美國司法部於 2026 年 3 月 20 日宣布,聯同加拿大及德國執法機構,成功瓦解 4 個大型物聯網(IoT)殭屍網絡的指揮控制(C2)基建設施,這 4 個殭屍網絡分別名為 AISURU、Kimwolf、JackSkid 及 Mossad,合共感染全球超過 300 萬部裝置,並曾發動峰值高達 30 Tbps 的破紀錄分散式阻斷服務(DDoS)攻擊,目標甚至包括美國國防部的網絡地址。
國防部督察長辦公室轄下的國防刑事調查處(DCIS)聯同 FBI 阿拉斯加分局執行多項扣押令,針對美國境內的互聯網域名、虛擬伺服器及相關基建設施採取行動,德國聯邦刑事警察局(BKA)及加拿大皇家騎警(RCMP)亦同步針對殭屍網絡營運者展開執法行動。這次行動獲得超過 20 間科技企業協助調查,包括 Akamai、Amazon Web Services、Cloudflare、DigitalOcean、Google、Lumen、Nokia、Okta、Oracle、PayPal、SpyCloud、Synthient、Team Cymru、Unit 221B 及奇安信 XLab。
從 Mirai 到 Kimwolf:殭屍網絡如何進化至前所未見的規模
要理解今次執法行動的重要性,需要先認識這些殭屍網絡的運作方式和演變歷程,殭屍網絡是指一組被惡意軟件感染的聯網裝置,受攻擊者遙距操控,在裝置擁有人不知情的情況下參與網絡攻擊。今次被搗破的 4 個殭屍網絡均屬 Mirai 惡意軟件的變種。Mirai 於 2016 年首次出現,透過利用物聯網裝置的預設密碼和已知漏洞進行大規模感染,其原始碼在同年被公開後催生出大量變種,至今仍然活躍。
中國安全公司奇安信 XLab 最先記錄 AISURU 崛起過程,該網絡於 2024 年 8 月首次曝光,到 2025 年中已經頻繁發動破紀錄的 DDoS 攻擊,並迅速感染新的 IoT 裝置。到 2025 年 9 月,研究人員觀察到該殭屍網絡的攻擊流量超過 11 Tbps,每日活躍的受感染裝置從約 50,000 部急升至 200,000 部。
Kimwolf 在 2025 年 10 月由 AISURU 演變而來,帶來了殭屍網絡運作方式的根本轉變,Amazon Web Services 副總裁兼傑出工程師 Tom Scholl 在 LinkedIn 發文指出,傳統殭屍網絡透過掃描公開互聯網尋找有漏洞的裝置,Kimwolf 則利用全新的攻擊方式:住宅代理網絡。Kimwolf 的營運者發現他們可以透過住宅代理服務的漏洞,將惡意指令轉發至代理端點的內部網絡,從而掃描和感染受家用路由器保護的本地網絡內裝置。
Synthient 創辦人 Benjamin Brundage 的研究揭示了 Kimwolf 快速擴散的關鍵,指出多個大型住宅代理服務未有充分阻止客戶向代理端點的內部伺服器轉發請求。大部分代理服務只是基本地封鎖 RFC-1918 規定的本地地址請求,但 Kimwolf 的營運者找到了繞過這些限制的方法。Kimwolf 特別針對中國住宅代理服務 IPIDEA 及 Plainproxies,利用已感染的 Android TV 裝置、手機應用程式及其他代理端點掃描本地網絡中的漏洞裝置。安全公司 Infoblox 的威脅情報副總裁 Dr. Renée Burton 表示,該公司近 25% 的雲端客戶自 2025 年 10 月起曾對 Kimwolf 域名發出查詢,反映攻擊者利用住宅代理服務的規模相當龐大。
破紀錄的攻擊規模與「網絡犯罪即服務」商業模式
這些殭屍網絡所造成的破壞力令業界震驚,Cloudflare 在早前的報告中將 AISURU/Kimwolf 與 2025 年 11 月發生的一宗 31.4 Tbps DDoS 攻擊聯繫起來,該次攻擊僅持續 35 秒。到 2025 年底,該殭屍網絡已能發動平均每秒 30 億封包(Bpps)、4 Tbps 及每秒 5,400 萬次請求(Mrps)的超大規模 DDoS 攻擊。Akamai 的資料顯示這些殭屍網絡產生的攻擊流量超過 30 Tbps、每秒 140 億封包及每秒 3 億次請求。Cloudflare 的資料亦指出,在 2025 至 2026 年間,AISURU-Kimwolf 的攻擊能力還包括超過每秒 2 億次請求的 HTTP DDoS 攻擊,以及複雜的 DNS 攻擊手法。
