首个武器化HDMI-CEC协议的安卓电视盒僵尸网络

CECbot是一款此前未被记录的、针对安卓电视盒的DDoS僵尸网络，是同运营者旗下Katana僵尸网络的继任者，二者共享基础设施但无任何代码重叠。

它以原生安卓应用而非传统Mirai类ELF二进制文件构建，采用Signal、WireGuard同款的Curve25519+Ed25519+ChaCha20-Poly1305加密体系保护C2通信，实现了9层持久化机制，内置11种DDoS攻击方式，支持HTTP/2与动态TLS。

这是目前已知首个在野武器化HDMI消费电子控制协议（CEC）的恶意软件，可让攻击者完全控制HDMI总线，包括让连接的电视休眠；

可通过自动化子网扫描与ARP关联映射受害设备所在的内网，将被攻陷的电视盒变为本地网络的侦察平台。

CECbot与Nokia长期跟踪的Katana僵尸网络（Mirai变种，至少3万肉鸡，峰值攻击流量达150Gbps）为同一运营者，核心关联证据包括：

全场景DDoS攻击：内置11种攻击模块，覆盖UDP、TCP、HTTP/HTTPS全场景，核心升级包括完整的HTTP/HTTPS七层攻击，支持HTTP/2、动态加载系统TLS库，可生成8种主流浏览器的真实指纹、内置660+合法Referer地址，同时覆盖游戏流量洪泛、TCP连接攻击、SYN洪泛、多协议攻击等场景。

住宅代理能力：可作为住宅代理节点使用，支持标准SOCKS5代理与NAT环境可用的反向代理，支持按IP地理路由流量，架构与商业住宅代理SDK完全一致。

检测到安卓电视设备后，会执行启动器劫持（替换默认桌面，用户仅能看到黑屏）、SELinux绕过、OTA更新破坏（禁用6家芯片厂商的OTA服务，永久屏蔽固件升级）、安装包验证绕过等操作，实现对设备的完全控制。

CEC是HDMI接口内置的消费电子控制协议，可让连接设备互相发送开关机、切输入、调音量等控制指令，几乎所有近15年生产的电视都支持该协议。CECbot是首个有公开记录的在野利用该协议的恶意软件。
可以同时发送安卓电源键与CEC待机指令，让连接的电视休眠。
扫描HDMI总线上的所有连接设备，确认电视是否在线
可发送原生CEC指令，实现唤醒电视、劫持HDMI输入、在电视屏幕显示文字、模拟遥控器按键、控制音响等所有能力。
获取屏幕DPI、刷新率、HDR能力等信息。
该能力配合启动器劫持，可让用户误以为电视处于关机状态，大幅延迟恶意程序被发现的时间。
该能力可将被攻陷的电视盒变为内网渗透的支点，不仅针对家庭网络，在医院、企业等办公环境中风险极高。

细节:
https://github.com/deepfield/public-research/blob/main/cecbot/report.md