300萬台殭屍機器一夜消失，但戰爭才剛開始

你客廳裡的智慧電視，此刻可能正在悄悄替駭客打仗。

2026年3月20日，美國司法部宣布一項罕見的聯合行動：在單一作戰中，同時摧毀了四個大型殭屍網路——JackSkid、Mossad、Aisuru與Kimwolf。這四個網路合計控制了超過300萬台被入侵的設備，涵蓋家用路由器、網路攝影機、數位錄影機，乃至於Android智慧電視與機上盒。這些設備的主人，大多對此毫不知情。

每秒31.4 Tbps：這個數字意味著什麼

殭屍網路（Botnet）的運作邏輯並不複雜：駭客透過惡意程式感染大量設備，將它們變成可遠端操控的「殭屍兵」，再集中火力對特定目標發動攻擊，讓對方的伺服器因流量過載而癱瘓——這就是所謂的分散式阻斷服務攻擊（DDoS）。

在此次被摧毀的四個殭屍網路中，Aisuru與其衍生版本Kimwolf是最具代表性的案例。Cloudflare的報告指出，兩者合計感染設備超過100萬台。去年11月，這兩個殭屍網路協同發動了一次持續僅35秒的攻擊，但峰值流量達到每秒31.4 Tbps——這幾乎是此前有紀錄以來最大攻擊的3倍。

Cloudflare用了一個具體的比喻來描述這個規模：「相當於英國、德國與西班牙三國人口的總和，在同一秒鐘同時輸入一個網址並按下Enter鍵。」這樣的攻擊能力，足以「癱瘓關鍵基礎設施、壓垮大多數雲端DDoS防禦方案，甚至中斷整個國家的網路連線」。

Aisuru不只是破壞工具，更是一門生意。它以「Booter服務」的形式出租攻擊能力，任何願意付費的人都可以購買。過去一年，Minecraft等遊戲平台，以及長期追蹤殭屍網路地下產業的資安記者Brian Krebs，都曾反覆遭到攻擊。

從Mirai到Aisuru：十年的技術演化

要理解今天的威脅，必須回到2016年。那一年，一個名為Mirai的惡意程式橫空出世，專門感染物聯網設備，並創下當時的DDoS攻擊紀錄。最終，Mirai對DNS服務商Dyn發動攻擊，導致美國境內17萬5千個網站同時癱瘓長達數小時。

廣告

廣告合作

[email protected]

廣告

Mirai的原始碼後來被公開，成為此後十年無數殭屍網路的技術基礎。此次被摧毀的四個殭屍網路，都是Mirai的變種——但它們已大幅進化，能夠入侵連Mirai都無法觸及的設備類型。

其中，Kimwolf最令資安研究人員警惕。它利用廉價的物聯網設備作為「住宅代理」（Residential Proxy），讓駭客得以穿透家用路由器的防護，直接滲入家庭內網。Akamai首席安全研究員Chad Seaman表示：「這從根本上動搖了我們對家庭網路安全的認知。」

更值得注意的是，當執法機構試圖接管其指揮控制伺服器時，殭屍網路運營者竟將DNS遷移至以太坊區塊鏈上，利用去中心化技術規避追蹤。這場貓鼠遊戲，持續了數月之久。

對華人世界的意涵：不只是美國的問題

此次行動雖由美國主導，但其影響遠超出美國國境。

從地緣政治角度來看，殭屍網路的受害者與加害者往往橫跨多個司法管轄區。司法部聲明中提及與加拿大、德國當局的協作，並強調「無論犯罪者身在何處」都將追究——這種跨境執法的意志宣示，在當前國際網路安全合作日趨複雜的背景下，具有特殊的信號意義。

對台灣、香港及東南亞的企業與個人用戶而言，威脅同樣真實。台灣擁有高密度的網路基礎設施與半導體製造業，長期是DDoS攻擊的高風險目標。香港作為國際金融中心，金融服務業的網路韌性直接關係到市場信心。東南亞各國IoT設備普及速度極快，但網路安全意識與基礎設施的建設相對滯後，恰恰是殭屍網路最容易擴張的溫床。

值得關注的是，中國大陸在物聯網設備製造上佔據全球主導地位——許多被感染的DVR、攝影機與路由器，其製造商正是中國品牌。這引發了一個結構性問題：當設備在出廠時就缺乏足夠的安全設計，責任應由誰承擔？

「捉到一隻，十隻躲進冰箱底下」

此次行動的成果是真實的，但也是有限的。截至目前，司法部尚未宣布任何逮捕，僅表示正與盟國合作「鎖定運營者個人」。

Seaman的比喻精準地點出了這場戰役的本質：「貓鼠遊戲永遠不會結束。捉到一隻，十隻躲進冰箱底下。貓會優先追最肥的老鼠，但這是一場長期戰。」

Mirai誕生至今將近十年，其代碼仍在持續變異。今天被摧毀的殭屍網路，不太可能是最後一批。執法機關的「成功」與駭客社群的「適應力」之間，始終存在著一種不對稱的張力。