新型RCtea僵尸网络快速蔓延，我国近万台物联网设备已中招

ress

IT之家 2 月 10 日消息，国家互联网应急中心（CNCERT）今日发布《关于 RCtea 僵尸网络大范围传播的风险提示》。
CNCERT 近期监测发现了一个名为 RCtea 的新型僵尸网络正在互联网上快速传播，该网络自 2025 年 12 月下旬开始活跃，主要针对物联网设备发起攻击。
监测数据显示，2026 年 1 月 20 日至 25 日期间，我国境内已确认的受感染设备达 9827 台，单日最高活跃设备数 4870 台，单日最高控制服务器访问量 27.8 万次。该僵尸网络采用高度复杂的加密技术和反追踪机制，目前正处于快速扩张阶段，已具备发起多种 DDoS 攻击的能力。

▲ RCtea 对抗手段RCtea 僵尸网络主要针对 ARM 和 MIPS 架构设备发起攻击，包括路由器、摄像头等物联网设备，暂未发现针对传统 Linux 服务器或主机的样本。其传播方式主要依赖 Telnet 暴力破解，利用内置的常见弱口令列表进行设备入侵。为规避安全检测，该木马采用多重防护措施：启动时需特定参数激活核心功能；使用 RC4、ChaCha20 及 TEA 算法变种进行数据加密；为进程设置最高级别内存保护；采用随机 6 字符文件名；执行后会在控制台输出“here we are”调试标记。

▲ 境内日上线肉鸡数量分布情况在命令控制方面，该网络采用多冗余架构，内置多组地址及端口随机选择连接，所有通信数据使用自定义 TEA 变种算法和 ChaCha20 算法加密，并将上线认证过程拆分为十余个数据包分轮发送。分析显示，RCtea 已具备发起 SYN FLOOD、ACK FLOOD、UDP FLOOD 及 TCP FLOOD 等多种 DDoS 攻击的能力。虽然目前尚未观测到大规模攻击活动，但该网络很可能正在为后续攻击做准备。技术分析还发现，RCtea 与已知的 AISURU 僵尸网络在多个关键技术特征上存在相似性，暗示两者可能存在关联。
CNCERT 建议用户及时修复系统漏洞，包括历史漏洞和最新漏洞；设置高强度密码，建议使用 16 位以上包含大小写字母、数字和符号的组合，并定期更换；发现感染后立即核实受控情况和入侵途径，对受害设备进行清理。
另外，CNCERT 同时公布了相关样本哈希值、下载链接和控制域名等威胁指标，供相关单位参考检测。IT之家附相关 IOC 如下：

样本 HASH：

• b1c2458d22bbb0b7580470d9481654fae096a2bc0e8aab742ba9ac584568094d
  
• f4d312c31b3f1170621721ea7dda0ceb50977bda8f04527cf060f85dda15c513
  
• 45168bc663329c3b1d883b83a59fe84f08b6e01895c37144ddfa9156bea3eaee
  

下载链接：

• http://91.92.242.42/wget.sh
  
• http://91.92.242.42/curl.sh
  
• http://91.92.242.42/arm
  
• http://91.92.242.42/arm5
  
• http://91.92.242.42/arm7
  
• http://91.92.242.42/mips
  
• http://91.92.242.42/mpsl
  
• http://91.92.242.42/arc
  
• http://91.92.242.42/aarch64
  
• http://5.255.127.15/wget.sh
  
• http://5.255.127.15/curl.sh
  
• http://5.255.127.15/arm
  
• http://5.255.127.15/arm5
  
• http://5.255.127.15/arm7
  
• http://5.255.127.15/mips
  
• http://5.255.127.15/mpsl
  
• http://5.255.127.15/arc
  
• http://5.255.127.15/aarch64
  
• http://103.146.23.241/wget.sh
  
• http://103.146.23.241/curl.sh
  
• http://103.146.23.241/arm
  
• http://103.146.23.241/arm5
  
• http://103.146.23.241/arm7
  
• http://103.146.23.241/mips
  
• http://103.146.23.241/mpsl
  
• http://103.146.23.241/arc
  
• http://103.146.23.241/aarch64
  
• http://103.149.29.38/wget.sh
  
• http://103.149.29.38/curl.sh
  
• http://103.149.29.38/arm
  
• http://103.149.29.38/arm5
  
• http://103.149.29.38/arm7
  
• http://103.149.29.38/mips
  
• http://103.149.29.38/mpsl
  
• http://103.149.29.38/arc
  
• http://103.149.29.38/aarch64
  

控制域名：

• www.gokart.su
  
• www.boatdealers.su
  
• kieranellison.cecilioc2.xyz
  
• nineeleven.gokart.su
  
• www.plane.cat
  
• mail.gokart.su