中國報告大廳網訊，近期，我國國家網絡與信息安全監測系統發現多起來自境外的定向網絡攻擊活動。監測數據顯示，境外黑客組織通過控制特定木馬程序及惡意IP位址對中國及國際網際網路目標發起高頻次、高隱蔽性攻擊，主要涉及殭屍網絡組建、遠程後門滲透等威脅類型。此次曝光的惡意基礎設施覆蓋美國、德國、荷蘭等九個國家和地區，相關攻擊行為已對關鍵信息基礎設施安全構成嚴峻挑戰。

  一、境外惡意地址特徵與核心威脅分析

  中國報告大廳發布的《2025-2030年中國網絡安全產業運行態勢及投資規劃深度研究報告》指出，監測數據顯示，本次發現的惡意地址主要關聯RemCos、MooBot、NjRAT等高危病毒家族。例如美國德克薩斯州的IP位址198.135.49.79通過RemCos木馬實現鍵盤記錄和密碼竊取；德國法蘭克福的IP 178.162.217.107利用MooBot變種控制IoT設備組建殭屍網絡。這些惡意基礎設施具備跨地域聯動特徵，攻擊者可通過遠程指令發起DDoS攻擊或進行長期數據竊密。

  二、關鍵惡意地址分布與技術手段解析

  （一）後門滲透類攻擊載體

  （二）殭屍網絡擴散樞紐

  三、威脅溯源與防禦策略建議

  監測顯示，上述惡意地址的通信特徵存在顯著規律性：約68%的攻擊流量集中在每日凌晨3-5時發起，且多數採用DuckDNS等動態域名解析服務隱藏真實控制端。針對此類攻擊，建議採取分級防禦措施：

  （一）網絡邊界防護強化

  部署具備AI行為分析能力的下一代防火牆，在IPS策略中加入對CVE-2015-2051、CVE-2022-28958等漏洞特徵的實時攔截規則。對SSH/Telnet服務實施白名單管理，關閉不必要的遠程訪問埠。

  （二）終端深度檢測響應

  啟用EDR系統監控異常進程行為，重點監測與惡意域名關聯的C2通信流量。針對辦公終端加強文檔安全管控，禁止執行宏代碼並阻斷可疑Office附件自動加載功能。

  （三）協同應急處置機制

  建立跨部門威脅情報共享平台，將本次披露的IP位址198.135.49.79、161.248.238.54等納入黑名單庫。對於已確認感染設備應立即隔離並實施內存取證分析，追溯攻擊鏈關鍵節點。

  四、總結與行業警示

  此次監測結果揭示境外網絡攻擊呈現技術專業化、目標精準化及基礎設施全球化的新特徵。涉及的10個惡意地址中，有6處為殭屍網絡控制端，3處部署持久化後門程序，其危害範圍已超出傳統DDoS攻擊範疇，直接威脅到關鍵信息系統的完整性與可用性。建議各機構依據本文披露的IP地理位置和病毒家族特徵，結合時間戳流量分析（重點關注2025年6月前活躍記錄），開展針對性風險排查。網絡安全防禦需從被動響應轉向主動免疫，通過持續監測境外惡意基礎設施動態，構建多層縱深防護體系以應對日益複雜的網絡威脅環境。