攻击概述与时机

根据Fortinet旗下FortiGuard Labs的分析，一个基于Mirai的僵尸网络，被命名为ShadowV2，在2025年10月那次导致多家大型网站下线数小时的广泛AWS服务中断期间出现。该僵尸网络感染了全球多个行业和大陆的物联网（IoT）设备，其出现很可能是一次针对未来攻击的“测试演练”。

一旦感染了存在漏洞的设备，形成僵尸物联网设备大军，ShadowV2 Mirai变种便允许攻击者远程控制这个设备网络，并发起大规模攻击，包括分布式拒绝服务（DDoS）流量洪水攻击。

传播方式与影响范围

幸运的是，该恶意软件仅在持续一整天的AWS中断期间保持活跃。在此期间，它通过影响多个厂商设备的数个漏洞进行传播。根据杀毒软件分析师Vincent Li在一篇博客文章中所述，这些漏洞包括：

• DD-WRT (CVE-2009-2765)
• D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
• DigiEver (CVE-2023-52163)
• TBK (CVE-2024-3721)
• TP-Link (CVE-2024-53375)

虽然ShadowV2这个云原生僵尸网络在2025年9月的活动中曾以AWS EC2实例为目标，但近期这次构建僵尸网络的行动影响更为广泛，波及了包括科技、零售与酒店服务、制造业、托管安全服务提供商、政府部门、电信与运营商服务以及教育在内的多个行业。攻击范围覆盖了全球28个国家。

技术细节分析

安全公司在博客文章中表示，攻击者利用设备漏洞投放一个名为 binary.sh 的下载脚本。该脚本随后会从IP地址 81[.]88[.]18[.]108 下载前缀为“shadow”的二进制文件，从而部署ShadowV2恶意软件。

它与LZRD Mirai变种类似，会初始化一个经过XOR编码的配置，然后连接到命令与控制（C2）服务器以接收指令并触发DDoS攻击。然而，在执行时，它会显示以下字符串：“ShadowV2 Build v1.0.0 IoT version”。Li在其文章中写道：“基于此字符串，我们评估这可能是为物联网设备开发的ShadowV2的第一个版本。”

防御建议与后续关联攻击

尽管迄今为止，这款感染物联网设备的恶意软件仅在AWS中断期间活跃，但其出现仍有力地提醒我们需要保护物联网设备安全、更新固件并监控异常和垃圾网络流量。Fortinet还发布了一份详尽的入侵指标列表，建议相关人员查看以协助威胁追踪。正如Li所指出的：“ShadowV2揭示出物联网设备在更广泛的网络安全格局中仍然是一个薄弱环节。”

就在ShadowV2的这次测试演练之后不久，微软报告称其Azure云平台遭受了“有史以来最大”的基于云的DDoS攻击。这次攻击源自Aisuru僵尸网络，峰值流量高达每秒15.72太比特。微软的云DDoS防护服务在10月24日成功缓解了这次近乎每秒36.4亿数据包的流量海啸。据微软称，没有客户工作负载因此遭受服务中断。