Badbox 2.0僵尸网络操控者曝光：中国相关网络威胁的幕后黑手

网络犯罪分子“自曝”导致僵尸网络操控者曝光

网络安全研究人员近日确认了Badbox 2.0僵尸网络的核心操控者，这一源自中国的网络威胁已感染超过1000万台Android TV流媒体设备。突破性进展源于另一个名为Kimwolf僵尸网络的操控者分享了Badbox 2.0控制面板的截图，该截图显示了未经授权的访问行为，并泄露了其管理员的关键信息。

FBI与Google正在积极调查Badbox 2.0，该僵尸网络通过在Android TV盒子出厂前预装恶意软件感染设备，并通过非官方应用商店传播，实施广告欺诈和为家庭网络提供后门访问。

技术深度解析：Badbox 2.0的运作机制

Badbox 2.0是原始Badbox活动的继任者，后者已于2024年被瓦解。与前代不同，Badbox 2.0扩大了攻击范围，具体表现为：

• 设备出厂前感染：恶意软件被嵌入固件，即使恢复出厂设置也无法清除。
• 利用非官方应用商店：用户在设置过程中无意下载恶意应用。
• 大规模广告欺诈：被感染设备生成虚假广告展示，导致广告主损失数百万美元。

Kimwolf僵尸网络已感染超过200万台设备，近期展示了劫持Badbox 2.0基础设施的能力。Kimwolf的操控者使用化名**「Dort」和「Snow」**，并将其电子邮件（ABCD）添加到Badbox 2.0的控制面板，暗示可能合并或接管该僵尸网络的命令与控制（C2）系统。

Badbox 2.0的关键人物

对Badbox 2.0控制面板截图的取证分析揭示了七名授权用户，其中包括：

1. 陈代海（Chen Daihai）

   • 电子邮件：34557257@qq.com（化名：Chen）
   • 关联公司：北京鸿大科网科技有限公司及墨新（北京）科技有限公司。
   • 与Badbox 2.0相关的域名：asmeisvip[.]net、moyix[.]com、vmud[.]net。
   • 密码重用（cdh76111）与cathead@gmail.com和daihaic@gmail.com关联。

2. 朱志宇（Zhu Zhiyu）

   • 电子邮件：xavierzhu@qq.com（化名：Mr.Zhu）
   • 北京星链无线数字科技有限公司联合创始人。
   • 域名注册包括astrolink[.]cn，该域名亦与Badbox 2.0相关。

3. 黄桂林（Huang Guilin）

   • 电子邮件：189308024@qq.com（化名：admin）
   • 关联域名guilincloud[.]cn及电话号码18681627767。
   • 在中国社交媒体使用用户名h_guilin活跃。

其余四名用户均使用qq.com电子邮件，但缺乏明确的企业关联，且未回应调查问询。

影响与法律后果

Badbox 2.0的规模与复杂性带来严重风险：

• 消费者隐私：被感染设备可窃取个人数据，包括Wi-Fi凭证及浏览记录。
• 网络安全：被感染设备成为进一步攻击家庭或企业网络的入口。
• 金融欺诈：广告欺诈计划将合法广告主的收入转移至不法分子手中。

2025年7月，Google对25名未具名被告提起“约翰·多伊”（John Doe）诉讼，指控其为牟利操控Badbox 2.0。FBI于2025年6月发布的公告警告消费者避免使用非官方Android TV盒子。

Kimwolf的未授权访问：改变游戏规则

Kimwolf的操控者在住宅代理提供商修补其系统漏洞后，利用了Badbox 2.0的基础设施。据调查知情人士透露：

“Dort未经授权访问了Badbox的控制面板。由于Badbox不出售代理服务，因此未及时修补漏洞，使得Kimwolf能够直接在Badbox感染的设备上加载恶意软件。”

访问方式尚不明确，但与Dort相关的ABCD账户不太可能持续存在，因调查人员已通知所有Badbox 2.0面板用户此次泄露事件。

安全团队建议

1. 设备审计：识别并移除网络中的非官方Android TV盒子。
2. 固件验证：确保设备运行厂商签名的固件，防止预装恶意软件。
3. 网络分段：隔离IoT设备，限制入侵后的横向移动。
4. 威胁情报：监控与Badbox 2.0相关的域名和IP（如asmeisvip[.]net、moyix[.]com）。
5. 用户教育：警示员工及消费者关于非官方应用商店和盗版流媒体服务的风险。

结论

陈代海和朱志宇作为Badbox 2.0的可能操控者被曝光，标志着瓦解这一针对Android设备的最大僵尸网络之一的关键一步。尽管法律行动和技术缓解措施正在进行，此事件凸显了供应链攻击的持续威胁，并强调了对IoT设备制造和分销进行更严格监管的必要性。