近日,Palo Alto Networks旗下Unit 42披露一套此前未公开的物联网僵尸网络框架——TuxBot v3 Evolution。该组织把“大型语言模型(LLM)”用于恶意代码的生成与移植,从而让攻击者能快速适配不同硬件环境:整个框架可支持17种处理器架构,包含恶意程序、C2指挥服务器、加密通信机制以及用于出租的DDoS攻击接口。更关键的是,研究人员发现其中存在大量未经充分审查的实现瑕疵,但即便如此,扫瞄、账号密码暴力破解、常驻、核心C2通信与DDoS流程仍然能跑起来。
从样本获取结果来看,研究团队取得了框架的完整源码、编译后可执行文件以及254份自动化DDoS效能测试报告。根据功能评估,约有70%的能力可用。恶意程序整体以C语言编写,支持交叉编译到Arm、MIPS、x86_64、PowerPC、RISC-V等平台;而C2服务器采用Go语言实现,并提供多用户管理、攻击配额与记录等运营特征。
在入侵路径上,TuxBot会尝试使用1,496组账号密码去登录开放Telnet服务的装置,同时具备SSH、HTTP与ADB(Android Debug Bridge)相关的扫描能力。感染后,它会借助systemd、cron以及Shell脚本配置等方式实现持续运行,并通过加密的TCP通道接收攻击指令。即便主要C2失效,程序还尝试通过域名生成算法、P2P节点或DNS TXT查询来恢复联系。
值得注意的是,源码中出现大量由LLM生成内容的痕迹,包括自我修正、工作步骤注释以及对用户的提及;同时约有60个C语言文件残留相同的安全警示文本,显示模型输出并未被严谨清理或复核。工程层面也出现多处明显bug:部分加密串使用了不同XOR密钥,导致IRC与HTTP备援C2无法工作;漏洞利用相关函数存在未被调用的情况;此外程序声称采用Argon2id哈希加密密码,实际却只是执行多轮SHA-256计算再格式化成Argon2id外观。
研究人员从2026年1月起陆续发现相关样本、C2服务器及多架构正式编译版本,并推测攻击者可能在后续已修复部分错误。对企业与用户而言,这提醒我们:在物联网设备上应尽快关闭或限制Telnet等弱口令入口,强化凭证管理与暴露面治理,同时持续监测持续连接与异常DDoS行为,才能降低此类“LLM辅助但仍可用”的僵尸网络风险。