英國國家網路安全中心（NCSC-UK）本週聯同美國及其他國家資安單位發布聯合警報，警告中國國家級駭客組織正大規模工業化運用殭屍網路（Botnet），以低成本、低風險且可否認的方式，對美國與盟友組織發動偵察、惡意程式傳遞及資料外洩攻擊。此趨勢顯示中國已將 compromised SOHO路由器與IoT裝置轉化為戰略性攻擊基礎設施，對台灣企業構成直接且持續的威脅。

 

根據聯合公告，中國背景威脅行為者（China-nexus threat actors）如Flax Typhoon與Volt Typhoon，正大量使用由中國資訊安全公司系統性建立與維護的隱密Botnet網絡。這些Botnet主要由小型辦公室與家庭辦公室（SOHO）路由器組成，同時涵蓋IoT裝置、網路攝影機、監視錄影機、老舊路由器、防火牆與NAS儲存設備等邊緣裝置。

 

「這些Botnet讓攻擊者能以低成本、低風險且可否認的方式進行行動。」公告指出，中國威脅團體不僅用它們進行目標偵察、傳遞惡意程式與通訊，還能用於一般匿名上網，研究新開發的攻擊技術（TTPs）與受害者資訊，而不易被溯源。部分Botnet甚至同時供合法用戶使用，進一步模糊惡意活動的歸屬。

 

與過去隨機Botnet不同的是，中國此次採取高度策略性與工業化模式。NCSC-UK指出，中國已建立多個持續更新、保持戰備狀態的Botnet池，不斷新增新裝置，並因應防禦或法律行動快速調整網絡。同一Botnet可能同時被多個中國國家級團體使用，這讓傳統靜態IP封鎖等防禦手段幾乎失效。

 

Merlin Group首席策略長Matthew Hartman表示，這是「Botnet工業化」的明顯趨勢。中國很可能採取分工模式：專責團隊負責大量入侵並維護SOHO路由器與消費級IoT裝置，再將存取權租借或移交給執行單位，大幅提升規模與否認性。BeyondTrust資深副總裁兼副CISO Bradley Smith則指出，此模式類似網路犯罪生態系中的初始存取經紀人（Initial Access Broker），但由國家支持，具備更強的供應鏈特性。

 

「中國網路行動已採用進攻基礎設施的供應鏈模式：專門團隊或承包實體負責入侵與維護大型裝置池，再依任務需求提供給特定行動單位。」Smith強調，這種專業分工讓歸因與移除行動變得極為困難，移除單一使用者不會影響整個基礎設施池。

 

這些Botnet的成功，源自SOHO與消費級裝置的共通結構性弱點：預設憑證、極少更新、無集中化管理，以及裝置擁有者不知其已暴露於網際網路。事實上，美國政府近期已禁止進口非美國製造的新型路由器，正是因擔憂外國裝置可能刻意植入後門。

 

台灣企業面臨的風險尤其嚴峻。台灣擁有全球最密集的半導體、電子製造、ICT與關鍵基礎設施供應鏈，許多中小企業與家庭辦公室仍使用廉價SOHO路由器與IoT裝置，極易成為Botnet的「肉機」。一旦被納入中國Botnet池，這些裝置不僅可能被用來對台灣企業本身發動橫向攻擊，更可能作為跳板攻擊上游國際客戶或下游供應商，形成供應鏈連鎖風險。

 

Viakoo Labs副總裁John Gallagher提醒，企業不應只關注「誰」在攻擊，而要聚焦「什麼」與「該怎麼做」。網路犯罪組織同樣大量使用Botnet進行DDoS、加密貨幣挖礦或憑證填充攻擊，國家級與犯罪型Botnet常有重疊，防禦策略必須一體適用。

 

面對此威脅，聯合公告提出多項具體建議：

 

台灣資安專家建議，本土企業應立即展開以下行動：全面清查所有SOHO路由器與IoT裝置，更換預設密碼、啟用自動更新、關閉不必要遠端管理功能；部署新一代防火牆與EDR解決方案，強化邊緣偵測；建立地理與行為基線，阻擋可疑中國來源流量；並推動員工教育，避免在公司網路環境中使用未經核准的IoT與消費級裝置。

 

此外，政府與企業應加速推動「設備清單管理」與「零信任架構」落地，尤其在半導體、能源、醫療與金融等關鍵基礎設施領域，更需優先強化邊緣安全防護。

 

中國國家級駭客工業化Botnet的趨勢，標誌著網路戰已從「單一漏洞攻擊」進化到「基礎設施大規模租用」的新階段。對台灣而言，這不僅是技術挑戰，更是地緣戰略下的長期風險。企業唯有及早強化邊緣安全與可見度，才能在這場低風險、高效率的隱形戰爭中守住關鍵資產。

 

目前聯合公告仍在更新中，台灣企業可參考CISA、NCSC-UK與行政院資安處的最新指引，盡速檢視自身暴露面。資安無假期，面對中國Botnet工業化浪潮，台灣必須以更高標準的防禦思維應對。

 

 

出處：本文根據Dark Reading特約記者Jai Vijayan於2026年4月24日刊登的報導《China-Backed Hackers Are Industrializing Botnets》改寫整理。