> **来源:[研报客](https://pc.yanbaoke.cn)** # BOTNET 趋势报告总结 ## 核心内容 2025年,全球僵尸网络生态持续演进,呈现高度复杂性与隐蔽性。攻击者利用AI、区块链、代理架构等新兴技术,显著提升了僵尸网络的攻击能力与防御规避手段。同时,攻击目标更加精准,攻击手段更加多样化,对全球数字安全体系构成多层次、系统性的威胁。僵尸网络不仅作为攻击工具,还逐渐演变为融合情报搜集、渗透控制、金融犯罪、地缘政治工具于一体的综合性网络威胁平台。 ## 主要观点 - **AI驱动威胁升级**:AI技术被僵尸网络用于攻击工具开发与攻击行为模拟,提升了攻击的智能化和隐蔽性。同时,AI平台也成为攻击目标,威胁从资源掠夺升级至战略施压。 - **代理型僵尸网络兴起**:代理型僵尸网络如PolarEdge和ContainerBot迅速发展,通过流量转发机制隐藏攻击来源,对传统威胁情报体系造成严重挑战。 - **移动端威胁爆发**:Android平台成为僵尸网络的新焦点,因其设备基数庞大、生态开放且安全防护薄弱,攻击者利用智能电视、路由器等设备实施大规模攻击。 - **漏洞利用与传播策略精准化**:僵尸网络攻击不再依赖无差别扫描,而是通过定向漏洞利用和定制化传播策略,提升攻击成功率和隐蔽性。 - **反检测与反追踪技术发展**:僵尸网络采用跨端口通信、区块链C&C托管、加密DNS请求、自保排他机制等技术,极大增强了攻击隐蔽性,使得传统防御手段难以有效拦截。 - **供应链攻击成为主流**:僵尸网络通过篡改固件升级服务器,利用合法更新渠道实施批量感染,形成规模化的攻击集群。 - **攻击活动全球化**:僵尸网络攻击不再局限于特定区域,而是呈现出全球分布特征,其中美国是主要控制中心,中国是主要受害地区。 ## 关键信息 ### 技术演进 - **AI技术**:用于攻击工具开发与攻击行为模拟,如ShadowRay 2.0利用AI算力进行加密货币挖矿。 - **代理型架构**:如ContainerBot,具备流量转发与攻击模块分发能力,成为新型攻击基础设施。 - **区块链应用**:用于C&C服务器托管,如Kimwolf利用以太坊智能合约隐藏C&C地址,提升攻击隐蔽性。 - **加密DNS通信**:如使用DNS-over-TLS与加密TXT记录,隐藏攻击流量特征,规避检测。 - **自保与排他机制**:如Archbot通过评分机制与黑名单匹配,精准识别并清除竞争对手恶意程序。 - **供应链渗透**:如AISURU通过篡改Totolink路由器固件升级渠道,实现批量感染。 ### 攻击趋势 - **攻击效能强化**:僵尸网络攻击从广撒网式压制转向精准化打击,如HTTPBot发起事务消耗型DDoS攻击。 - **攻击目标定向化**:如Fnone专门针对海康威视摄像头,PumaBot通过C&C下发目标IP列表实现定向攻击。 - **攻击活动高频化**:全年超过30个僵尸网络家族及变种频繁发起攻击,其中XorDDoS、Mirai、Hailbot占据主导地位。 - **地理分布集中**:C&C服务器主要集中在美国,攻击活动覆盖全球130多个国家和地区,中国为最大受害国。 ### 防御挑战 - **传统防御失效**:基于IOC的静态防御策略难以应对僵尸网络的动态特性与反追踪机制。 - **行为识别成为关键**:攻击流量深度隐匿,需转向基于行为分析与意图研判的动态防御体系。 - **检测与溯源难度提升**:僵尸网络利用加密通信、伪造流量、合法工具等手段,显著增加防御复杂度。 ## 未来展望 2026年,僵尸网络将演变为综合性网络威胁平台,具备更强的隐蔽性、智能化和武器化特征。攻击者将更深度整合AI技术,提升攻击链路的自动化与个性化。代理型僵尸网络将向“犯罪互联网核心基础设施”发展,结合区块链、OpenNIC等去中心化技术,使得传统IOC追踪与资产封禁手段面临失效危机。移动端僵尸网络将成为新的超级入口,攻击者将通过控制智能设备实现更广泛的网络渗透。同时,僵尸网络将更多参与地缘政治行动,成为非对称威胁的重要工具。 ## 新兴僵尸网络家族与团伙 ### 僵尸网络家族 | 家族名 | 特点与攻击活动 | |--------------|----------------| | PumaBot | 定向攻击,通过C&C获取目标IP列表 | | RapperBot | 参与攻击DeepSeek,使用加密DNS通信 | | Hailbot | 2025年参与攻击DeepSeek,具备反射放大能力 | | Pickai | 通过ComfyUI漏洞传播 | | AIRASHI | 攻击《黑神话:悟空》 | | Void | 以Android电视为主要传播目标 | | Gayfemboy | 利用多个漏洞传播,持续更迭版本 | | Gorillabot | 2024年9月下发30余万条攻击指令 | | XorBot | 利用Telegram进行宣传与运营 | | HTTPBot | 针对HTTP协议设计,发起事务消耗型DDoS攻击 | | Dayzzddos | 定制化攻击我国目标,模块化设计 | | Nutsbot | 具备信息窃取、挖矿、DDoS等多重功能 | | Kimwolf | 针对Android平台,与AISURU存在关联 | | PolarEdge | 代理型僵尸网络,流量转发能力强 | | Merte | 基于Mirai源代码的僵尸网络家族 | | Archbot | 针对雄迈设备,具备自保与排他机制 | | Fnone | 针对海康威视摄像头,采用定向探测机制 | | IRC_Tor | 结合IRC与Tor协议进行通信 | | HAEDBot | 内置DNS反射放大攻击,由KekSec运营 | | Hpingbot | 利用Pastebin与hping3进行DDoS攻击 | | ContainerBot | 代理型僵尸网络,具备100+代理组件 | | Tsunmere | 利用游戏诱饵与以太坊C&C服务器在Windows平台扩张 | | BadBox2.0 | 利用Android设备作为住宅代理,实施DDoS与广告欺诈 | | RondoDox | 针对路由器、DVR、NVR等设备,采用“漏洞霰弹枪”策略 | ### 僵尸网络团伙 | 团伙名 | 特点与攻击活动 | |----------------|----------------| | Hail团伙 | 控制Hailbot,攻击DeepSeek | | KekSec团伙 | 新增HAEDBot,擅长反射放大攻击 | | Bigpanzi团伙 | 通过盗版软件与固件更新感染Android设备 | | CatDDoS团伙 | 活跃于2024年,衍生多个变种 | | "Poxiao"团伙 | 运营多个僵尸网络家族,擅长反射放大攻击 | | “luotuoxiangzi”团伙 | 以分布式爆破方式攻击目标 | | Rapper团伙 | 控制RapperBot,参与攻击DeepSeek,2025年8月被捕 | | 银狐系列团伙 | 通过钓鱼传播,目标扩展至海外市场 | | 黑猫团伙 | 推送钓鱼网站至搜索前列,诱导用户下载恶意程序 | | AISURU团伙 | 控制AIRASHI与Kimwolf,具备政治倾向 | | Ares黑客团伙 | 运营多个僵尸网络家族,提供资源租赁服务 | | ATA团伙 | 与XorDDoS关联,攻击主要集中在国内 | | frosted团伙 | 攻击资源位于境外,国内仅少量受感染设备 |