2025年3月初，安全团队首次观测到一个前所未有的L7 DDoS僵尸网络，针对多行业Web应用发起攻击。

该僵尸网络从初始133万台受感染设备迅速扩张，通过HTTP GET泛洪耗尽服务器资源并绕过传统速率限制。

到5月中旬，威胁进一步升级，僵尸网络规模增长至460万个节点，利用受感染物联网（IoT）设备和防护薄弱的端点扩大攻击面。

至9月，这个庞大网络已调动576万个IP地址协同攻击某政府机构，每秒生成数千万次请求。

Qrator Labs分析师指出，恶意流量的地理分布发生显著变化，巴西、越南和美国成为主要来源地。

攻击分两波展开：首轮约280万台设备参与，一小时后新增300万台节点加入。第二波攻击的HTTP头包含随机化User-Agent字符串，旨在规避简单流量过滤。

Qrator Labs研究人员发现，僵尸网络的控制机制出现关键改进，使其能够快速扩张。恶意软件通过加密通道与去中心化命令控制（C2）基础设施通信，攻击者频繁轮换C2节点以避免被拉黑。由于每个C2端点仅活跃数小时，基于特征的防御手段难以有效应对。

感染机制与持久化

核心感染向量依赖暴力破解默认凭证和常见IoT固件中的未修补漏洞。

设备被入侵后，恶意软件部署轻量级rootkit，挂钩网络接口并拦截固件更新程序。

Qrator Labs提取的代码片段揭示了其持久化策略：

// Intercept firmware update callsint hook_update(char *path) {    if (!strcmp(path, "/usr/bin/fw_update")) {        launch_payload();        return 0;    }    return orig_update(path);}