回到上一頁

中國駭客工業化Botnet SOHO路由器成低風險攻擊跳板

2026-04-27
英國國家網路安全中心(NCSC-UK)本週聯手美國及其他國家資安單位發布聯合警報,警告中國國家支持的駭客組織正大規模「工業化」運用殭屍網路(Botnet),以低成本、低風險且高度可否認的方式,對美國與盟友組織發動偵察、惡意程式投放與資料外洩攻擊。此趨勢顯示中國已將大量遭入侵的SOHO路由器與IoT裝置轉化為戰略性攻擊基礎設施,對台灣高科技供應鏈構成嚴重且持續的隱形威脅。
 
聯合公告指出,中國背景威脅行為者(China-nexus threat actors)如Flax Typhoon與Volt Typhoon,正大量借助由中國資訊安全公司系統性建立與維護的隱密Botnet網絡。這些Botnet主要由小型辦公室與家庭辦公室(SOHO)路由器組成,同時包含IoT裝置、網路攝影機、監視錄影機、老舊路由器、防火牆與NAS儲存設備等脆弱邊緣裝置。
 
公告強調,這些Botnet讓攻擊者能以極低成本與風險進行行動,不僅用於目標偵察、傳遞惡意程式與通訊,還能進行匿名上網,研究新開發的戰術、技術與程序(TTPs)以及受害者情報,同時大幅降低被溯源的風險。部分Botnet甚至同時供合法用戶使用,進一步混淆惡意活動的歸屬判斷。
 
與過去零星Botnet不同,中國此次採取高度策略性與工業化模式。NCSC-UK表示,中國已建立多個持續更新、保持戰備狀態的Botnet池,不斷新增新裝置,並因應防禦或法律行動快速調整網絡架構。更棘手的是,同一Botnet可能同時被多個中國國家級團體使用,這讓傳統靜態IP封鎖等防禦手段幾乎完全失效。
 
Merlin Group首席策略長Matthew Hartman指出,這是「Botnet工業化」的明顯趨勢。中國很可能採取明確分工模式:專責團隊負責大量入侵並長期維護SOHO路由器與消費級IoT裝置池,再將存取權租借或移交給執行特定任務的行動單位,大幅提升攻擊規模與否認性。BeyondTrust資深副總裁兼副CISO Bradley Smith則形容,此模式類似網路犯罪生態系中的初始存取經紀人,但由國家全力支持,具備更完整的供應鏈特性。
 
「中國網路行動已採用進攻基礎設施的供應鏈模式:專門團隊或承包實體負責入侵、維護與管理大型裝置池,再依任務需求提供給特定行動單位。」Smith強調,這種專業化分工讓歸因與拆除行動極為困難,移除單一使用者不會影響整個基礎設施池的運作。
 
這些Botnet的成功,根源於SOHO與消費級裝置普遍存在的結構性弱點:預設憑證、更新頻率極低、缺乏集中化管理,以及裝置擁有者不知其已暴露於公開網路。美國政府近期已禁止進口非美國製造的新型路由器,正是基於此類外國裝置可能刻意植入後門的擔憂。
 
對台灣而言,風險尤其迫切。台灣擁有全球最密集的半導體、電子製造、ICT設備與關鍵基礎設施供應鏈,無數中小企業與家庭辦公室仍廣泛使用廉價SOHO路由器與IoT裝置,極易成為中國Botnet的「肉機」。一旦遭納入Botnet池,這些裝置不僅可能被用來對台灣企業本身發動橫向攻擊,更可能作為跳板,進一步滲透上游國際客戶或下游全球供應商,形成供應鏈連鎖式風險。
 
Viakoo Labs副總裁John Gallagher提醒,企業不應只聚焦「誰」在攻擊,而要優先關注「什麼」與「該怎麼做」。網路犯罪組織同樣大量租用或自建Botnet進行DDoS攻擊、加密貨幣挖礦或憑證填充,國家級與犯罪型Botnet常有重疊,防禦策略必須全面適用。
 
面對此新興威脅,聯合公告提出明確防禦建議:
  • 全面盤點所有網路邊緣裝置與連接資產,建立正常連線基準。
  • 嚴密監控異常連線,尤其是來自消費級寬頻IP範圍的流量。
  • 大型組織應建立地理IP允許清單,根據作業系統、時區與設定檔進行連線行為剖析。
  • 全面實施零信任原則,嚴格驗證所有外部連線。
  • 高風險組織應主動追蹤中國相關APT活動,進行威脅狩獵,並參考產業或政府情資持續映射隱密Botnet網絡。
 
台灣資安專家建議,本土企業應立即展開以下具體行動:全面清查並升級所有SOHO路由器與IoT裝置,更換所有預設密碼、強制啟用自動韌體更新、關閉不必要遠端管理功能;部署新一代邊緣防火牆與端點偵測回應(EDR)解決方案;建立地理與行為基線,阻擋可疑中國來源流量;同時推動全公司資安意識教育,禁止在公司網路環境中使用未經IT核准的消費級IoT裝置。
 
政府與企業更應加速推動「設備資產清單管理」與「零信任架構」落地,尤其在半導體、能源、通訊、醫療與金融等關鍵基礎設施領域,需優先強化邊緣安全防護層級。
 
中國國家級駭客將Botnet工業化的趨勢,標誌著網路戰已從傳統「單一漏洞攻擊」進化至「基礎設施大規模租用與共享」的新階段。對台灣來說,這不僅是技術層面的挑戰,更是地緣戰略環境下的長期國家安全風險。唯有及早提升邊緣裝置可見度與防禦韌性,台灣企業才能在這場低成本、高效率的隱形網路戰中有效守護關鍵資產與智慧財產。
 
目前聯合警報仍在持續更新中,台灣企業可參考CISA、NCSC-UK以及行政院資安處最新指引,盡速檢視自身網路暴露面並強化防護。資安無國界,在中國Botnet工業化浪潮席捲之際,台灣必須以更高標準的防禦思維與行動因應。
 
 
 
出處:本文根據Dark Reading特約記者Jai Vijayan於2026年4月24日刊登的報導《China-Backed Hackers Are Industrializing Botnets》改寫整理。