法庭文件顯示,4 個殭屍網絡合共發出數十萬次 DDoS 攻擊指令,AISURU 發出超過 200,000 次、JackSkid 超過 90,000 次、Kimwolf 超過 25,000 次、Mossad 超過 1,000 次。受感染裝置主要包括數碼錄影機、網絡攝影機、Wi-Fi 路由器以及大量未經認證的 Android TV 串流盒。Kimwolf 已將超過 200 萬部 Android 裝置納入其網絡,當中大部分為廉價及非官方品牌的 Android TV 裝置,這些裝置通常預裝了住宅代理軟件,並以低價招徠消費者觀看盜版串流內容。
營運者採用「網絡犯罪即服務」(Cybercrime-as-a-Service)的商業模式,將受感染裝置的存取權出售予其他網絡罪犯,買家隨後利用這些裝置向全球各地的目標發動 DDoS 攻擊,部分個案中攻擊者更向受害者勒索付款以停止攻擊。美國司法部指出 Kimwolf 和 JackSkid 的營運者特別針對傳統上受防火牆保護的裝置進行感染,令這些裝置淪為殭屍網絡的一部分。
獨立安全記者 Brian Krebs 追查到 Kimwolf 的管理者為來自加拿大渥太華的 22 歲男子 Jacob Butler(網名 Dort),Butler 向 Krebs 表示他自 2021 年起已停用 Dort 這個身份,聲稱有人入侵其舊帳戶後冒充他。另一名主要嫌疑人為居住在德國的 15 歲青少年。截至目前為止,當局尚未宣布任何拘捕行動。
企業面臨的實質風險與經濟損失
DDoS 攻擊對企業的影響遠超短暫的服務中斷,根據業界研究,每次具破壞性的 DDoS 攻擊平均造成約 50 萬美元(約港幣 390 萬元)損失。加拿大網絡安全中心的資料指出,DDoS 攻擊可令企業每小時承受 20,000 至 100,000 美元(約港幣 15.6 萬至 78 萬元)的直接及間接損失。對中小企業而言,每次事件的平均成本約為 52,000 美元(約港幣 40.56 萬元),大型企業則高達 444,000 美元(約港幣 346.32 萬元)。
Akamai 在聲明中警告這類攻擊能夠癱瘓核心互聯網基建,令互聯網服務供應商及其下游客戶遭受嚴重的服務質素下降,甚至壓垮以雲端為基礎的高容量緩解服務。Zayo 於 2026 年 3 月發布的《網絡安全洞察報告》亦顯示,2025 年 DDoS 攻擊的規模按年增長 70%,攻擊者的目標已從電訊商擴展至直接打擊企業及政府機構,當中針對政府的攻擊比例從 5% 升至 12%。
超越直接財務損失,DDoS 攻擊還會帶來客戶流失、合規罰款、品牌聲譽受損、數據洩漏風險、員工生產力下降及法律責任等長期影響。企業管理層值得留意的是,攻擊者愈來愈多以 DDoS 作為掩護,在防禦團隊忙於應對洪水式流量的同時,趁機發動勒索軟件、憑證竊取或數據外洩等更具針對性的攻擊。
IoT 安全威脅將持續升級 企業需以主動防禦取代被動回應
全球 IoT 裝置數量預計將持續增長,安全研究人員估計目前約有 180 億部 IoT 裝置連接互聯網,當中約 24 億部存在可被利用的漏洞。殭屍網絡的商業化趨勢令問題更加嚴峻,網上現成的殭屍網絡套件每月租金低至約 15 至 20 美元(約港幣 117 至 156 元),令技術門檻大幅降低。DDoS 租賃服務在地下論壇和暗網市場公開出售,設有不同價格級別和客戶支援渠道。Cloudflare 的資料顯示,2025 年首季的 DDoS 攻擊量按年激增 358%,該季度便攔截了 2,050 萬次攻擊,相當於 2024 年全年攔截量的 96%。
Barracuda Networks 在今年 1 月的分析報告中指出,Kimwolf、AISURU 及 Mirai 等殭屍網絡正推動高度自動化 DDoS 攻擊激增,核心問題在於全球裝置供應鏈普遍存在預設安全薄弱、韌體過時及安全標準不一致的情況。現代 Mirai 變種已發展出龐大的漏洞利用庫、每小時可感染數千部裝置的傳播引擎、域名跳轉和加密指令通道等迴避偵測技術,還有可讓攻擊者快速推送新漏洞利用程式的自動更新模組。
今次美國司法部聯同多國執法機構的行動釋出明確訊號,顯示各國政府正加大力度打擊網絡犯罪基建設施。然而單靠執法行動無法徹底消除殭屍網絡威脅,因為攻擊者能夠在短時間內重建基建設施。企業必須將 DDoS 防禦視為持續的業務風險管理工作,而非單次的技術修補。在物聯網裝置無處不在的年代,每一部連接網絡的裝置無論多細小及多便宜,都可能成為殭屍網絡營運者的潛在工具。將主動防禦融入網絡架構設計、持續監控異常流量及定期審核裝置安全狀態,才是企業在這場持久戰中保持競爭力和韌性的關鍵。
來源:TNW
