北京
2025年上半年,全球僵尸网络(Botnet)的指挥控制服务器(C2)数量涨了26%。下半年又涨24%。
这组数字来自Spamhaus的追踪记录。它意味着一件事:美国自2023年三季度以来首次超过中国,成为全球C2服务器最多的国家。而幕后推手,是一个2016年就被发现的恶意软件家族——Mirai。
从DDoS工具到犯罪基础设施
Mirai最初的设计很单纯:扫描互联网上运行ARC处理器的物联网设备,这些设备跑的是精简版Linux系统。攻击者要么利用已知漏洞,要么直接用出厂默认密码登录——大多数人从来没改过。
2016年,Mirai的源代码被公开。这个决定像把武器图纸扔进了公共领域。九年过去,基于Mirai的活跃变种已经超过200个,感染设备数以百万计。
Pulsedive的研究人员锁定了当前最活跃的两个分支:Aisuru和Kimwolf。它们常被合称为"Aisuru-Kimwolf",合计控制全球100万到400万台主机。
Cloudflare的记录显示,这对组合制造了史上最大规模的DDoS攻击之一:31.4太比特每秒的流量洪水,以及每秒141亿个数据包的冲击。早期Mirai变种从未达到过这种量级。
犯罪生意的商业模式
Aisuru-Kimwolf的运营者把基础设施变成了一门生意。他们在Discord和Telegram上兜售被感染设备的访问权限,买家可以按需租用这些"肉鸡"发动攻击。
Kimwolf是Aisuru的Android专化分支,专攻移动设备和智能电视。全球约200万台Android设备已被感染,攻击代码针对Android系统重新编写,但保留了同样的DDoS能力。
感染流程高度自动化:发现漏洞设备后,Kimwolf运行安装脚本,下载恶意载荷,建立持久化机制,最后向C2服务器注册。整个过程不需要用户交互。
更隐蔽的玩法是滥用住宅代理网络。攻击流量被路由到普通家庭用户的IP地址,溯源难度大幅提升。你的路由器可能正在帮别人打掩护,而你一无所知。
执法行动的局限性
2026年3月19日,美国司法部宣布对Aisuru、KimWolf、JackSkid和Mossad四个僵尸网络的C2服务器采取法院授权的干扰行动。执法范围覆盖加拿大和德国。
但声明发布的同时,研究人员已经观察到这些网络的自适应行为。C2基础设施被设计成可快速迁移,一个节点被端掉,备用域名和IP几小时内就能接管。
这种韧性源于Mirai代码的模块化设计。任何人拿到源码后,只需修改C2地址、加密密钥和漏洞利用模块,就能发布新变种。技术门槛低到"脚本小子"级别。
Spamhaus的数据曲线说明了一切:2025年全年的C2服务器增长是加速的,而非放缓。执法打击制造了波动,但没有扭转趋势。
为什么物联网设备总是失守
Mirai的持久生命力,本质上是一个供应链问题。
ARC处理器广泛应用于廉价路由器、摄像头、智能电视等设备。这些产品的安全更新周期往往只有一两年,而设备本身的使用寿命是五到十年。漏洞被发现后,厂商早已停止维护。
更深层的问题是经济激励错位。设备制造商按出货量结算,售后安全不是KPI。用户侧呢?大多数人不会为了改路由器密码而翻说明书。
Kimwolf选择Android设备作为新战场,正是因为这个生态的碎片化。电视厂商定制系统、老旧版本长期服役、应用商店审核宽松——每一环都是突破口。
Cloudflare的31.4Tbps攻击记录是个信号:僵尸网络的火力已经超越了大多数企业的防御上限。即使你用上了商业DDoS清洗服务,面对这种量级的饱和攻击,带宽本身就会成为瓶颈。
住宅代理的滥用则改变了攻击的归因逻辑。传统上,安全团队通过IP信誉库判断威胁来源。但当攻击流量来自数百万个真实的家庭宽带地址,这套机制就失效了。
代码开源的诅咒
Mirai源代码的公开释放,是网络安全史上最具争议的事件之一。发布者声称是为了迫使行业正视物联网安全问题,但实际效果是把攻击工具民主化了。
九年后的今天,我们能看到一个清晰的演化路径:原始Mirai → 漏洞利用扩展 → 多架构支持 → 商业运营平台化 → 移动设备专化。每一代变种都在填补前代的生态位空白。
Aisuru-Kimwolf的"成功"在于整合了前两代的优点:Aisuru保留了广泛的设备兼容性,Kimwolf则打开了移动端的流量池。两者共享C2基础设施,实现了规模效应。
Discord和Telegram作为销售渠道的选择也很讲究。这些平台的加密特性和社群结构,既保护了卖家身份,又降低了买家的信任成本。犯罪服务的用户体验,正在向正规SaaS靠拢。
美国C2服务器数量反超中国,这个转折点值得玩味。它可能反映了执法资源投放的变化,也可能是攻击者刻意分散基础设施以规避单一司法管辖。Spamhaus没有给出解释,但数据本身已经说明问题:地理边界对这类威胁的约束力正在衰减。
2026年3月的执法行动是个样本。它展示了跨国协作的可能性,也暴露了响应速度的落差——法院授权、国际协调、技术执行,这套流程以周为单位计算,而僵尸网络的迁移以小时为单位。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
