绿盟科技《Botnet趋势报告》(2026版)正式发布

阅读: 54

Botnet趋势报告(2026版)

2025年,全球地缘局势复杂多变,网络空间的战略博弈同步持续升级。僵尸网络作为网络攻击的核心基础设施,在AI技术的协助下,其技术范式、运营模式及攻击目标均呈现出深刻的战略性转变与前所未有的复杂性。绿盟科技伏影实验室通过全球威胁狩猎系统对高级威胁活动的全景式追踪,正式发布《Botnet趋势报告(2026版)》,系统性解构僵尸网络进化过程。

 

绿盟观点

01僵尸网络与AI深度结合,威胁升级

2025年,人工智能技术的快速迭代对网络安全防御与对抗产生重大影响。特别是在僵尸网络领域,AI技术已逐步实现从“辅助工具”向“核心驱动”的演变。一方面,僵尸网络开始规模化利用AI技术加速恶意代码构建与发起攻击,2025年末曝光的ShadowRay 2.0攻击事件,提供了一个观察AI与僵尸网络融合的绝佳样本;另一方面,AI平台成为攻击新靶标,DeepSeek等AI服务提供商遭僵尸网络攻击的事件频发,印证了针对AI基础设施的威胁已落地。

图1.1 恶意软件利用AI技术开发攻击武器

02代理型僵尸网络架构兴起,传统静态防御陷入被动

2025年,PolarEdge、ContainerBot(伏影实验室命名)等流量转发型僵尸网络快速崛起,通过动态流量中转大幅提升溯源难度,这种架构的根本性变革,旨在将真实的命令与控制服务器深藏于由海量被劫持设备构成的“代理迷雾”之后,导致传统的基于静态指标(IoC)的威胁情报在溯源、阻断和归因层面面临近乎失效的严峻挑战,迫使网络安全防御思维必须从“封锁节点”转向“洞察链路”。

图1.2 代理型僵尸网络发展

03新兴僵尸网络家族规模化涌入Android平台

长期以来,DDoS类型僵尸网络家族主要集中活跃于Linux/IoT平台,Windows平台的僵尸网络则多承担其他恶意软件的传播载体角色。近年来,攻击者逐步意识到Android生态的脆弱性与高价值属性,开始加速向Android平台迁移扩张。僵尸网络向Android平台大规模迁移的本质是攻击者对“低攻击成本”与“高收益回报”的精准权衡。Android平台广泛的设备覆盖与生态开放性,为攻击者提供了可乘之机,而Android大屏设备的场景价值进一步放大了攻击吸引力,最终形成“易渗透、高价值”的攻击闭环。

图1.3 Android 平台生态脆弱性与高价值诱惑

04国内面临的僵尸网络攻击态势严峻

2025年度,绿盟科技伏影实验室通过全球威胁狩猎系统持续监测发现,全年高频度对外发起攻击活动的僵尸网络家族攻击活动呈现持续化、多样化态势。从受害者地理位置分布来看,中国境内遭受的攻击最为严重,占总攻击量的40%,国内受害者呈现显著的区域聚集特征,主要集中在香港、北京、浙江、广东、上海等地区。这一分布特征的形成,主要源于多重因素的叠加作用:这些地区数字基础设施密集、高价值目标集中,服务器、物联网终端等设备为僵尸网络提供了充足攻击靶点,且作为互联网骨干枢纽,庞大流量便于黑客隐藏攻击行为,加之攻防对抗集中,使得遭受攻击情况更为突出。

图1.4 国内遭受攻击情况

05新兴家族活跃度提高

2025年度,绿盟科技伏影实验室依托全球威胁狩猎系统持续开展监测,发现全年高频发起攻击活动的僵尸网络家族及其变种数量超过30个,攻击活动呈现出持续化与多样化的特点。监测数据显示,在攻击指令下发量方面,各家族的分布高度集中:XorDDoS、Mirai、Gafgyt等传统僵尸网络家族占据了已观测恶意指令流量的绝大部分。与此同时,以RapperBot、HttpBot、NutsBot为代表的新兴家族表现活跃,攻击频率与影响范围均呈明显上升趋势,持续针对暴露于互联网的脆弱设备发起攻击,反映出僵尸网络生态在持续演进中不断涌现出新的威胁力量。

图1.5 各家族下发指令数占比

 

伏影实验室

专注于安全威胁监测与对抗技术的研究,涵盖APT高级威胁、Botnet、DDoS对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。

研究目标是掌握现有网络威胁,识别并追踪新型威胁,精准溯源与反制威胁,降低风险影响,为威胁对抗提供有力决策支持。

采用前沿技术探索与实战对抗相结合的研究模式,协助国家单位破获APT攻击案件数起,全球率先发现8个新型APT攻击组织,处置40多起涉我APT攻击事件,为国家重大网络安保做出突出贡献。

点击链接查看报告完整版:https://mp.weixin.qq.com/s/ESrEl0p-y10WTsYS37X2PQ

Spread the word. Share this post!

Meet The Author