通信行业：BOTNET趋势报告

Botnet 趋势报告1Botnet 趋势报告2Botnet 趋势报告3Botnet 趋势报告4Botnet 趋势报告1一.执行摘要Botnet 趋势报告22025 年，全球地缘局势复杂多变，网络空间的战略博弈同步持续升级，并驱动网络攻击武器库的迭代演进。僵尸网络作为网络攻击的核心基础设施，其技术范式、运营模式及攻击目标均呈现出深刻的战略性转变与前所未有的复杂性。攻击者深度整合新兴技术，采用体系化、精细化的运营策略，致力于构建更具韧性、隐蔽性与破坏性的威胁基础设施，对全球数字安全体系构成多层次、系统性的严峻威胁。人工智能成为攻防双刃剑，“利用”与“针对”双重威胁凸显。一方面，僵尸网络开始规模化利用AI 技术加速恶意代码构建与发起攻击，2025 年末曝光的 ShadowRay 2.0 攻击事件，提供了一个观察 AI与僵尸网络融合的绝佳样本；另一方面，AI 平台成为攻击新靶标，DeepSeek 等 AI 服务提供商遭僵尸网络攻击的事件频发，印证了针对 AI 基础设施的威胁已落地。代理型僵尸网络架构兴起，传统静态防御陷入被动。PolarEdge、ContainerBot（伏影实验室命名）等流量转发型僵尸网络快速崛起，通过动态流量中转大幅提升溯源难度，一旦形成规模便会固化为基础性攻击设施，导致传统基于 IOC 的防御体系失效，静态防御策略难以应对其动态规避特性。移动端威胁呈爆发式增长，Android 平台成为犯罪核心前沿。Vo1d、Kimwolf 等 Android 平台僵尸网络家族持续增长。攻击者聚焦 Android 设备的核心原因在于其市场占有率高、设备碎片化严重、部分低端设备安全更新滞后，且控制智能电视等 Android 大屏设备后，造成大规模广告推送来影响舆论等更深层次的危害。感染目标呈现“定向化”与“场景化”深度融合特征，漏洞利用武器化效率空前提升。无差别广泛扫描逐步被精准打击取代，例如 fnone 僵尸网络家族（伏影实验室命名）对海康威视摄像头等特定品牌设备的定向攻击、DayzDDoS 对美国军方及政府机构的绕过式扫描、PumaBot 通过精准下发目标清单实施靶向感染；同时，漏洞利用效率显著提升，Nutsbot 快速集成 React2Shell 漏洞，AISURU 团伙通过伪造“官方更新”批量感染 Totolink 路由器等设备，部分团伙还采用“散弹枪式”策略，同步利用数十至上百个已知漏洞扩大感染范围。攻防对抗全面升级，“反检测”与“反追踪”能力成为僵尸网络标配。技术层面，Nutsbot 通过跨端口通信规避追踪，IRC_Tor 家族（伏影实验室命名）融合 IRC 协议与 Tor 网络、基于 OpenNIC 通信的家族数量增多，HpingBot 借助合法工具发起 DDoS 攻击混淆溯源；架构层面，基础设施去中心化趋势明显，多款僵尸网络采用智能合约托管 C&C 服务器提升抗打击能力；此外，主机侧自保排他机制、DNS 请求获取加密 TXT 记录等技术的应用，进一步强化了其隐蔽性。攻击效能极致化，DDoS 攻击呈现“智能化”与“可控化”新特征。HTTPBot 发起的事务性 DDoS 攻击效能显著提升，“Poxiao”团伙内置多元反射放大型 DDoS 攻击方式，攻击手段更具多样性；超大规模攻Botnet 趋势报告3击成为常态，Tbps 级 DDoS 攻击频发，攻击峰值记录持续被打破，对目标网络的可用性造成高破坏性打击。攻击目标与目的地缘政治关联性增强，关键基础设施风险加剧。