> **来源:[研报客](https://pc.yanbaoke.cn)** # BOTNET趋势报告总结 ## 核心内容 绿盟科技发布的《2026 BOTNET趋势报告》全面分析了2025年僵尸网络的发展态势、技术演进、攻击特征及防御挑战。报告指出,僵尸网络正经历从传统攻击模式向更复杂、隐蔽、智能化方向的深度转变,AI技术、代理型架构、移动端渗透等成为关键演进趋势,对全球网络安全体系构成系统性威胁。 ## 主要观点 - **僵尸网络威胁升级**:2025年僵尸网络攻击手段更加多样化,攻击目标更加精准,攻击活动更加频繁,对关键基础设施和AI平台构成显著威胁。 - **AI与僵尸网络融合**:AI技术被广泛用于僵尸网络的攻击设计和执行,提升了攻击的智能化和隐蔽性,同时也成为攻击目标。 - **代理型僵尸网络崛起**:以ContainerBot和PolarEdge为代表的代理型僵尸网络,通过流量转发和去中心化架构,显著提升了攻击的隐蔽性和溯源难度。 - **移动端威胁爆发**:Android平台,尤其是智能电视和大屏设备,成为僵尸网络的新目标,攻击规模和隐蔽性显著提升。 - **漏洞利用与攻击武器化**:僵尸网络广泛利用已知和新兴漏洞,实现精准攻击,且攻击链路趋向工具化和模块化,提升攻击效率和隐蔽性。 - **反检测与反追踪技术发展**:僵尸网络采用多种技术手段,如跨端口通信、区块链托管C&C、加密DNS请求等,显著增强了攻击的隐蔽性和抗干扰能力。 - **供应链攻击常态化**:攻击者通过入侵设备厂商的固件升级服务器,实现批量感染,形成规模化的僵尸网络集群。 - **合法工具被滥用**:攻击者利用合法工具与配置文件,实现攻击的伪装和隐蔽,使得传统检测手段难以识别。 ## 关键信息 ### 技术演进与防御挑战 - **跨端口通信**:僵尸网络通过多端口交互方式规避流量追踪,提升攻击隐蔽性。 - **区块链与OpenNIC滥用**:区块链智能合约被用于动态存储C&C地址,OpenNIC基础设施被用于隐蔽通信,提高攻击不可追踪性。 - **DNS-over-TLS与加密TXT记录**:僵尸网络利用DNS加密技术隐藏攻击流量,通过自定义加密格式规避检测。 - **取证式自保与排他机制**:僵尸网络采用类似安全工具的机制,识别并清除竞争对手,提升自身存活能力。 - **构造畸形文件**:通过设计不符合规范的PE文件,绕过杀毒软件的检测机制,实现无文件攻击。 ### 僵尸网络威胁全景与态势分析 - **漏洞利用加速**:Linux/IoT平台僵尸网络以漏洞利用为主,Windows平台则侧重社会工程学与钓鱼攻击。 - **攻击活动全球化**:僵尸网络攻击活动覆盖全球130多个国家和地区,其中中国受攻击最严重,占比达40%。 - **C&C地址集中在美国**:僵尸网络控制地址主要分布在美国,因其成熟的黑产生态和匿名技术,成为僵尸网络运营的优选地。 - **攻击家族与团伙活跃**:如PumaBot、RapperBot、HAEDBot、Kimwolf、Poxiao等家族及团伙持续活跃,具备强大的攻击能力与隐蔽性。 ## 未来展望 - **AI攻防螺旋升级**:AI将更深度参与僵尸网络的攻击链路,包括漏洞挖掘与攻击载荷生成,同时成为攻击目标。 - **僵尸网络向基础设施化演进**:代理型僵尸网络如ContainerBot将成为犯罪网络的核心基础设施,推动僵尸网络从“攻击工具”向“攻击平台”转变。 - **移动端成为攻击核心**:Android大屏设备如智能电视、机顶盒等,因其广泛的市场占有率和高价值,成为僵尸网络的主要渗透目标。 - **DDoS攻击场景化与服务化**:攻击方式将更趋精细化、定制化,满足不同行业的特定需求,如金融、游戏、AI服务等。 - **地缘政治与僵尸网络结合**:APT组织可能利用僵尸网络作为隐蔽工具,实施地缘政治攻击,影响关键基础设施的稳定性。 ## 附录概览 ### 新兴僵尸网络家族简介 | 家族名 | 特点/攻击活动 | |------------|--------------------------------------------------------------------------------| | PumaBot | 2025年活跃,具备挖矿能力,发起SSH扫描时从服务端获取IP列表。 | | RapperBot | 2022年首次披露,2025年初参与针对DeepSeek的攻击活动。 | | Hailbot | 2023年首次披露,2025年初参与针对DeepSeek的攻击活动。 | | Pickai | 2025年披露,曾通过ComfyUI漏洞传播。 | | AIRASHI | 2024年8月参与针对《黑神话:悟空》的攻击。 | | VoId | 2025年活跃,以Android电视为主要传播目标,是一个下载器。 | | Gayfemboy | 2024年至2025年活跃,使用四信工业路由0day漏洞传播。 | | gorillabot | 2024年首次披露,2024年9月4日至27日下发30余万条攻击指令。 | | TBOT | 2024年初安全社区披露的超大分组型僵尸网络家族。 | | Boat | 2022年6月首次披露,其ripper变种近年来极为活跃。 | | XorBot | 2024年首次披露,近年来多次升级版本,控制者创建Telegram组群对外宣传。 | | HTTPBot | 2025年4月披露,内置HTTP协议攻击模块,实现事务消耗性DDoS攻击。 | | Dayzzddos | 2025年7月首次披露,定制化开发,针对我国目标,具备多种DDoS攻击方式。 | | Nutsbot | 2025年12月披露,具备信息窃取、远程命令执行、挖矿牟利等多重功能,隐蔽性高。 | | Kimwolf | 2025年活跃,主要针对Android平台,与Aisuru存在关联。 | | PolarEdge | 2025年活跃的代理型僵尸网络家族。 | | Merte | 2025年活跃,基于Mirai源代码修改而来的僵尸网络家族。 | | Archbot | 2025年发现,以雄迈设备为核心目标,具备取证式查杀能力。 | | Fnone | 2025年发现,以海康威视摄像头为核心目标,具备高度定向攻击能力。 | | IRC_Tor | 2025年发现,结合IRC与Tor协议进行通信的僵尸网络家族。 | | HAEDBot | 2024年发现,内置DNS反射放大攻击等多种DDoS方式。 | | Hpingbot | 2025年7月披露,利用Pastebin和hping3进行DDoS攻击。 | | ContainerBot | 2025年发现,释放100+代理组件,进行流量转发。 | | Tsundere | Windows平台僵尸网络,2025年中活跃,利用游戏诱饵和以太坊C&C服务器扩张。 | | BadBox2.0 | Android平台僵尸网络,感染设备后可作为住宅代理,实施DDoS、凭据填充等攻击。 | | RondoDox | 针对路由器、DVR、NVR等设备,采用“漏洞霰弹枪”攻击模式,尝试利用多个漏洞。 | ### 新兴僵尸网络团伙简介 | 团伙名 | 特点与攻击活动 | |--------------------|--------------------------------------------------------------------------------| | Hail 团伙 | Hailbot的实际控制者,攻击活动频繁,控制C&C数量多,参与针对DeepSeek的攻击活动。 | | KekSec 团伙 | 新增运营hbot和HAEDBot僵尸网络家族,擅长DNS反射放大攻击。 | | Bigpanzi 团伙 | 活跃多年,通过盗版软件和固件更新感染Android设备。 | | CatDDoS 团伙 | 2024年以来活跃,衍生出诸多变种,攻击活动频繁。 | | “Poxiao”团伙 | 运营多个僵尸网络家族,擅长多种反射放大攻击方式。 | | “luotuoxiangzi”挖矿团伙 | 活跃于2025年,不自带爆破字典,而是从中心服务器下载,实现“分布式爆破”。 | | Rapper 团伙 | RapperBot的控制者,2022年首次披露,2025年参与针对DeepSeek的攻击活动。 | ## 总结 2025年僵尸网络呈现出高度智能化、隐蔽化、平台化与全球化特征,AI、区块链、代理架构、移动端渗透等技术成为攻击演进的重要驱动力。攻击者通过精细化漏洞利用、反检测与反追踪技术、供应链攻击等方式,显著提升攻击效率与隐蔽性。防御体系需从传统静态检测向动态行为分析转变,以应对僵尸网络的持续演进与多样化威胁。未来僵尸网络将更深度融入网络攻击生态,成为综合性的威胁平台,对全球网络安全构成持续挑战。