文章总结： CNCERT监测到自2025年12月活跃的RCtea僵尸网络正大范围传播，主要针对物联网设备并使用定制加密算法。该网络已具备成熟DDoS攻击能力，2026年1月境内活跃肉鸡规模达9827台。建议用户及时修复漏洞、使用强密码并清理受感染主机。文末提供了相关安全服务联系方式。 综合评分： 80 文章分类： 漏洞预警,威胁情报,IoT安全,网络安全,安全运营

警惕你的物联网设备！RCtea僵尸网络大范围传播，DDoS攻击一触即发

信息安全大事件

2026年4月21日 18:00 江苏

在小说阅读器读本章

去阅读

近期，CNCERT监测到一个新型僵尸网络正在互联网上大范围传播，该僵尸网络自2025年12月下旬起开始活跃。该家族在通信协议、数据存储及反追踪机制上均展现出高度的复杂性和规避性，其核心特征为广泛使用基于RC4、ChaCha20及TEA算法变种的深度定制加密方案。据此，我们将其命名为RCtea僵尸网络。

分析表明，该家族目前正处于快速传播与能力构建阶段，具备极强的对抗与反检测反追踪意识，已具备成熟的DDoS攻击能力，且主要针对物联网（IoT）设备。现将其主要情况分析披露如下。

通过监测分析发现，2026年1月20日至25日期间，RCtea僵尸网络在我国境内已确认的活跃“肉鸡”规模达9827台，境内日上线肉鸡数量最高达4870台，肉鸡C2日访问量最高达27.8万次。上线肉鸡IP数量分布情况如下：

图1  境内日上线肉鸡数量分布情况

请广大网民强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：

（1）梳理已有资产列表，及时修复相关系统漏洞，包括历史漏洞和最新曝光的漏洞。

（2）加强口令强度，避免使用弱口令，密码设置要符合安全要求，并定期更换。建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。

（3）当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。

针对上述RCtea僵尸网络的严重威胁，江苏国骏网络安全团队已具备成熟的应急处置与常态化防御能力。我们提供从资产暴露面梳理、漏洞扫描、安全加固到应急响应的全流程服务，可快速定位受控主机、阻断C2通信、修复入侵途径。

同时，我们的网络安全托管服务（MSS）与重保服务能持续监控新型DDoS攻击与未知变种，结合自有平台的合规性检查、基线检查等自动化工具，帮助您建立主动防御体系。

立即联系我们，获取专属安全评估与加固方案，避免成为下一个“肉鸡”！

来源：国家互联网应急中心

如有需要，欢迎联系江苏国骏安全专家

联系电话：400-6776-989/13338963885

欢迎关注，了解更多内容

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全大事件 《警惕你的物联网设备！RCtea僵尸网络大范围传播，DDoS攻击一触即发》