spamhaus的追踪数据显示,美国已经反超中国,成为全球托管最多僵尸网络控制节点(C2服务器)的国家。中国从2023年第三季度开始保持的这个"第一",只维持了不到两年。
数字背后是一套2016年泄露的恶意代码——Mirai。它像一把被复制了无数次的万能钥匙,至今仍在打开全球数百万台物联网设备的后门。
从DDoS工具到"犯罪即服务"
Mirai最初的设计很简单:扫描运行ARC处理器的物联网设备,用默认密码或已知漏洞登录,然后把设备变成攻击流量发射器。2016年它第一次大规模亮相,就把DNS服务商Dyn打崩,导致Twitter、Netflix、Reddit集体瘫痪。
源代码泄露后,情况彻底失控。Pulsedive安全团队目前追踪到的活跃变种已经超过数百个,其中两个最活跃的分支——Aisuru和Kimwolf——被合称为"Aisuru-Kimwolf"。
这对组合已经感染了100万到400万台主机。Cloudflare的记录显示,它们发起了史上最大规模的DDoS攻击之一:31.4Tbps的流量洪峰,以及每秒141亿个数据包的包速率攻击。早年的Mirai变种从未达到过这种量级。
运营者把这套基础设施做成了生意。他们在Discord和Telegram上兜售被感染设备的访问权限,买家可以按需租用"僵尸网络即服务"。
美国司法部的"外科手术"与Android新战场
2026年3月19日,美国司法部宣布对Aisuru、KimWolf、JackSkid和Mossad四个僵尸网络的C2服务器实施法院授权的破坏行动。执法范围覆盖加拿大和德国。
但Kimwolf的架构让它特别难缠。这是Aisuru专门针对Android设备开发的子变种,已经感染约200万台Android手机和智能电视。它保留了DDoS能力,但针对Android系统做了适配——一旦接触到漏洞设备,就会运行安装脚本释放载荷。
移动设备的加入让问题更复杂。路由器、摄像头至少还固定在某个位置,手机和平板跟着人走,IP地址不断切换,地理定位几乎失效。
更隐蔽的是代理滥用。攻击者把流量路由到普通家庭的住宅IP地址,让溯源变成猫鼠游戏。你家的智能电视可能在帮黑客掩盖行踪,而你只会觉得网速偶尔有点慢。
为什么打了九年还在打?
Mirai的顽固在于它的"开源"特性。代码一旦公开,任何有基础编程能力的人都能编译出自己的版本。安全团队封掉一个C2域名,运营者几小时内就能换上新的。硬件厂商推送一次固件更新,黑客找到新漏洞的速度往往更快。
物联网设备的用户画像也决定了防御难度。买智能摄像头的人想的是"能看清门口就行",不是"这玩意会不会变成攻击跳板"。默认密码不改、自动更新关闭、管理后台暴露公网——这三件套凑齐,设备就进了候选名单。
美国C2服务器数量的激增,某种程度上反映了攻击基础设施的地理迁移。执法压力、 hosting成本、网络延迟都在影响运营者的选址决策。中国曾经的"领先地位",更多是因为早期物联网设备保有量高,而非攻击者偏好。
司法部的跨国行动是个信号,但僵尸网络的分布式架构决定了单一执法行动很难根除。Aisuru-Kimwolf的运营者在公告发布后数小时内就开始迁移基础设施,这种响应速度说明他们早有预案。
一个值得注意的细节:Cloudflare记录的31.4Tbps攻击发生在2024年底,而2025年的攻击峰值数据尚未公开。如果2025年的数字被刻意压低,可能意味着运营者在测试更隐蔽的攻击模式;如果确实没有突破,则说明基础设施扩张不等于攻击能力同比提升。
你路由器管理后台的默认密码,上次修改是什么时候?
热门跟贴