ShadowV2：新型Mirai衍生僵尸网络现身，瞄准多品牌IoT设备漏洞发起攻击

一款名为ShadowV2的新型Mirai衍生僵尸网络恶意软件已被FortiGuard Labs研究人员发现。该恶意软件利用多个已知漏洞针对D-Link、TP-Link等厂商的物联网IoT设备发起攻击。What is the Mirai Botnet? | Cloudflare攻击活动主要发生在2025年10月亚马逊云服务AWS大规模宕机期间。尽管两起事件无直接关联但ShadowV2仅在宕机窗口内活跃这一特征表明此次活动很可能是一次测试性攻击旨在验证传播机制和基础设施。Dissecting the AWS Outage: A Step-by-Step Breakdown of What Went Wrong | by The Latency Gambler | Medium一、攻击载体至少8个跨厂商IoT设备漏洞ShadowV2通过利用以下已知漏洞进行传播涉及路由器、NAS、DVR等多种设备DD-WRT路由器CVE-2009-2765D-Link设备CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915DigiEver设备CVE-2023-52163TBK设备CVE-2024-3721TP-Link设备CVE-2024-53375其中CVE-2024-10914是已被公开利用的命令注入漏洞影响D-Link多款已停产EoLNAS设备。厂商明确表示不会提供修复补丁并更新公告确认已停产或终止支持的设备不再进行维护也不会收到固件更新。DNS-323 ShareCenter 2-Bay Network Storage Enclosure | D-Link UKCVE-2024-53375于2024年11月详细披露TP-Link已通过测试版beta固件提供修复。该漏洞为认证后的命令注入影响Archer系列路由器等使用HomeShield功能的设备。DNS-325, DNS-325-1TB, DNS-325-2TB Sharecenter™ 2-Bay Network Storage Enclosure | D-Link受影响设备示例路由器、NAS、DVR等常见IoT目标OMG: Mirai-based Bot Turns IoT Devices into Proxy Servers二、攻击范围与技术特征ShadowV2的攻击流量主要源自IP地址198.199.72.27目标覆盖全球多个国家和地区包括美洲、欧洲、非洲、亚洲及大洋洲。受影响行业多达七大类政府、科技、制造、托管安全服务提供商MSSP、电信、教育等。恶意软件自称为“ShadowV2 Build v1.0.0 IoT version”与Mirai僵尸网络的LZRD变种高度相似。其传播流程如下利用漏洞植入下载器脚本binary.sh。从服务器81.88.18.108下载恶意程序完成初始感染。后续通过控制服务器下发指令驱动受控设备僵尸机发起攻击。典型Mirai类僵尸网络感染流程示意Mirai - The Botnet that Made IoT Dangerous - CYFIRMA下载器脚本binary.sh相关示意恶意程序下载与植入阶段The Mirai Botnet Isnt Easy to Defeat | WIRED在配置加密方面ShadowV2采用XOR编码对文件系统路径、User-Agent字符串、HTTP头以及Mirai风格特征字符串进行处理提升隐蔽性。功能上它支持针对UDP、TCP、HTTP协议的分布式拒绝服务DDoS攻击每种协议包含多种洪水攻击类型。控制服务器通过指令触发攻击。What is an HTTP Flood Attack? | RadwareDDoS洪水攻击示意UDP/TCP/HTTP floodUDP flood attack截至目前ShadowV2幕后操控者身份及其盈利模式出租算力或勒索仍未明确。