> **来源:[研报客](https://pc.yanbaoke.cn)** # BOTNET 趋势报告总结 ## 核心内容概览 2025年,僵尸网络在技术、运营模式及攻击目标等方面发生了深刻变化,成为网络攻击的核心基础设施。其威胁呈现智能化、隐蔽化、多样化及区域化等趋势,对全球数字安全体系构成系统性挑战。 ## 主要观点与关键信息 ### 1. 僵尸网络威胁升级 - **AI驱动攻击革新**:AI技术被广泛用于僵尸网络,既用于增强攻击能力,也成为攻击目标。攻击者利用AI平台生成恶意代码,如WormGPT,而AI服务如DeepSeek成为攻击目标,遭受高强度DDoS攻击。 - **代理型僵尸网络兴起**:如PolarEdge、ContainerBot等,通过流量转发和动态部署技术,极大增加了溯源难度,迫使防御体系从“封锁节点”转向“洞察链路”。 - **移动端威胁爆发**:Android平台成为僵尸网络新热点,VoId、Kimwolf等家族针对大屏设备,利用其生态脆弱性与高价值属性实现大规模感染。 ### 2. 技术演进与防御挑战 - **反追踪与反检测技术**: - NutsBot采用跨端口通信机制,实现复杂认证流程,规避流量监听与协议逆向。 - HTTPBot模拟真实浏览器行为,实现与正常流量深度融合,规避基于协议特征的检测。 - **隐蔽通信方式**: - 僵尸网络广泛使用区块链技术、OpenNIC域名、DNS-over-TLS等,增强通信隐蔽性。 - 利用加密DNS请求(如TXT记录)实现隐蔽指令传输,降低被识别风险。 - **攻击策略创新**: - 僵尸网络采用“取证式”自保机制,识别并清除竞品恶意软件,增强自身存活能力。 - 通过供应链渗透,如AISURU篡改Totolink路由器升级服务器,实现批量感染,提升攻击效率与隐蔽性。 - 滥用合法工具与软件(如ScreenConnect、hping3、.NET配置文件)进行攻击,利用信任机制绕过检测。 ### 3. 攻击活动与态势分析 - **漏洞利用与传播**: - 僵尸网络频繁利用老旧漏洞(如CVE-2021-36260、CVE-2017-7921)和新兴高危漏洞(如React2Shell)进行传播。 - 攻击传播呈现精准化趋势,如PumaBot通过C&C下发目标列表,实施定向扫描。 - **攻击目标分布**: - 全球范围内,僵尸网络攻击覆盖130多个国家和地区,其中中国遭受攻击最严重,占比达40%。 - 美国为控制C&C服务器的主要区域,占比达25%,反映出其黑产生态和监管差异为僵尸网络提供了良好环境。 - **攻击家族活跃度**: - XorDDoS家族占据攻击指令48%,Mirai家族32%,Hailbot12%。 - 新兴家族如HTTPBot、Nutsbot、Kimwolf等持续活跃,展示出攻击多样化趋势。 ### 4. 未来展望 - **僵尸网络角色转变**:从单一攻击工具演变为融合情报搜集、渗透控制、金融犯罪、地缘政治工具的综合威胁平台。 - **AI攻防螺旋升级**:攻击者深度利用生成式AI进行漏洞挖掘和攻击载荷定制,同时AI平台成为攻击目标。 - **“基础设施化”趋势**:代理型僵尸网络如ContainerBot成为犯罪基础设施,结合区块链等去中心化技术,进一步增强隐蔽性与抗打击能力。 - **移动端威胁成为“超级入口”**:Android大屏设备成为攻击重点,其作为家庭网络中枢,具备极高渗透价值。 - **DDoS攻击“服务化”与“场景定制化”**:攻击者可根据目标行业(如金融、游戏、AI服务)定制攻击方式,实现“按需攻击”。 - **地缘政治威胁加剧**:APT组织可能利用僵尸网络作为非对称威胁工具,影响关键基础设施运行。 ## 结论 2025年,僵尸网络技术与运营模式持续升级,形成“隐蔽性更强、攻击更精准、威胁更复杂”的新态势。AI、代理型架构、移动端渗透、供应链攻击等成为关键趋势。面对僵尸网络的多样化威胁,安全防御体系必须从静态检测转向动态分析,强化行为识别与意图研判能力,以应对日益复杂的网络攻击环境。