DeepSeek网络攻击的幕后黑手浮出水面；|2024年超过50亿个帐户被泄露，中美俄位居前三

DeepSeek网络攻击的幕后黑手浮出水面；

2025年开年，由国人研发的AI大模型DeepSeek火出天际。

尤其是自DeepSeek-R1发布，十余天内，在全球范围内快速掀起关注热潮，成为AI发展历史上的现象级事件之一。上至各国政要，下至十几亿普通用户，以及大量创投、AI和科技型公司，都在讨论、研究和热议DeepSeek。

但与此同时，DeepSeek也深陷网络攻击的风暴之中，遭遇了持续的、大规模、高密度的恶意网络攻击，导致其服务时常处于中断状态，显示为“服务器繁忙，请稍后再试”，严重影响正常用户的使用体验。

针对DeepSeek 的攻击可以划分为两个阶段。在1月27日之前，网络攻击主要以NTP、SSDP、CLDAP等反射放大攻击，影响范围尚可控制。自1月27日开始，大量的HTTP代理攻击开始出现，以及专业的僵尸网络团伙集中火力，对DeepSeek的AI服务和数据发起了密集攻击。

具体事件时间线如下

DeepSeek网络攻击幕后黑手

ANY.RUN也发布报告称，在后期针对DeepSeek的恶意攻击中，最为典型的就是两种Mirai僵尸网络变体——“HailBot”和“RapperBot”。由于这两大僵尸网络一直“接单”，因此可以认为此次攻击是有针对性目的，而非一次单纯的网络攻击行为。

1、HailBot

HailBot基于Mirai源码开发而来，其命名源自于运行后输出的字符串信息“hail china mainland”（中国大陆万岁），独特的表达方式很可能是栽赃陷害。HailBot的攻击平均每天攻击指令上千条、攻击上百个目标。攻击目标分布在中国、美国、英国、中国香港、德国等地区。

HailBot的攻击方式主要包括以下几种：

基于TCP和UDP协议的DDoS攻击：HailBot支持基于TCP和UDP协议的多种DDoS攻击方式，能够通过漏洞利用和弱口令扫描爆破进行传播。
漏洞利用：HailBot利用了CVE-2017-17215漏洞进行传播，尽管当前版本仅内置了这一种漏洞，但不排除未来可能增加更多漏洞利用模块。
弱口令扫描爆破：HailBot通过扫描23端口，利用弱口令进行爆破攻击，感染更多的设备加入其僵尸网络。
分布式拒绝服务（DDoS）攻击：HailBot通过控制大量被感染的设备，向目标服务器发起DDoS攻击，耗尽目标服务器的网络带宽和系统资源，使其无法正常服务。

有意思的是，HailBot的C&C基础设施5.181.80.120和5.181.80.115早期还曾传播过多个搭载CVE-2017-11882漏洞的诱饵文档，这些诱饵文档以“INVOICE.xlsx”，“Product_requetslist.xlsx”，“CIF WMS REF NO 451RFQ ARN-DT-2021-06-29.xlsx”等作为文件名，诱导受害者打开文档以触发漏洞，从而下载执行Lokibot和Formbook在内的多款商业化窃密型银行木马。

2、RapperBot

RapperBot也是一款基于Mirai源代码二次开发的僵尸网络恶意软件，主要针对物联网（IoT）设备，自2022年6月以来一直保持活跃。它通过SSH暴力破解和Telnet默认口令探测进行传播，感染设备后，攻击者可以执行多种分布式拒绝服务（DDoS）攻击。

RapperBot的C&C协议进行了改良，采用双层异或加密和随机字节填充，增强了隐蔽性。通过控制大量被感染的设备，向目标服务器发起DDoS攻击，可能导致目标服务器的网络带宽和系统资源耗尽，无法正常服务。

传播方式

SSH暴力破解：RapperBot通过硬编码的SSH凭据列表或从C&C服务器下载凭据列表，对支持Diffie-Hellmann密钥交换的SSH服务进行暴力破解。
Telnet默认口令探测：部分变种通过Telnet基于设备默认口令的方式进行探测，目标设备关键词、默认用户名称以及密码被硬编码在文件中。

攻击方式

DDoS攻击：RapperBot支持多种DDoS攻击方式，包括TCP STOMP攻击、UDP泛洪攻击等，能够对非HTTP目标发起攻击。
持久化访问：成功入侵后，RapperBot会替换受害设备的~/.ssh/authorized_keys文件，并创建一个名为“suhelper”的超级用户账户，以此确保对设备的持久访问。

DeepSeek深陷风暴之中