国家互联网应急中心预警：新型 RCtea 僵尸网络快速蔓延，我国近万台物联网设备已中招

感谢亚汇网网友CNCERT近期监测发现了一个名为RCtea的新型僵尸网络正在互联网上快速传播，该网络自2025年12月下旬开始活跃，主要针对物联网设备发起攻击。监测数据显示，2026年1月20日至25日期间，我国境内已确认的受感染设备达9827台，单日最高活跃设备数4870台，单日最高控制服务器访问量27.8万次。该僵尸网络采用高度复杂的加密技术和反追踪机制，目前正处于快速扩张阶段，已具备发起多种DDoS攻击的能力。▲RCtea对抗手段RCtea僵尸网络主要针对ARM和MIPS架构设备发起攻击，包括路由器、摄像头等物联网设备，暂未发现针对传统Linux服务器或主机的样本。其传播方式主要依赖Telnet暴力破解，利用内置的常见弱口令列表进行设备入侵。为规避安全检测，该木马采用多重防护措施：启动时需特定参数激活核心功能；使用RC4、ChaCha20及TEA算法变种进行数据加密；为进程设置最高级别内存保护；采用随机6字符文件名；执行后会在控制台输出“hereweare”调试标记。▲境内日上线肉鸡数量分布情况在命令控制方面，该网络采用多冗余架构，内置多组地址及端口随机选择连接，所有通信数据使用自定义TEA变种算法和ChaCha20算法加密，并将上线认证过程拆分为十余个数据包分轮发送。分析显示，RCtea已具备发起SYNFLOOD、ACKFLOOD、UDPFLOOD及TCPFLOOD等多种DDoS攻击的能力。虽然目前尚未观测到大规模攻击活动，但该网络很可能正在为后续攻击做准备。技术分析还发现，RCtea与已知的AISURU僵尸网络在多个关键技术特征上存在相似性，暗示两者可能存在关联。CNCERT建议用户及时修复系统漏洞，包括历史漏洞和最新漏洞；设置高强度密码，建议使用16位以上包含大小写字母、数字和符号的组合，并定期更换；发现感染后立即核实受控情况和入侵途径，对受害设备进行清理。另外，CNCERT同时公布了相关样本哈希值、下载链接和控制域名等威胁指标，供相关单位参考检测。亚汇网附相关IOC如下：样本HASH：b1c2458d22bbb0b7580470d9481654fae096a2bc0e8aab742ba9ac584568094df4d312c31b3f1170621721ea7dda0ceb50977bda8f04527cf060f85dda15c51345168bc663329c3b1d883b83a59fe84f08b6e01895c37144ddfa9156bea3eaee下载链接：http://91.92.242.42/wget.shhttp://91.92.242.42/curl.shhttp://91.92.242.42/armhttp://91.92.242.42/arm5http://91.92.242.42/arm7http://91.92.242.42/mipshttp://91.92.242.42/mpslhttp://91.92.242.42/archttp://91.92.242.42/aarch64http://5.255.127.15/wget.shhttp://5.255.127.15/curl.shhttp://5.255.127.15/armhttp://5.255.127.15/arm5http://5.255.127.15/arm7http://5.255.127.15/mipshttp://5.255.127.15/mpslhttp://5.255.127.15/archttp://5.255.127.15/aarch64http://103.146.23.241/wget.shhttp://103.146.23.241/curl.shhttp://103.146.23.241/armhttp://103.146.23.241/arm5http://103.146.23.241/arm7http://103.146.23.241/mipshttp://103.146.23.241/mpslhttp://103.146.23.241/archttp://103.146.23.241/aarch64http://103.149.29.38/wget.shhttp://103.149.29.38/curl.shhttp://103.149.29.38/armhttp://103.149.29.38/arm5http://103.149.29.38/arm7http://103.149.29.38/mipshttp://103.149.29.38/mpslhttp://103.149.29.38/archttp://103.149.29.38/aarch64控制域名：www.gokart.suwww.boatdealers.sukieranellison.cecilioc2.xyznineeleven.gokart.suwww.plane.catmail.gokart.su广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。