2026 Botnet趋势报告

2025年，全球地缘局势复杂多变，网络空间的战略博弈同步持续升级，并驱动网络攻击武器库的迭代演进。僵尸网络作为网络攻击的核心基础设施，其技术范式、运营模式及攻击目标均呈现出深刻的战略性转变与前所未有的复杂性。攻击者深度整合新兴技术，采用体系化、精细化的运营策略，致力于构建更具韧性、隐蔽性与破坏性的威胁基础设施，对全球数字安全体系构成多层次、系统性的严峻威胁。 人工智能成为攻防双刃剑，“利用”与“针对”双重威胁凸显。一方面，僵尸网络开始规模化利用AI技术加速恶意代码构建与发起攻击，2025年末曝光的ShadowRay2.0攻击事件，提供了一个观察AI与僵尸网络融合的绝佳样本；另一方面，AI平台成为攻击新靶标，DeepSeek等AI服务提供商遭僵尸网络攻击的事件频发，印证了针对AI基础设施的威胁已落地。 代理型僵尸网络架构兴起，传统静态防御陷入被动。PolarEdge、ContainerBot（伏影实验室命名）等流量转发型僵尸网络快速崛起，通过动态流量中转大幅提升溯源难度，一旦形成规模便会固化为基础性攻击设施，导致传统基于IOC的防御体系失效，静态防御策略难以应对其动态规避特性。 移动端威胁呈爆发式增长，Android平台成为犯罪核心前沿。Vo1d、Kimwolf等Android平台僵尸网络家族持续增长。攻击者聚焦Android设备的核心原因在于其市场占有率高、设备碎片化严重、部分低端设备安全更新滞后，且控制智能电视等Android大屏设备后，造成大规模广告推送来影响舆论等更深层次的危害。 感染目标呈现“定向化”与“场景化”深度融合特征，漏洞利用武器化效率空前提升。无差别广泛扫描逐步被精准打击取代，例如fnone僵尸网络家族（伏影实验室命名）对海康威视摄像头等特定品牌设备的定向攻击、DayzDDoS对美国军方及政府机构的绕过式扫描、PumaBot通过精准下发目标清单实施靶向感染；同时，漏洞利用效率显著提升，Nutsbot快速集成React2Shell漏洞，AISURU团伙通过伪造“官方更新”批量感染Totolink路由器等设备，部分团伙还采用“散弹枪式”策略，同步利用数十至上百个已知漏洞扩大感染范围。 攻防对抗全面升级，“反检测”与“反追踪”能力成为僵尸网络标配。技术层面，Nutsbot通过跨端口通信规避追踪，IRC_Tor家族（伏影实验室命名）融合IRC协议与Tor网络、基于OpenNIC通信的家族数量增多，HpingBot借助合法工具发起DDoS攻击混淆溯源；架构层面，基础设施去中心化趋势明显，多款僵尸网络采用智能合约托管C&C服务器提升抗打击能力；此外，主机侧自保排他机制、DNS请求获取加密TXT记录等技术的应用，进一步强化了其隐蔽性。 攻击效能极致化，DDoS攻击呈现“智能化”与“可控化”新特征。HTTPBot发起的事务性DDoS攻击效能显著提升，“Poxiao”团伙内置多元反射放大型DDoS攻击方式，攻击手段更具多样性；超大规模攻 击成为常态，Tbps级DDoS攻击频发，攻击峰值记录持续被打破，对目标网络的可用性造成高破坏性打击。 攻击目标与目的地缘政治关联性增强，关键基础设施风险加剧。攻击者更倾向于选择与国际局势、AI等行业热点或社会抗议活动相关的目标以扩大影响或达成特定目的，DeepSeek等AI平台屡遭攻击；智能电视、路由器、摄像头等缺乏安全更新维护的IoT设备仍是主要感染目标，其被控制后不仅可能引发关键基础设施运行中断的风险，还可能将大屏设备用于舆论宣传，影响社会稳定。 运营模式持续演进，与高级威胁深度绑定。盈利模式从单一DDoS攻击转向多元化，AISURU、Kimwolf等新型僵尸网络将受控设备作为代理服务节点出售，为其他网络犯罪提供匿名通道，形成稳定收入来源；僵尸网络成为高级威胁攻击的“跳板”。APT或勒索团伙利用僵尸网络节点收集目标环境的情报信息，进而投递后续攻击组件，或者利用已获取的立足点分发邮件，充当代理，为后续攻击做准备。 