HKCERT呼籲｜AISURU殭屍網絡發動DDoS攻擊　流量創歷史新高

香港網絡安全事故協調中心（HKCERT）提醒本地企業及市民，近年來國際間出現多宗由大型殭屍網絡（Botnet）發動的大規模分散式阻斷服務（DDoS）攻擊事件，攻擊發動的流量創下歷史新高，顯示全球網絡安全威脅持續升級。

根據網絡安全機構研究及媒體報導，一個名為 「AISURU」 的殭屍網絡自 2024 年起開始活躍。研究指出，AISURU 於 2025 年 9 月利用其控制的殭屍網絡裝置發動流量高達 11.5 Tbps 的 DDoS 攻擊，為目前全球已知最大規模的 DDoS 攻擊之一。該殭屍網絡主要由遭入侵的物聯網（IoT）裝置組成，包括路由器、網絡攝影機及智能電視等，全球感染規模估計達 30 萬台裝置。

據報道， AISURU 的活躍節點，多分布於中國、美國、德國、英國和香港的家庭路由器。

「AISURU」殭屍網絡概述：

1．最近大規模攻擊事件：在 2025 年 9 月，有網絡服務供應商偵測到有機會來自 AISURU 的 11.5 Tbps DDoS 攻擊，流量足以在短時間內癱瘓數萬個家庭的網絡連線。

2．感染途徑：研究指出 AISURU 曾利用保安漏洞入侵 Totolink 路由器的韌體升級伺服器，向用戶裝置推送載有惡意軟件的更新至目標裝置。此外，AISURU 還會利用不同產品的保安漏洞入侵並感染其他品牌的裝置，包括 D-Link、Linksys 、Realtek、Zyxel 等。

3．售賣網絡代理服務：除 DDoS 攻擊外，AISURU 亦會將受感染的裝置作為網絡代理服務（Proxy Services）的節點，售賣給網絡犯罪份子用作隱藏 IP 匿名化來進行非法活動。

有鑑於「AISURU」殭屍網絡攻擊日益猖獗，HKCERT 特別呼籲本地企業及市民提高警覺。目前廣泛使用的多類物聯網裝置（包括特定品牌的路由器與網絡攝影機）均可能面臨風險。若未能及時更新韌體或加強防護，這些裝置極有可能遭入侵並被納入殭屍網絡，用於發動 DDoS 等惡意攻擊，甚至影響本地網絡服務的穩定性。

為防範裝置遭惡意利用，HKCERT 建議企業及市民立即採取以下措施：

1．定期更新韌體及安裝保安更新：定期檢查物聯網裝置韌體的最新版本，包括 D-Link、Totolink、Realtek、Zyxel 等網絡裝置品牌。

2．更改預設密碼並設定高強度密碼：為裝置設定高強度密碼並定期更換，避免使用出廠預設帳號及密碼。

3．關閉不必要的遠端管理功能：物聯網及網絡裝置應只開放必要的服務，減少裝置直接暴露於互聯網。

4．部署網絡防護：企業應使用防火牆、入侵偵測系統（IDS/IPS）及 DDoS 緩解服務。

5．監測異常流量：留意突發的大量網絡流量，及早發現受感染或攻擊的跡象。

HKCERT 將持續監測惡意活動，並協助本地企業應對相關威脅。如本地企業和市民發現其裝置懷疑遭受殭屍網絡感染，可採取以下措施：

1．立即將受影響的裝置與互聯網斷開連線；

2．使用防毒軟件對受影響裝置進行全面掃描；

3．如未能將裝置恢復正常運作，將其裝置格式化，並恢復原廠設定；及

4．向 HKCERT 報告尋求協助。

請瀏覽 HKCERT 網頁以了解殭屍網絡偵測及清理方法：https://www.hkcert.org/tc/publications/botnet-detection-and-cleanup