文章总结： 黑客组织利用D-LinkDIR-823X路由器命令注入漏洞CVE-2025-29635部署Mirai僵尸网络变种tuxnokill，该漏洞影响已停产设备且无官方补丁。攻击通过伪造POST请求下载恶意脚本，并关联其他物联网设备漏洞利用。研究显示Mirai变种持续演化，建议用户更换受支持设备、禁用远程管理端口并修改默认密码。 综合评分： 85 文章分类： 漏洞分析,恶意软件,威胁情报,IoT安全,漏洞预警

黑客组织利用D-Link路由器漏洞部署Mirai僵尸网络展开攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年4月24日 09:00 北京

在小说阅读器读本章

去阅读

一、事件背景概述

2026年初，研究人员首次监测到针对D-Link DIR-823X系列路由器的命令注入漏洞CVE-2025-29635的活跃攻击活动。攻击者利用该漏洞部署Mirai僵尸网络变种，将这些已停产的网络设备纳入其DDoS攻击基础设施。值得注意的是，该漏洞自2025年3月公开披露以来沉寂了整整一年，这是首次在野外观察到实际利用行为。

D-Link DIR-823X（俗称“D-小白”）是友讯网络（D-Link）于2023年推出的一款AX3000规格Wi-Fi 6无线路由器，主打家用入门级市场，以高性价比、基础Wi-Fi 6性能和稳定覆盖为核心卖点。

图 1 D-Link路由器

二、攻击技术分析

从技术原理来看，CVE-2025-29635是一个典型的命令注入漏洞。安全研究人员在分析D-Link DIR-823X固件时，对二进制文件中的sub_42232C函数进行了逆向工程。他们发现，macaddr参数的值通过snprintf函数被复制到命令变量中，随后交由system函数执行。由于系统未能对用户输入进行充分过滤，攻击者可以通过精心构造macaddr参数的值，向/goform/set_prohibiting端点发送POST请求，从而触发远程命令执行。该漏洞影响固件版本240126和24082。根据D-Link厂商公告，DIR-823X系列路由器已于2025年9月被列为退役设备，这意味着厂商不会为这些型号提供安全补丁更新。

图 2 CVE-2025-29635固件缺陷

研究人员披露漏洞后，曾在GitHub上公开发布了一个概念验证（PoC）利用代码，但随后被删除。然而，研究人员利用蜜罐捕获到的攻击请求与原始PoC高度相似，仅在HTTP头部等细节上存在差异，例如攻击流量中不包含Referer和Accept-Language等常见字段。攻击者发送的POST请求会切换目录至可写路径，从外部服务器下载名为“dlink.sh”的Shell脚本并执行。该脚本随后从IP地址88.214.20[.]14下载Mirai变种“tuxnokill”，支持多种CPU架构，使用XOR编码（密钥0x30）对配置进行混淆，并通过C2服务器64.89.161[.]130:44300接收指令。除了CVE-2025-29635外，该攻击者还被观察到利用其他已知漏洞，包括影响TP-Link Archer AX21路由器的CVE-2023-1389以及ZTE ZXV10 H108L路由器的远程代码执行漏洞，攻击模式高度一致。

需要特别指出的是，研究人员在“tuxnokill”恶意软件样本中发现了一个耐人寻味的硬编码字符串“AI.NEEDS.TO.DIE”。这一发现暗示该变种可能由人工手动编写，而非借助人工智能工具生成。在AI辅助攻击技术日益受到关注的安全环境下，这一发现反映出不同攻击者在技术选择上的分化。

与此同时，Fortinet旗下FortiGuard Labs于2026年4月17日披露了另一个名为“Nexcorium”的Mirai僵尸网络变种活动，该活动与自称为“Nexus Team”的攻击组织相关。Nexcorium利用TBK DVR设备的CVE-2024-3721命令注入漏洞进行传播，其恶意软件在持久化机制上更为复杂：它不仅修改/etc/inittab和/etc/rc.local以确保进程重启后自动运行，还创建systemd服务文件并配置crontab定时任务，形成四重持久化保障。值得注意的是，该变种还内置了针对华为HG532路由器的CVE-2017-17215漏洞利用模块，用于横向扩展僵尸网络规模。这两起并行的攻击活动共同表明，Mirai僵尸网络的变种仍在持续演化，攻击者不断寻找新的漏洞入口，并将已停产、不再获得安全支持的物联网设备作为首选目标。

三、攻击活动的影响

将此次事件置于更广阔的威胁态势中审视，Mirai僵尸网络的演进趋势令人警醒。自2016年Mirai源代码泄露以来，该僵尸网络家族已衍生出超过116种已知变种。2025年下半年，全球僵尸网络命令与控制（C2）服务器数量较上半年增长了24%。攻击规模也在不断刷新纪录——Mirai变种Aisuru-KimWolf近期发动了高达31.4Tbps的DDoS攻击，足以瘫痪绝大多数企业的网络基础设施。Mirai变种V3G4则增强了感染机制和自我更新能力，使检测和清除难度进一步提升。

面对此类威胁，使用已停产网络设备的用户面临尤为严峻的困境——厂商已停止提供固件更新，意味着CVE-2025-29635等漏洞无法通过官方渠道修复。研究人员在联系D-Link询问补丁状态后也确认，厂商不会为退役停产设备破例发布安全更新。网络安全专家建议受影响用户应尽快将设备升级至仍在支持周期内的新型号，同时采取以下缓解措施：禁用不必要的远程管理端口，修改默认管理员密码，定期检查设备配置是否有异常变动，并关注厂商的安全公告。

从更宏观的攻防视角来看，Mirai僵尸网络持续活跃的根本原因在于攻击门槛的持续降低——公开的PoC利用代码可以被攻击者轻松整合到其攻击链中，而已停产设备缺乏补丁更新的现实，使得这些设备成为僵尸网络招募的“低垂果实”。这不仅是一场技术对抗，更是对互联网安全治理体系的全方位考验。设备制造商需要建立更完善的产品生命周期安全策略，监管机构应推动建立物联网设备安全基线标准。而用户则需要提升安全意识，将“不支持即替换”作为基本的设备管理原则。唯有多方协同，才能在日益复杂的物联网威胁态势中构筑有效的防御纵深。

四、Mirai检测规则

图 3 Mirai检测规则

五、信息参考链接

https://www.akamai.com/blog/security-research/cve-2025-29635-mirai-campaign-targets-d-link-devices

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《黑客组织利用D-Link路由器漏洞部署Mirai僵尸网络展开攻击活动》