Botnet趋势报告（2025年版）.docxVIP

za1n0ca

za

1

n0

ca

.1

.1Pathsf#.t !#ar

??scomp#exIteO )li

,coslexItem(o.

,coslexItem(o.job.paqc-tems(3.t,

,..cessr?= paoeIt°v

semie

o),

?°?ageltersJe-qth;

.? .typer-cem(ob.penroagrltems(

I

I

2O25??

CONTENTS01

CONTENTS

执行摘要 1

02

僵尸网络发展趋势 3

大国网络空间博弈的重要武器 4

高级威胁攻击的前置 10

03

僵尸网络漏洞利用情况、传播情况 14

传播方式分析 15

感染范围分析 17

04

僵尸网络攻击活动分析 19

攻击活动分析 20

控制地址分析 22

0执行

0执行1摘要

05

僵尸网络的发展与对抗

5.1僵尸网络对抗愈加激烈

25

5.3僵尸网络团伙活跃频繁

06

未来展望——僵尸网络发展趋势预测

5.2新兴家族层出不穷

26

32

38

42

0

0僵发展尸2趋网势络

2024BOTNET趋势报告

2024年，全球遭遇了空前的动荡与挑战，国际政治格局深刻调整，全球经济形势错综复杂，科技创新与社会文化激烈碰撞。在此背景下，网络空间成为大国间“兵家必争之地”，暗潮涌动。作为高级势力重要工具的僵尸网络被赋予了新的使命，有了新的用途。

僵尸网络成为大国网络空间博弈利器。近年来，在俄乌战争及巴以冲突等重大地缘事件中，均监测到僵尸网络发起过DDoS攻击活动。僵尸网络经常被用来发起针对对手国家的高强度网络攻击，导致其关键基础设施瘫痪；或是通过僵尸网络操控舆论，进行恶意宣传，以期达到分化敌对国家的目的；此外，攻击者还利用僵尸网络在特定时期发起网络攻击活动来表达政治立场以及参与阵营之争，从而间接影响最终决策。

僵尸网络威胁态势日益严峻。2024年，僵尸网络所控制的CC数量及发起的攻击活动次数再创新高，其中极大比例的攻击活动针对国内关键基础设施；在众多僵尸网络家族中，Mirai家族最为活跃，Mozi木马的传播量持续保持高位；感染方式上，Linux/IoT平台漏洞入侵方式依然占据主导地位，Windows平台各种新的社工手法层出不穷。

僵尸网络成为高级威胁攻击的“跳板”。APT或勒索团伙利用僵尸网络节点收集目标环境的情报信息，进而投递后续攻击组件；或者利用已获取的立足点分发邮件，充当代理，为后续攻击做准备；此外，一些恶意软件集成了勒索、DDoS、窃密等多重功能，通过模块化组件的形式下发，这些工具落入不同的组织便有了不同的用途。

僵尸网络新家族展现出日益增强的对抗性。相较于Windows平台，Linux/IoT僵尸网络文件侧的对抗相对较弱，早期多以变形的UPX壳为主，但近年来攻击者提高了文件侧隐匿性的重视程度，逐渐引入shc、KiteshieldPacker等壳技术来降低杀毒软件的检测率；流量层面，对抗依然激烈，攻击者利用DGA、DOH、OpenNIC、币安智能合约托管CC等技术手段来减少被检测的概率，或是设计复杂的通信逻辑以避免被安全研究人员追踪。此外，本年度攻击者对ssh协议的关注度显著提升，他们尝试各种ssh利用技术，以求通过更高效的方式分发恶意软件或窃取数据。

僵尸网络新团伙相继加入借助社交平台进行宣传的行列。xorbot与catddos等僵尸网络家族的控制者，在其演进历程中，逐渐学习了老牌僵尸网络团伙的成熟策略，转而利用社交平台作为宣传阵地，并通过诸如Telegram等隐私性较强的社交渠道来统一租赁或售卖他们所控制的资源。这一行为特征极大程度上印证了我们先前的预测。这些团伙在发展的早期阶段通过社交媒体进行“带货”，以提高知名度，吸引投资或直接获取收益，进而为后续的发展做铺垫。

大国网络空间博弈的重要武器

近年来，僵尸网络已演变为国家间网络空间对抗的重要武器。国家级背景的网络攻击团伙通过控制僵尸网络对目标国的关键基础设施实施高强度的DDoS攻击，造成其关键基础设施的瘫痪；或是利用僵尸网络散布谣言，试图对敌对国家的内部舆论施加影响，以达成政治目的；此外，攻击者还将僵尸网络的日常化运营作为数字化时代的关键战略资源，在必要时刻利用这些僵尸网络对特定领域进行有针对性的打压。

2024年，我国首款3A游戏《黑神话：悟空》在上线初期遭遇大规模DDoS攻击事件。其后，我国首个高性能开源AI大模型在发布当天也遭到了持续的DDoS攻击。此外，美国大选期间、法国逮捕Telegram创始人等重大事件中，僵尸网络多次针对关键基础设施发起DDoS攻击，以表