圈小蛙
一名来自美国俄勒冈州的22岁男子被指控开发和监督一个名为RapperBot的分布式拒绝服务 (DDoS) 僵尸网络。
美国司法部表示,俄勒冈州尤金市的伊桑·福尔茨已被确认为该服务的管理员。自2021年以来,该僵尸网络已被用来针对80多个国家的受害者发动大规模DDoS雇佣攻击。
福尔茨被控一项协助及教唆计算机入侵罪。一旦罪名成立,他将面临最高10年监禁。此外,执法部门于2025年8月6日对福尔茨的住所进行了搜查,并夺取了僵尸网络基础设施的行政控制权。
美国司法部表示: “RapperBot,又名‘Eleven Eleven Botnet’和‘CowBot’,是一个僵尸网络,主要通过使用专门的恶意软件感染数字视频录像机 (DVRS) 或 Wi-Fi 路由器等设备,从而大规模入侵这些设备。 ”
“RapperBot 的客户端随后向受感染的受害者设备发出命令,迫使它们向位于世界各地的不同受害者计算机和服务器发送大量‘分布式拒绝服务’(DDoS)流量。”
RapperBot深受fBot(又名 Satori)和Mirai僵尸网络的启发,以其使用 SSH 或 Telnet 暴力破解攻击入侵目标设备并将其纳入能够发起 DDoS 攻击的恶意网络而闻名。该恶意软件于 2022 年 8 月首次由 Fortinet 公开记录,早期活动最早可追溯至 2021 年 5 月。
2022 年 FortiGuard Labs警告称,尽管它基于 Mirai 代码,但它具有凭证暴力破解功能,以 SSH 服务器为目标,并包含持久性机制。
Fortinet 2023 年的一份报告详细描述了 DDoS 僵尸网络向加密货币劫持的扩展,利用受感染设备的计算资源非法挖掘门罗币,实现价值最大化。今年早些时候,RapperBot 还涉嫌针对DeepSeek和X 的DDoS 攻击。
福尔茨及其同谋被指控通过向付费客户提供强大的 DDoS 僵尸网络访问权限来将 RapperBot 货币化,该僵尸网络已被用来发动超过 370,000 次攻击,从 2025 年 4 月到 8 月初,针对中国、日本、美国、爱尔兰和香港的 18,000 名独立受害者。
亚马逊网络服务公司 (AWS) 是支持该计划的众多公司之一,该公司表示,RapperBot 感染了 39 个国家的 45,000 多台设备,并帮助识别 RapperBot 的命令和控制 (C2) 基础设施,并对物联网恶意软件进行逆向工程以绘制其操作和活动。
检察官还指控,该僵尸网络由大约6.5万至9.5万台受感染的受害设备组成,用于发动每秒2至3兆兆比特(Tbps)的DDoS攻击,其中最大的一次攻击可能超过6 Tbps。此外,据信该僵尸网络还被用于发动勒索DDoS攻击,旨在勒索受害者。
调查人员发现了被告使用的各种在线服务的 IP 地址链接,包括 PayPal、Gmail 和互联网服务提供商,从而追踪到僵尸网络与福尔茨有关。据称,福尔茨还在谷歌上搜索“RapperBot”或“Rapper Bot”超过 100 次。
破坏 RapperBot 是Operation PowerOFF的一部分,这是一项正在进行的国际行动,旨在摧毁全球范围内的犯罪 DDoS 雇佣基础设施。