新型RCtea僵尸网络快速蔓延，我国近万台物联网设备已中招

IP属地中国·北京 IT之家 时间：2026-02-10 20:20:43

IT之家 2 月 10 日消息，国家互联网应急中心（CNCERT）今日发布《关于 RCtea 僵尸网络大范围传播的风险提示》。
CNCERT 近期监测发现了一个名为 RCtea 的新型僵尸网络正在互联网上快速传播，该网络自 2025 年 12 月下旬开始活跃，主要针对物联网设备发起攻击。
监测数据显示，2026 年 1 月 20 日至 25 日期间，我国境内已确认的受感染设备达 9827 台，单日最高活跃设备数 4870 台，单日最高控制服务器访问量 27.8 万次。该僵尸网络采用高度复杂的加密技术和反追踪机制，目前正处于快速扩张阶段，已具备发起多种 DDoS 攻击的能力。

▲ RCtea 对抗手段
RCtea 僵尸网络主要针对 ARM 和 MIPS 架构设备发起攻击，包括路由器、摄像头等物联网设备，暂未发现针对传统 Linux 服务器或主机的样本。其传播方式主要依赖 Telnet 暴力破解，利用内置的常见弱口令列表进行设备入侵。为规避安全检测，该木马采用多重防护措施：启动时需特定参数激活核心功能；使用 RC4、ChaCha20 及 TEA 算法变种进行数据加密；为进程设置最高级别内存保护；采用随机 6 字符文件名；执行后会在控制台输出“here we are”调试标记。

▲ 境内日上线肉鸡数量分布情况
在命令控制方面，该网络采用多冗余架构，内置多组地址及端口随机选择连接，所有通信数据使用自定义 TEA 变种算法和 ChaCha20 算法加密，并将上线认证过程拆分为十余个数据包分轮发送。分析显示，RCtea 已具备发起 SYN FLOOD、ACK FLOOD、UDP FLOOD 及 TCP FLOOD 等多种 DDoS 攻击的能力。虽然目前尚未观测到大规模攻击活动，但该网络很可能正在为后续攻击做准备。技术分析还发现，RCtea 与已知的 AISURU 僵尸网络在多个关键技术特征上存在相似性，暗示两者可能存在关联。
CNCERT 建议用户及时修复系统漏洞，包括历史漏洞和最新漏洞；设置高强度密码，建议使用 16 位以上包含大小写字母、数字和符号的组合，并定期更换；发现感染后立即核实受控情况和入侵途径，对受害设备进行清理。
另外，CNCERT 同时公布了相关样本哈希值、下载链接和控制域名等威胁指标，供相关单位参考检测。IT之家附相关 IOC 如下：
样本 HASH： b1c2458d22bbb0b7580470d9481654fae096a2bc0e8aab742ba9ac584568094d f4d312c31b3f1170621721ea7dda0ceb50977bda8f04527cf060f85dda15c513 45168bc663329c3b1d883b83a59fe84f08b6e01895c37144ddfa9156bea3eaee 下载链接： http://91.92.242.42/wget.sh http://91.92.242.42/curl.sh http://91.92.242.42/arm http://91.92.242.42/arm5 http://91.92.242.42/arm7 http://91.92.242.42/mips http://91.92.242.42/mpsl http://91.92.242.42/arc http://91.92.242.42/aarch64 http://5.255.127.15/wget.sh http://5.255.127.15/curl.sh http://5.255.127.15/arm http://5.255.127.15/arm5 http://5.255.127.15/arm7 http://5.255.127.15/mips http://5.255.127.15/mpsl http://5.255.127.15/arc http://5.255.127.15/aarch64 http://103.146.23.241/wget.sh http://103.146.23.241/curl.sh http://103.146.23.241/arm http://103.146.23.241/arm5 http://103.146.23.241/arm7 http://103.146.23.241/mips http://103.146.23.241/mpsl http://103.146.23.241/arc http://103.146.23.241/aarch64 http://103.149.29.38/wget.sh http://103.149.29.38/curl.sh http://103.149.29.38/arm http://103.149.29.38/arm5 http://103.149.29.38/arm7 http://103.149.29.38/mips http://103.149.29.38/mpsl http://103.149.29.38/arc http://103.149.29.38/aarch64 控制域名： www.gokart.su www.boatdealers.su kieranellison.cecilioc2.xyz nineeleven.gokart.su www.plane.cat mail.gokart.su

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

同类资讯

奶茶、咖啡、调酒、爆米花……跨维智能推动数千台人形机器人落地文旅场景

PocketBook新电纸书来袭，10.3英寸屏仅厚5.15毫米！

全球顶尖生物医药风投齐聚首届S2S中国研讨会创业提案征集倒计时｜机构动态

工信部等五部门出手，低空经济发展再迎新动作

突然，直线拉升！芯片，传出重磅消息！

雷蛇布斯朗悍蛇20周年纪念款鼠标预售：9999元，限量1337只

全站最新

奶茶、咖啡、调酒、爆米花……跨维智能推动数千台人形机器人落地文旅场景

PocketBook新电纸书来袭，10.3英寸屏仅厚5.15毫米！

全球顶尖生物医药风投齐聚首届S2S中国研讨会创业提案征集倒计时｜机构动态

工信部等五部门出手，低空经济发展再迎新动作

热门推荐

奶茶、咖啡、调酒、爆米花……跨维智能推动数千台人形机器人落地文旅场景

超预期！中芯国际2025年销售收入93.27亿美元，同比增长16.2%

PocketBook新电纸书来袭，10.3英寸屏仅厚5.15毫米！

我国科学家“酿”出生物黄金！单次20吨产能“拯救”3000头鲨鱼

全球顶尖生物医药风投齐聚首届S2S中国研讨会创业提案征集倒计时｜机构动态

奥哲徐平俊：企业级AI落地，难的不只是技术｜创·问

五部门：到2027年全国低空公共航路地面移动通信网络覆盖率不低于90%

工信部等五部门出手，低空经济发展再迎新动作

理响中国｜创意长图：人工智能+制造，打造中国高质量发展闪亮名片

理响中国｜创意长图：人工智能+制造，打造中国高质量发展闪亮名片

突然，直线拉升！芯片，传出重磅消息！

雷蛇布斯朗悍蛇20周年纪念款鼠标预售：9999元，限量1337只

AI视频大量传播！周星驰经纪人质疑：平台不管吗？

彭博社记者：iOS 27 将在 WWDC 上发布但相对低调

壁仞科技完成MOSS-TTS模型适配