北京
2025年上半年,全球僵尸網絡(Botnet)的指揮控制服務器(C2)數量漲了26%。下半年又漲24%。
這組數字來自Spamhaus的追蹤記錄。它意味著一件事:美國自2023年三季度以來首次超過中國,成為全球C2服務器最多的國家。而幕后推手,是一個2016年就被發現的惡意軟件家族——Mirai。
從DDoS工具到犯罪基礎設施
Mirai最初的設計很單純:掃描互聯網上運行ARC處理器的物聯網設備,這些設備跑的是精簡版Linux系統。攻擊者要么利用已知漏洞,要么直接用出廠默認密碼登錄——大多數人從來沒改過。
2016年,Mirai的源代碼被公開。這個決定像把武器圖紙扔進了公共領域。九年過去,基于Mirai的活躍變種已經超過200個,感染設備數以百萬計。
Pulsedive的研究人員鎖定了當前最活躍的兩個分支:Aisuru和Kimwolf。它們常被合稱為"Aisuru-Kimwolf",合計控制全球100萬到400萬臺主機。
Cloudflare的記錄顯示,這對組合制造了史上最大規模的DDoS攻擊之一:31.4太比特每秒的流量洪水,以及每秒141億個數據包的沖擊。早期Mirai變種從未達到過這種量級。
犯罪生意的商業模式
Aisuru-Kimwolf的運營者把基礎設施變成了一門生意。他們在Discord和Telegram上兜售被感染設備的訪問權限,買家可以按需租用這些"肉雞"發動攻擊。
Kimwolf是Aisuru的Android專化分支,專攻移動設備和智能電視。全球約200萬臺Android設備已被感染,攻擊代碼針對Android系統重新編寫,但保留了同樣的DDoS能力。
感染流程高度自動化:發現漏洞設備后,Kimwolf運行安裝腳本,下載惡意載荷,建立持久化機制,最后向C2服務器注冊。整個過程不需要用戶交互。
更隱蔽的玩法是濫用住宅代理網絡。攻擊流量被路由到普通家庭用戶的IP地址,溯源難度大幅提升。你的路由器可能正在幫別人打掩護,而你一無所知。
執法行動的局限性
2026年3月19日,美國司法部宣布對Aisuru、KimWolf、JackSkid和Mossad四個僵尸網絡的C2服務器采取法院授權的干擾行動。執法范圍覆蓋加拿大和德國。
但聲明發布的同時,研究人員已經觀察到這些網絡的自適應行為。C2基礎設施被設計成可快速遷移,一個節點被端掉,備用域名和IP幾小時內就能接管。
這種韌性源于Mirai代碼的模塊化設計。任何人拿到源碼后,只需修改C2地址、加密密鑰和漏洞利用模塊,就能發布新變種。技術門檻低到"腳本小子"級別。
Spamhaus的數據曲線說明了一切:2025年全年的C2服務器增長是加速的,而非放緩。執法打擊制造了波動,但沒有扭轉趨勢。
為什么物聯網設備總是失守
Mirai的持久生命力,本質上是一個供應鏈問題。
ARC處理器廣泛應用于廉價路由器、攝像頭、智能電視等設備。這些產品的安全更新周期往往只有一兩年,而設備本身的使用壽命是五到十年。漏洞被發現后,廠商早已停止維護。
更深層的問題是經濟激勵錯位。設備制造商按出貨量結算,售后安全不是KPI。用戶側呢?大多數人不會為了改路由器密碼而翻說明書。
Kimwolf選擇Android設備作為新戰場,正是因為這個生態的碎片化。電視廠商定制系統、老舊版本長期服役、應用商店審核寬松——每一環都是突破口。
Cloudflare的31.4Tbps攻擊記錄是個信號:僵尸網絡的火力已經超越了大多數企業的防御上限。即使你用上了商業DDoS清洗服務,面對這種量級的飽和攻擊,帶寬本身就會成為瓶頸。
住宅代理的濫用則改變了攻擊的歸因邏輯。傳統上,安全團隊通過IP信譽庫判斷威脅來源。但當攻擊流量來自數百萬個真實的家庭寬帶地址,這套機制就失效了。
代碼開源的詛咒
Mirai源代碼的公開釋放,是網絡安全史上最具爭議的事件之一。發布者聲稱是為了迫使行業正視物聯網安全問題,但實際效果是把攻擊工具民主化了。
九年后的今天,我們能看到一個清晰的演化路徑:原始Mirai → 漏洞利用擴展 → 多架構支持 → 商業運營平臺化 → 移動設備專化。每一代變種都在填補前代的生態位空白。
Aisuru-Kimwolf的"成功"在于整合了前兩代的優點:Aisuru保留了廣泛的設備兼容性,Kimwolf則打開了移動端的流量池。兩者共享C2基礎設施,實現了規模效應。
Discord和Telegram作為銷售渠道的選擇也很講究。這些平臺的加密特性和社群結構,既保護了賣家身份,又降低了買家的信任成本。犯罪服務的用戶體驗,正在向正規SaaS靠攏。
美國C2服務器數量反超中國,這個轉折點值得玩味。它可能反映了執法資源投放的變化,也可能是攻擊者刻意分散基礎設施以規避單一司法管轄。Spamhaus沒有給出解釋,但數據本身已經說明問題:地理邊界對這類威脅的約束力正在衰減。
2026年3月的執法行動是個樣本。它展示了跨國協作的可能性,也暴露了響應速度的落差——法院授權、國際協調、技術執行,這套流程以周為單位計算,而僵尸網絡的遷移以小時為單位。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