僵尸网络的发展形态、技术路径与攻击目标正呈现多元演化态势，其中AI驱动攻击革新、代理型架构兴起、移动端威胁攀升三大新兴趋势尤为显著。与此同时，新兴僵尸网络还呈现出反追踪能力持续强化、攻击效能显著提升、传播与感染目标高度定向化等主流特征。 2.1僵尸网络新兴威胁趋势 2.1.1僵尸网络与AI深度结合，威胁升级 2025年，人工智能技术的快速迭代对网络安全防御与对抗产生重大影响。特别是在僵尸网络领域，AI技术已逐步实现从‘辅助工具’向‘核心驱动’的演变。当前，僵尸网络正形成“利用AI赋能攻击能力”与“攻击AI基础设施、掠夺资源”双向并行的攻击新形态，显著提升了攻击的隐蔽性、规模化与破坏性。 监测数据显示，2025年全球范围内与AI相关的僵尸网络攻击事件持续攀升，不少攻击者借助AI平台开发工具强化攻击能力，同时也有诸多AI平台成为黑客团伙的定向攻击目标，攻击目标广泛覆盖商业AI服务平台、算力中心、工业AI控制系统等多种AI应用场景。 僵尸网络对AI平台的定向攻击，从资源掠夺到战略施压。随着AI平台的社会与经济价值持续提升，其已成为僵尸网络团伙的核心攻击目标之一，攻击目的从单纯的资源劫持逐步升级为兼具经济牟利与战略施压的复合诉求。 2025年初，中国人工智能企业DeepSeek在推出性能对标OpenAI o1的DeepSeek-R1模型后，连续遭受多轮高强度的分布式拒绝服务（DDoS）攻击①。绿盟科技伏影实验室监测数据显示，攻击自1月20日起持续发生，主要针对其核心服务接口——API（api.deepseek.com）及对话系统（chat.deepseek.com），攻击手法以NTP反射、Memcached反射和SSDP反射为主，单次攻击持续约30分钟至1小时以上，导致API服务出现严重中断。 2025年末曝光的ShadowRay2.0攻击事件①，提供了一个观察AI与僵尸网络融合的绝佳样本。这次攻击的核心逻辑是利用AI生成的恶意载荷，专门劫持暴露在公网上的AI算力基础设施——Ray集群，并将其改造为加密货币挖矿僵尸网络，攻击者突破防御劫持AI算力，支撑恶意活动规模化开展。ShadowRay2.0事件绝非终点，而是一个新时代的开端。它以一种尖锐的方式宣告，攻击者可以突破防御劫持AI算力来支撑开展其规模化恶意活动，AI与僵尸网络的融合已从理论推演变为现实威胁。 AI赋能僵尸网络攻击工具，技术门槛降低催生规模化威胁。僵尸网络团伙借助AI技术构建攻击工具，已成为当前威胁演化的另一核心特征。尤其是“越狱型”AI平台的普及，大幅降低了恶意代码开发、攻击方案设计的技术门槛，使得大量缺乏专业编程技能的黑产从业者能够快速参与僵尸网络构建，推动威胁规模化扩散。 常规平台存在限制，攻击者转向越狱型AI平台来辅助恶意活动。AI越狱，是指绕过AI模型的审核机制，使其能够生成被禁止的内容，包括犯罪手段、攻击方法、恶意行为等。近年来，攻击者广泛使用越狱型AI平台，了解攻击技术，获取攻击技术代码，甚至实现武器化。 例如，WormGPT基于开源AI模型开发，使得提问者可进入“无道德限制”模式，绕过AI审核，用于生成钓鱼邮件、恶意软件代码等违规项。 2.1.2代理型僵尸网络兴起，威胁情报体系面临溯源危机 代理型僵尸网络急剧发展。绿盟科技伏影实验室监测数据显示，近年来代理型僵尸网络呈现逐步增多的趋势。此类僵尸网络可进一步分为两种主要类型：早期出现的代理型僵尸网络家族，其核心功能以实施DDoS攻击为主，内置的代理模块主要用于隐藏自身的C&C基础设施。而自2025年以来，纯代理型僵尸网络开始日益增多，其功能高度聚焦于流量转发，在网络中充当路由中转节点。这一趋势表明，攻击者的目标已不再局限于隐蔽自身的C&C基础设施，而是逐步转向扮演网络流量中转的底层基础设施构建者，为其他恶意软件提供流量隐匿的基础服务。 威胁情报体系溯源危机。代理型僵尸网络的兴起标志着僵尸网络架构正从易于追踪的中心化模式，向多层、动态的代理转发模式系统性演进。