美國C2服務器暴漲26%：Mirai變種把物聯網變成"僵尸農場"

2025年上半年，全球僵尸網絡（Botnet）的控制服務器數量漲了26%。下半年又漲24%。這種增速上一次出現，還是2016年Mirai第一次把半個美國互聯網打癱瘓的時候。

Spamhaus的追蹤數據顯示，美國已經反超中國，成為全球托管最多僵尸網絡控制節點（C2服務器）的國家。中國從2023年第三季度開始保持的這個"第一"，只維持了不到兩年。

數字背后是一套2016年泄露的惡意代碼——Mirai。它像一把被復制了無數次的萬能鑰匙，至今仍在打開全球數百萬臺物聯網設備的后門。

從DDoS工具到"犯罪即服務"

Mirai最初的設計很簡單：掃描運行ARC處理器的物聯網設備，用默認密碼或已知漏洞登錄，然后把設備變成攻擊流量發射器。2016年它第一次大規模亮相，就把DNS服務商Dyn打崩，導致Twitter、Netflix、Reddit集體癱瘓。

源代碼泄露后，情況徹底失控。Pulsedive安全團隊目前追蹤到的活躍變種已經超過數百個，其中兩個最活躍的分支——Aisuru和Kimwolf——被合稱為"Aisuru-Kimwolf"。

這對組合已經感染了100萬到400萬臺主機。Cloudflare的記錄顯示，它們發起了史上最大規模的DDoS攻擊之一：31.4Tbps的流量洪峰，以及每秒141億個數據包的包速率攻擊。早年的Mirai變種從未達到過這種量級。

運營者把這套基礎設施做成了生意。他們在Discord和Telegram上兜售被感染設備的訪問權限，買家可以按需租用"僵尸網絡即服務"。

美國司法部的"外科手術"與Android新戰場

2026年3月19日，美國司法部宣布對Aisuru、KimWolf、JackSkid和Mossad四個僵尸網絡的C2服務器實施法院授權的破壞行動。執法范圍覆蓋加拿大和德國。

但Kimwolf的架構讓它特別難纏。這是Aisuru專門針對Android設備開發的子變種，已經感染約200萬臺Android手機和智能電視。它保留了DDoS能力，但針對Android系統做了適配——一旦接觸到漏洞設備，就會運行安裝腳本釋放載荷。

移動設備的加入讓問題更復雜。路由器、攝像頭至少還固定在某個位置，手機和平板跟著人走，IP地址不斷切換，地理定位幾乎失效。

更隱蔽的是代理濫用。攻擊者把流量路由到普通家庭的住宅IP地址，讓溯源變成貓鼠游戲。你家的智能電視可能在幫黑客掩蓋行蹤，而你只會覺得網速偶爾有點慢。

為什么打了九年還在打？

Mirai的頑固在于它的"開源"特性。代碼一旦公開，任何有基礎編程能力的人都能編譯出自己的版本。安全團隊封掉一個C2域名，運營者幾小時內就能換上新的。硬件廠商推送一次固件更新，黑客找到新漏洞的速度往往更快。

物聯網設備的用戶畫像也決定了防御難度。買智能攝像頭的人想的是"能看清門口就行"，不是"這玩意會不會變成攻擊跳板"。默認密碼不改、自動更新關閉、管理后臺暴露公網——這三件套湊齊，設備就進了候選名單。

美國C2服務器數量的激增，某種程度上反映了攻擊基礎設施的地理遷移。執法壓力、 hosting成本、網絡延遲都在影響運營者的選址決策。中國曾經的"領先地位"，更多是因為早期物聯網設備保有量高，而非攻擊者偏好。

司法部的跨國行動是個信號，但僵尸網絡的分布式架構決定了單一執法行動很難根除。Aisuru-Kimwolf的運營者在公告發布后數小時內就開始遷移基礎設施，這種響應速度說明他們早有預案。

一個值得注意的細節：Cloudflare記錄的31.4Tbps攻擊發生在2024年底，而2025年的攻擊峰值數據尚未公開。如果2025年的數字被刻意壓低，可能意味著運營者在測試更隱蔽的攻擊模式；如果確實沒有突破，則說明基礎設施擴張不等于攻擊能力同比提升。

你路由器管理后臺的默認密碼，上次修改是什么時候？