安全专家分析指出,这次攻击活动的激增很可能是黑客为了测试僵尸网络的大规模服务中断能力而进行的"试运行"。
2025年10月下旬,伴随全球AWS服务中断事件,一个代号为ShadowV2的新型恶意软件活动浮出水面。这个高阶威胁通过物联网设备漏洞构建僵尸网络,专门实施分布式拒绝服务攻击。其迅速传播态势表明攻击者正在有计划地利用受感染硬件开展大规模破坏活动。

跨行业快速蔓延
该恶意软件已迅速波及科技、教育、零售等七大行业,影响范围覆盖美国、欧洲及亚洲的众多机构。业界专家认为,此次攻击激增很可能是黑客评估僵尸网络造成大规模服务中断能力的一次"压力测试"。攻击活动的广泛性凸显出企业环境中未受保护联网设备带来的持续安全风险。
利用已知漏洞渗透设备
Fortinet安全分析师发现,该恶意软件利用D-Link、TP-Link等厂商路由器及DVR设备中未修补的旧漏洞。攻击者瞄准这些已知弱点,成功侵入了大量未能及时更新固件的设备。攻击链始于强制易受攻击设备从远程服务器下载名为binary.sh的脚本。

如图所示,该脚本会自动检测主机架构,并获取对应的恶意软件载荷以确保成功执行。
ShadowV2技术分析
ShadowV2沿用"LZRD"Mirai变种的架构,但采用了独特的混淆技术。启动时使用密钥0x22的简单XOR密码解密其配置。
解密后的隐藏数据包含文件路径以及用于将恶意流量伪装成合法用户活动的欺骗性User-Agent字符串。

激活后,恶意软件会与其命令控制服务器建立联系以接收攻击指令。它支持多种DDoS攻击向量,并通过特定内部功能ID映射这些行为,实现对目标的快速攻击部署。
