1、Botnet 趋势报告1Botnet 趋势报告2Botnet 趋势报告3Botnet 趋势报告4Botnet 趋势报告1一一.执行摘要执行摘要Botnet 趋势报告22025 年,全球地缘局势复杂多变,网络空间的战略博弈同步持续升级,并驱动网络攻击武器库的迭代演进。僵尸网络作为网络攻击的核心基础设施,其技术范式、运营模式及攻击目标均呈现出深刻的战略性转变与前所未有的复杂性。攻击者深度整合新兴技术,采用体系化、精细化的运营策略,致力于构建更具韧性、隐蔽性与破坏性的威胁基础设施,对全球数字安全体系构成多层次、系统性的严峻威胁。人工智能成为攻防双刃剑,“利用”与“针对”双重威胁凸显。一方面,僵尸网络
2、开始规模化利用AI 技术加速恶意代码构建与发起攻击,2025 年末曝光的 ShadowRay 2.0 攻击事件,提供了一个观察 AI与僵尸网络融合的绝佳样本;另一方面,AI 平台成为攻击新靶标,DeepSeek 等 AI 服务提供商遭僵尸网络攻击的事件频发,印证了针对 AI 基础设施的威胁已落地。代理型僵尸网络架构兴起,传统静态防御陷入被动。PolarEdge、ContainerBot(伏影实验室命名)等流量转发型僵尸网络快速崛起,通过动态流量中转大幅提升溯源难度,一旦形成规模便会固化为基础性攻击设施,导致传统基于 IOC 的防御体系失效,静态防御策略难以应对其动态规避特性。移动端威胁呈爆发式
3、增长,Android 平台成为犯罪核心前沿。Vo1d、Kimwolf 等 Android 平台僵尸网络家族持续增长。攻击者聚焦 Android 设备的核心原因在于其市场占有率高、设备碎片化严重、部分低端设备安全更新滞后,且控制智能电视等 Android 大屏设备后,造成大规模广告推送来影响舆论等更深层次的危害。感染目标呈现“定向化”与“场景化”深度融合特征,漏洞利用武器化效率空前提升。无差别广泛扫描逐步被精准打击取代,例如 fnone 僵尸网络家族(伏影实验室命名)对海康威视摄像头等特定品牌设备的定向攻击、DayzDDoS 对美国军方及政府机构的绕过式扫描、PumaBot 通过精准下发目标清单
4、实施靶向感染;同时,漏洞利用效率显著提升,Nutsbot 快速集成 React2Shell 漏洞,AISURU 团伙通过伪造“官方更新”批量感染 Totolink 路由器等设备,部分团伙还采用“散弹枪式”策略,同步利用数十至上百个已知漏洞扩大感染范围。攻防对抗全面升级,“反检测”与“反追踪”能力成为僵尸网络标配。技术层面,Nutsbot 通过跨端口通信规避追踪,IRC_Tor 家族(伏影实验室命名)融合 IRC 协议与 Tor 网络、基于 OpenNIC 通信的家族数量增多,HpingBot 借助合法工具发起 DDoS 攻击混淆溯源;架构层面,基础设施去中心化趋势明显,多款僵尸网络采用智能合约
5、托管 C&C 服务器提升抗打击能力;此外,主机侧自保排他机制、DNS 请求获取加密 TXT 记录等技术的应用,进一步强化了其隐蔽性。攻击效能极致化,DDoS 攻击呈现“智能化”与“可控化”新特征。HTTPBot 发起的事务性 DDoS 攻击效能显著提升,“Poxiao”团伙内置多元反射放大型 DDoS 攻击方式,攻击手段更具多样性;超大规模攻Botnet 趋势报告3击成为常态,Tbps 级 DDoS 攻击频发,攻击峰值记录持续被打破,对目标网络的可用性造成高破坏性打击。攻击目标与目的地缘政治关联性增强,关键基础设施风险加剧。攻击者更倾向于选择与国际局势、AI 等行业热点或社会抗议活动相关的目标
6、以扩大影响或达成特定目的,DeepSeek 等 AI 平台屡遭攻击;智能电视、路由器、摄像头等缺乏安全更新维护的 IoT 设备仍是主要感染目标,其被控制后不仅可能引发关键基础设施运行中断的风险,还可能将大屏设备用于舆论宣传,影响社会稳定。运营模式持续演进,与高级威胁深度绑定。盈利模式从单一 DDoS 攻击转向多元化,AISURU、Kimwolf等新型僵尸网络将受控设备作为代理服务节点出售,为其他网络犯罪提供匿名通道,形成稳定收入来源;僵尸网络成为高级威胁攻击的“跳板”。APT 或勒索团伙利用僵尸网络节点收集目标环境的情报信息,进而投递后续攻击组件,或者利用已获取的立足点分发邮件,充当代理,为后