这种架构的根本性变革，旨在将真实的命令与控制服务器深藏于由海量被劫持设备构成的“代理迷雾”之后，导致传统的基于静态指标（IoC）的威胁情报在溯源、阻断和归因层面面临近乎失效的严峻挑战，迫使网络安全防御思维必须从“封锁节点”转向“洞察链路”。 2025年以来，以PolarEdge①为代表的“代理型”僵尸网络急剧发展，为了实现代理节点的大批量部署，部分攻击者在实施过程中甚至无视部署活动对外产生的“噪声”，大规模地进行节点部署与渗透。2025年9月底，绿盟科技伏影实验室监测并命名了一个名为“Containerbot”的新型僵尸网络家族，该家族是一个典型的代理型僵尸网络家族，其具备打包合并任意载荷和分发投递各组件的双重功能，木马本体附带了多个反向代理组件，这些组件在用户和目标服务器之间充当信息中转站，对外发起攻击时能 有效隐藏攻击来源。此外，从监测到的指令来看，攻击者还在服务端部署了自动化扫描和垃圾邮件发送组件。 这类代理型僵尸网络的崛起，标志着一场不对称战争的升级。防御方不能再依赖“发现-标记-阻断”的静态、反应式剧本。攻击者通过精妙的架构设计，成功地将自己隐藏在由受害者和商业基础设施构成的“合法迷雾”之中，使得防御方不能仅依赖“发现-标记-阻断”的静态、反应式流程，倒逼安全社区必须从追踪孤立的“恶意资产”，转向理解复杂的“行为关系”与“动态威胁图谱”。 2.1.3新兴僵尸网络家族规模化涌入Android平台 僵尸网络向Android平台迁移。近年来，全球僵尸网络的传播目标呈现显著的平台迁移特征，Android平台凭借其庞大的设备基数、复杂的生态环境及薄弱的安全防护体系成为僵尸网络团伙的又一核心渗透目标。随着Android平台成为攻击焦点，多款具备规模化感染能力的僵尸网络家族相继涌现，这些家族多针对智能电视、网络机顶盒及大屏设备，功能模块不断迭代升级，攻击手段愈发隐蔽。 生态脆弱性与高价值诱惑催生僵尸网络泛滥。长期以来，DDoS类型僵尸网络家族主要集中活跃于Linux/IoT平台，Windows平台的僵尸网络则多承担其他恶意软件的传播载体角色。近年来，攻击者逐步意识到Android生态的脆弱性与高价值属性，开始加速向Android平台迁移扩张。2025年，安全社区陆续披露了Vo1d①、Kimwolf②等针对Android平台的新兴僵尸网络家族。这些家族控制的设备规模庞大，具备发动大规模网络攻击的能力，潜在破坏力不容小觑。值得关注的是，Kimwolf僵尸网络与长期活跃于Linux/IoT平台的Aisuru僵尸网络存在明确关联，二者由同一攻击团伙运营操控，这进一步印证了长期活跃于IoT平台的僵尸网络团伙开始把目光投向Android平台。 僵尸网络向Android平台大规模迁移的本质是攻击者对“低攻击成本”与“高收益回报”的精准权衡。Android平台广泛的设备覆盖与生态开放性，为攻击者提供了可乘之机，而Android大屏设备的场景价值进一步放大了攻击吸引力，最终形成“易渗透、高价值”的攻击闭环。 2.2僵尸网络主流演进特征 2.2.1攻击效能强化 传统僵尸网络家族的演进核心聚焦于传播机制优化与控制架构迭代，例如开发专用化传播工具、采用漏洞与恶意载荷分离策略以保护核心攻击资产，或通过DGA、DoH、OpenNIC等技术强化命令与控制通信的隐匿性。近年来，部分僵尸网络发展呈现显著战略转向，部分家族逐步将重心放在攻击效能提升上，通过研发创新型DDoS攻击向量，实现从“广撒网式压制”到“精准化打击”的破坏力跃迁，推动DDoS攻击范式发生根本性变革。 （1）HTTPBot：专注应用层事务型DDoS攻击 2025年4月，绿盟科技伏影实验室依托全球威胁狩猎系统，监测到一款基于Go语言开发的新型僵尸网络木马。鉴于其内置攻击模块均针对HTTP协议设计，实验室将其命名为HTTPBot①。该家族研发一系列HTTP协议攻击载荷，聚焦发起事务消耗性DDoS攻击