Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身

2026 / 03 / 26

編輯部

Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身

Mirai 惡意軟體持續進化，已衍生出超過 116 種變種分支，推動全球殭屍網路規模急遽擴張。根據資安研究機構 Pulsedive 與 Spamhaus 最新聯合報告，2025 年下半年殭屍網路命令與控制（C2）伺服器數量較上半年增長 24%，美國已取代中國成為全球最大的 C2 伺服器集中地。Mirai 變種 Aisuru-KimWolf 近期發動了史上最大規模的分散式阻斷服務攻擊（DDoS），攻擊流量高達 31.4 Tbps，凸顯 IoT 設備安全已成為企業與個人用戶不可忽視的重大威脅。

殭屍網路規模持續擴張美國成為 C2 伺服器新據點

Pulsedive 研究報告指出，殭屍網路活動在過去一年呈現顯著成長趨勢。2025 年上半年 C2 伺服器數量增加 26%，下半年再增長 24%，截至 2025 年底，全球活躍的 C2 伺服器已超過 21,000 台。目前美國已超越中國，成為這些控制伺服器的主要集中地，這項地緣分布的變化反映出攻擊者正在調整其基礎設施部署策略。

殭屍網路是由大量遭惡意軟體感染的連網設備所組成的網路，攻擊者可透過 C2 伺服器遠端操控這些「殭屍」設備，用於發動 DDoS 攻擊癱瘓目標網站，或竊取敏感資料。隨著物聯網設備的普及，家用路由器、網路攝影機、智慧電視等裝置都可能成為殭屍網路的一員。

Mirai 原始碼外洩催生百種變種

這波殭屍網路擴張的主要推手正是惡名昭彰的 Mirai 惡意軟體。Mirai 最早於 2016 年被發現，專門掃描使用 ARC 處理器的 IoT 設備，這類處理器廣泛應用於家用路由器與網路攝影機，但往往缺乏完善的安全防護機制。由於 Mirai 原始碼多年前已遭外洩，任何人都能取得並加以修改，導致變種數量急遽增加。根據 Pulsedive 分析，目前已從超過 21,000 個樣本中識別出 116 種不同的 Mirai 分支。

其中，Satori 變種曾利用 D-Link DSL-2750B 路由器的漏洞，成功感染超過 26 萬台設備。另一變種 KimWolf 則將攻擊目標擴展至 Android 系統，包括智慧型手機與智慧電視。目前已知採用 Mirai 惡意軟體的殭屍網路包括 Aisuru、Tiny Mantis、Murdoc_Botnet、Lzrd 及 Resgod 等。

破紀錄攻擊量 31.4 Tbps 展現驚人破壞力

這些殭屍網路的攻擊能量已達到前所未有的規模。報告顯示，Aisuru-KimWolf 集團近期發動了有史以來最大規模的 DDoS 攻擊，攻擊流量高達每秒 31.4 Terabit（Tbps），封包洪峰更達到每秒 141 億個封包。這樣的攻擊規模足以癱瘓絕大多數企業的網路基礎設施，甚至對大型雲端服務供應商造成嚴重衝擊。

為規避資安防護工具的偵測，攻擊者採用了更精密的技術手法。報告指出，這些攻擊會隨機化封包特徵，使傳統的流量分析與特徵比對難以識別惡意流量。此外，犯罪組織還利用 IPIDEA 等住宅代理服務，將攻擊流量偽裝成一般家庭用戶的網路連線，大幅增加追蹤溯源的難度。

執法機構積極反制犯罪組織轉往暗網

面對日益猖獗的殭屍網路威脅，各國執法機構正加大打擊力度。美國司法部（Department of Justice）宣布成功破獲多個殭屍網路組織，包括 Aisuru、KimWolf、JackSkid 及 Mossad 等。然而，犯罪組織的應變能力同樣不容小覷。報告指出，在 Google 等業者配合執法行動關閉部分基礎設施後，KimWolf 已轉移至 I2P（The Invisible Project）匿名網路，以規避偵測與追蹤。