它还操纵 iptables 规则来阻碍感染检测和 DDoS 攻击可见性。通过阻止 WAN 端 TCP 连接，它旨在防止交叉感染，同时保持内部管理访问。

　　通过使用动态配置的 iptables 规则，恶意软件能够接收来自外界的 UDP 数据包，并通过隐藏其活动来抑制 TCP RST 数据包。

　　2024 年 12 月 27 日至 2025 年 1 月 4 日期间观察到的 DDoS 攻击针对的是北美、欧洲和亚洲的组织，主要集中在美国、巴林和波兰。

　　趋势科技的分析显示，不同目标地区的命令模式有所不同。针对日本目标的攻击经常使用 stomp 命令，而针对国际目标的攻击则更常使用 gre 命令。

　　攻击主要集中在交通运输、信息通信、金融保险等领域。而国际攻击也主要集中在信息通信、金融保险行业，针对交通运输领域的攻击明显较少外国用中国ip代理服务器。

　　这些攻击背后的实施者表现出了适应性，并在实施初步防御措施后针对日本组织测试了 套接字 和 握手 等新命令。

　　僵尸网络分析结果显示，共有 348 台设备遭到感染。受感染设备中，80% 主要是 TP-Link 和 Zyxel 等供应商生产的无线路由器，此外，来自海康威视的 IP 摄像机在受感染设备中也占了相当比例。

　　导致其被利用的因素包括默认设置的持久性、过时的固件和安全功能不充分，这些因素使攻击者能够轻易破坏这些设备并利用它们进行 DDoS 攻击和网络入侵等恶意活动。

　　为了减轻僵尸网络感染和 DDoS 攻击，请实施强大的安全措施。通过更改默认凭据、定期更新固件和分段物联网网络来保护物联网设备。

　　同时，要严格限制设备的远程访问权限，对设备进行行之有效的管理，密切监控网络流量，一旦发现异常即刻响应处理。

　　针对 UDP 洪水攻击，可通过阻止特定的 IP 地址和协议来进行防范；还可以积极与服务提供商展开深度合作，共同应对风险；另外，加强路由器硬件的防护能力，也是减轻 UDP 洪水攻击影响的重要举措 。