文章总结： APT28（梦幻熊）劫持Moobot僵尸网络，利用Ubiquiti、TP-Link等路由器漏洞构建全球间谍网络，针对政府、能源、企业等目标窃取凭证。文档详细分析了入侵流程、识别特征，并提供了路由加固、终端防护、应急处置等防御方案。 综合评分： 65 文章分类： 恶意软件,威胁情报,安全运营

路由器沦为间谍跳板！APT28“梦幻熊”劫持MooBot僵尸网络，全球政企持续遭隐秘窃密

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月22日 13:58 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

预警导读

传统服务器C2已成过去，国家级APT开始劫持家用/企业路由器打造全球“影子间谍网络”！知名安全媒体GBHackers最新披露，与俄军方情报机构GRU深度绑定的APT28（Fancy Bear/梦幻熊），改造恶意程序MooBot僵尸网络，批量入侵Ubiquiti、TP-Link、MikroTik等边缘路由，搭建隐蔽中继节点，针对政府、军工、能源、企业邮箱长期窃取账号凭证。即便2024年多国执法部门开展专项清缴，该团伙仍持续迭代攻击链路，2026年攻击范围覆盖全球120个国家，普通办公路由、家庭宽带设备都可能沦为黑客窃密工具。

一、老牌APT28再进化：黑产僵尸网络被军方间谍挪用

APT28（业内俗称梦幻熊）是存续近20年的国家级间谍组织，长期服务情报窃取任务，攻击目标锁定北约机构、各国政企、军工制造、能源基建、科研院校，过往擅长邮件零点击漏洞、钓鱼木马、云端后门渗透。

而本次最大技术转折点：放弃高辨识度云服务器，转用海量家用/小型企业路由器做攻击基础设施，核心工具就是MooBot僵尸网络。

1. MooBot本源

MooBot属于Mirai僵尸网络变种，最初黑产用来暴力破解弱口令IoT设备、发起DDoS攻击，依靠路由老旧漏洞、默认管理员密码批量占领设备，植入Linux后门实现远程控制。

2. APT28的掠夺改造

自2022年起APT28直接接管大量已感染MooBot的Ubiquiti EdgeRouter设备，改写恶意程序逻辑，彻底抛弃DDoS功能，将路由改造为三大间谍节点：

• 流量代理节点：利用家庭宽带民用IP中转恶意流量，防火墙、威胁情报难以标记拦截；

• 钓鱼页面宿主：在被劫持路由搭建仿登录页，窃取企业邮箱、OA、云办公账号；

• 凭证中继站：转发漏洞捕获的NTLMv2哈希，批量爆破Exchange邮箱实现全盘接管。

2024年美国FBI联合多国发起“灰烬行动”清缴数百台受害路由，但安全厂商监测显示，超过350台残余服务器仍持续回连攻击者指令服务器，漏洞未修复的路由设备持续新增沦陷节点，围剿难以根治。

二、MooBot入侵全流程：两步拿下路由，无声潜伏数月

第一步：暴力破解+漏洞爆破，批量占领路由

MooBot传播门槛极低，两大入侵渠道覆盖绝大多数小企业、家庭网关：

1. 弱口令爆破

扫描全网开放远程管理端口（80/443/22/Telnet），匹配设备出厂默认账号密码（admin/admin、ubnt/ubnt等），一键写入后门；

2. 老旧高危漏洞利用

针对Ubiquiti、TP-Link、D-Link多款路由漏洞发起攻击，包含CVE-2022-26258、CVE-2018-6530等远程代码执行漏洞，无需账号直接植入MooBot恶意ELF程序。