攻击者更倾向于选择与国际局势、AI 等行业热点或社会抗议活动相关的目标以扩大影响或达成特定目的，DeepSeek 等 AI 平台屡遭攻击；智能电视、路由器、摄像头等缺乏安全更新维护的 IoT 设备仍是主要感染目标，其被控制后不仅可能引发关键基础设施运行中断的风险，还可能将大屏设备用于舆论宣传，影响社会稳定。运营模式持续演进，与高级威胁深度绑定。盈利模式从单一 DDoS 攻击转向多元化，AISURU、Kimwolf等新型僵尸网络将受控设备作为代理服务节点出售，为其他网络犯罪提供匿名通道，形成稳定收入来源；僵尸网络成为高级威胁攻击的“跳板”。APT 或勒索团伙利用僵尸网络节点收集目标环境的情报信息，进而投递后续攻击组件，或者利用已获取的立足点分发邮件，充当代理，为后续攻击做准备。Botnet 趋势报告4二.僵尸网络威胁演化趋势分析Botnet 趋势报告5僵尸网络的发展形态、技术路径与攻击目标正呈现多元演化态势，其中 AI 驱动攻击革新、代理型架构兴起、移动端威胁攀升三大新兴趋势尤为显著。与此同时，新兴僵尸网络还呈现出反追踪能力持续强化、攻击效能显著提升、传播与感染目标高度定向化等主流特征。2.1僵尸网络新兴威胁趋势2.1.1僵尸网络与 AI 深度结合，威胁升级2025 年，人工智能技术的快速迭代对网络安全防御与对抗产生重大影响。特别是在僵尸网络领域，AI 技术已逐步实现从‘辅助工具’向‘核心驱动’的演变。当前，僵尸网络正形成“利用 AI 赋能攻击能力”与“攻击 AI 基础设施、掠夺资源”双向并行的攻击新形态，显著提升了攻击的隐蔽性、规模化与破坏性。监测数据显示，2025 年全球范围内与 AI 相关的僵尸网络攻击事件持续攀升，不少攻击者借助 AI 平台开发工具强化攻击能力，同时也有诸多 AI 平台成为黑客团伙的定向攻击目标，攻击目标广泛覆盖商业AI 服务平台、算力中心、工业 AI 控制系统等多种 AI 应用场景。僵尸网络对 AI 平台的定向攻击，从资源掠夺到战略施压。随着 AI 平台的社会与经济价值持续提升，其已成为僵尸网络团伙的核心攻击目标之一，攻击目的从单纯的资源劫持逐步升级为兼具经济牟利与战略施压的复合诉求。2025 年初，中国人工智能企业 DeepSeek 在推出性能对标 OpenAI o1 的 DeepSeek-R1 模型后，连续遭受多轮高强度的分布式拒绝服务（DDoS）攻击①。绿盟科技伏影实验室监测数据显示，攻击自 1 月 20日起持续发生，主要针对其核心服务接口——API（api.deepseek.com）及对话系统（chat.deepseek.com），攻击手法以 NTP 反射、Memcached 反射和 SSDP 反射为主，单次攻击持续约 30 分钟至 1 小时以上，导致API 服务出现严重中断。① 详见绿盟科技威胁情报微信公众号文章《DeepSeek 崛起背后的暗流：全球 AI 技术博弈下的 DDoS 攻击》Botnet 趋势报告6图 2.1大模型与僵尸网络融合加剧Botnet 趋势报告7图 2.2DeepSeek 遭受攻击时间线Botnet 趋势报告82025 年末曝光的 ShadowRay 2.0 攻击事件①，提供了一个观察 AI 与僵尸网络融合的绝佳样本。这次攻击的核心逻辑是利用 AI 生成的恶意载荷，专门劫持暴露在公网上的 AI 算力基础设施——Ray 集群，并将其改造为加密货币挖矿僵尸网络，攻击者突破防御劫持 AI 算力，支撑恶意活动规模化开展。ShadowRay2.0 事件绝非终点，而是一个新时代的开端。它以一种尖锐的方式宣告，攻击者可以突破防御劫持 AI 算力来支撑开展其规模化恶意活动，AI 与僵