设备中招后自动清除系统日志、屏蔽本地防火墙，伪装成正常后台进程，普通网页管理界面完全看不出异常。

第二步：APT28二次植入间谍脚本，构建跨国影子网络

普通黑产MooBot仅做DDoS，APT28接管后追加定制Bash脚本、轻量Python工具，赋予完整间谍能力：

1. 劫持DNS流量

衍生攻击FrostArmada，篡改路由DNS配置，内网员工访问任何网站都会经过黑客中继，自动抓取登录密码、OAuth令牌；

2. 配合Office零点击漏洞窃取凭证

通过CVE-2023-23397 Outlook漏洞诱导设备返回身份哈希，经由受害路由中转至黑客服务器，无需人工交互就能接管企业邮箱；

3. 长期静默驻留

路由常年7×24小时在线，断电重启后门自动恢复，潜伏周期可达半年以上，企业内网横向渗透全靠这批边缘设备中转。

目前APT28已掌控超18000个分布全球的民用IP节点，混合正常家庭流量，传统边界防火墙、IP黑名单几乎无法识别拦截恶意行为。

三、高危目标清单，这些行业务必立刻自查

结合2022-2026完整攻击数据，APT28依托MooBot路由僵尸网络重点针对以下单位发起定向渗透：

政府机关、外交、国防军工、科研院所

能源、电力、油气、交通关键基础设施企业

制造业、高端技术研发、航空航天厂商

金融机构、律所、咨询、海外贸易公司

高校、医疗机构、大型连锁企业办公内网

中小企业风险最高：多数小微企业使用廉价家用路由，常年不更新固件、不改默认密码，无专业网络安全设备，极易被批量攻陷，成为黑客窃取商业机密的跳板。

四、MooBot感染识别：3个特征快速判断路由是否沦陷

不用专业设备，运维人员通过简单排查即可定位受害网关：

1. 异常外联陌生境外IP

路由器后台流量日志持续出现大量不明海外服务器连接，无正常业务访问需求；

2. 内网设备频繁出现登录异常、异地账号验证

员工邮箱、云盘、OA频繁弹出二次验证提醒，后台检测到多地陌生IP登录；

3. 路由配置自动篡改

DNS服务器被修改为未知第三方地址、远程管理端口莫名对外开放、防火墙规则无故清空。

若出现任意一条，设备大概率已植入MooBot后门，需立刻断网处置。

五、分场景完整防御方案（企业+家庭全覆盖）

一、路由基础加固（根除MooBot入侵入口，最关键）

1. 强制修改所有设备默认账号密码

路由、防火墙、IoT设备禁用admin、root等通用用户名，密码组合大小写+数字+符号，杜绝弱口令；

2. 关闭外网远程管理功能

仅允许内网登录路由后台，关闭Telnet、SSH外网访问，必要时绑定固定办公IP；

3. 定期升级固件

厂商推送安全补丁第一时间更新，淘汰停止维护的老旧路由型号；

4. 内网网络分段隔离

办公电脑、服务器与监控、IoT路由划分为不同VLAN，禁止跨网段互通。

二、企业终端&邮件防护，阻断后续窃密

1. 全员开启邮箱、云服务多因素MFA二次验证，即便凭证泄露也无法登录；

2. 部署EDR、邮件沙箱，拦截Outlook零点击漏洞、钓鱼附件；

3. 出口防火墙接入威胁情报，拦截已知MooBot恶意C2地址与僵尸网络IP；

4. 定期审计DNS解析日志，监控异常域名跳转、境外不明代理流量。

三、疑似中招应急处置流程

1. 立即断开受害路由外网，阻断黑客中继通道，防止批量窃取内网数据；

2. 恢复路由出厂设置，重新刷写官方纯净固件，杜绝后门残留；

3. 全网更换所有办公系统、邮箱、数据库账号密码；

4. 审计同网段所有IoT、网关设备，排查批量感染痕迹；

5. 留存流量日志、路由配置备份，同步上报网络安全主管部门。

六、文末总结

APT28利用MooBot僵尸网络完成攻击模式颠覆性升级，把千家万户、企业随处可见的路由器变成低成本、高隐蔽的全球间谍网络。以往大家只关注电脑、服务器木马，却忽略了24小时在线的边缘网关，这也成为国家级间谍组织新的突破口。

网络安全不存在“小事”，一台未加固的路由，就可能泄露企业核心标书、客户数据、政府涉密文件。运维、企业管理者务必完成全网网关安全自查，补齐IoT设备防护短板，避免沦为APT28长期窃密的“免费跳板”。

知识星球已更新M国APT战略研究，敬请关注！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《路由器沦为间谍跳板！APT28“梦幻熊”劫持MooBot僵尸网络，全球政企持续遭隐秘窃密》