住宅代理、安卓设备与 DDoS:Kimwolf 僵尸网络是怎么被挖出来的

2025 年，网络安全圈里一直有一件让人头疼的事：有一波越来越猛的网络攻击，像潮水一样扑向各种网站和云服务，规模大得离谱。

这些攻击有个名字，叫 DDoS。简单说，就是很多设备一起把垃圾流量往一个网站身上猛砸，砸到它正常用户根本进不去。你可以把它想成：一家店门口突然来了几十万人同时排队、同时挤门，真正想进店的人反而进不去了。

一开始，安全专家也很难搞清楚，这股流量到底是从哪儿来的。因为它不是直接从某个黑客自己的电脑发出来的，而是绕了很多弯子。

后来大家慢慢发现，这背后有一种很麻烦的东西，叫 住宅代理网络。所谓住宅代理，你可以理解成：有人把普通家庭设备的网络出口拿来出租，让外界借着这些“看起来像普通人上网”的 IP 去访问互联网。

正常情况下，这类服务可能会被拿去做一些看起来不那么坏的事，比如：

• • 测试网站
• • 比较不同地区的价格
• • 做网络爬虫

但坏人也特别喜欢它，因为这些 IP 看起来像普通家庭用户，不容易被网站一眼识别出来。

问题就在这里：文章里说的那个叫 Kimwolf 的恶意网络，把这种“住宅代理”的思路和“僵尸网络”结合了起来。

什么是僵尸网络？

就是一大堆被黑客控制的设备。这些设备本来是正常的，但被植入恶意软件后，就会像“听指挥的工具人”一样，替黑客干活。

这些设备可能是：

• • 安卓手机
• • 网络摄像头
• • 电视盒子
• • 电子相框

听起来很离谱，但它们确实都能被利用。因为它们有一个共同点：一直联网，而且很多人根本不太管它。

这时候，故事的主角登场了。

他叫 本杰明·布伦戴奇，22 岁，是一名大学生。他不是那种从小就惊天动地的天才神童，而是个很普通、很爱折腾技术的年轻人。

他高中时喜欢玩《我的世界》，后来为了给游戏做插件、修改器，慢慢学会了编程。再后来，他开始对网络安全感兴趣，甚至还通过漏洞赏金计划，给荷兰政府网站报过漏洞。这让他第一次真正感受到：原来自己也能在网络安全这件事上做点什么。

到了大学，他又迷上了网络爬虫。但爬虫有个大麻烦：网站很容易识别并封掉异常流量。于是他开始研究一种办法——住宅代理 IP。也就是借用普通家庭网络的出口，让访问行为更像“正常人”。

研究着研究着，他发现自己居然很擅长整理这些 IP 地址。到了大学二年级结束时，他已经能梳理出不少住宅代理公司的地址库了。2025 年 8 月，他干脆成立了自己的单人公司 Synthient，向企业出售这些 IP 黑名单，帮它们识别欺诈流量。

9 月，他在一个关于爬虫技术的 Discord 频道里发了一个链接，推广自己做的查询工具。没过多久，一个匿名用户找上门来，说他的 IP 列表漏了很多地址。对方还发了截图，像是在说：

你看到的，只是冰山一角。

布伦戴奇一开始以为对方是在炫耀，或者想故意抬杠。但他没有硬顶回去，而是发了一个猫 GIF一只毛茸茸的灰猫，正在被人打领结。

这本来只是个很随意的缓和气氛的动作。结果没想到，这个匿名用户居然真的继续跟他聊了下去。

后来，对方开始隐隐约约暗示：网上存在一个全新的安全漏洞。这个漏洞背后，可能牵扯到数千万消费者，甚至四分之一的公司。

布伦戴奇这时候开始意识到：这事不简单。

与此同时，行业里另一拨人也在头疼。一些大网络服务商的工程师组成了一个工作组，叫 Big Pipes。他们是业内顶尖的 DDoS 防御专家，但碰上 Kimwolf，也一直看不透它到底是怎么运作的。

一般来说，DDoS 攻击的流量来源虽然分散，但技术特征还是能分析出来的。可 Kimwolf 很怪，它把很多不同层面的东西揉在一起了，所以很难一眼看穿。

就在这时候，Lumen 公司的工程师联系上了布伦戴奇。他们从他那里得到了关于某家住宅代理公司的大量信息。很快，布伦戴奇也加入了 Big Pipes 的每周电话会议。

一个大学生，居然开始和行业大佬们一起查这个巨型网络了。

真正的突破发生在 11 月。

Big Pipes 里的某家公司突然遭到 Kimwolf 的攻击。工程师顺着流量一路追，结果发现：这些恶意流量，竟然来自一名员工家里的网络。

继续往下查，他们找到了一个非常不起眼的设备：

一台售价不到 50 美元的电子相框。

这台相框本来是拿来放照片的，但它却在偷偷往外发大量垃圾数据包。相框本身并没有“坏”，问题出在里面预装的软件。

换句话说，不是相框坏了，而是它“被人拿去做坏事了”。

布伦戴奇听到这个消息后，决定自己去拿更硬的证据。

他从一个提供盗版流媒体应用的网站下载了涉事软件，装到一台他能监控的安卓手机上。到了 11 月 16 日，也就是他期中考试期间，他发现这台手机开始和一个可疑域名通信。

这说明什么？说明这套软件并不只是普通的管理程序，它背后有可疑的控制逻辑，像是后门一样，让设备可以被外部利用。

他和 Big Pipes 的工程师们继续分析，最后拼出了整个图景：

事情不是“住宅代理公司和 Kimwolf 合作”。

而是：

• • 有一家住宅代理公司提供了一批家庭设备网络
• • Kimwolf 只是普通客户
• • 但它在这些设备上又偷偷叠了一层恶意软件
• • 于是这些本来就能当住宅代理出口的设备，彻底变成了黑客的攻击机器

这就是为什么它这么难查、这么可怕。因为它不是单一层面的坏，而是层层叠加的坏。

等到布伦戴奇把这些东西分析清楚时，他已经统计出：

• • 近 200 万台被感染的设备
• • 每天还有数万个新设备加入
• • 这些设备大多是安卓系统
• • 包括手机、电视盒子、摄像头和电子相框

一个原本看起来很普通的设备生态，就这样变成了一个能发动超大规模攻击的机器网络。

12 月 17 日，布伦戴奇考完最后一门期末考试。第二天，他就给包括涉事公司在内的 11 家住宅代理公司发了邮件，详细说明漏洞和修复方法。

然后他飞去墨西哥过圣诞节。

这段时间里，最可怕的事情没有发生。没有大规模的网络灾难突然爆出来。换句话说，他和团队赶在更坏的事情发生之前，把漏洞先捅了出来。

12 月 26 日，涉事公司终于回邮件了。对方道歉说：布伦戴奇的邮件被扔进了垃圾箱，所以才拖到现在才看到。但他们已经开始修复。

到了 2026 年 1 月，Google 拿到了美国法院的命令，开始对这家公司下重手。Google 之前已经发现，超过 1000 万台安卓设备在出厂时就被偷偷预装了涉事公司的软件。于是它通过法律行动，关闭了该公司的 13 个商业域名和几十台服务器。

这一下，整个链条被敲断了不少。

再往后，3 月 19 日，美国联邦当局宣布，他们捣毁了全球四个最大的 DDoS 僵尸网络，Kimwolf 就在其中。法庭文件显示，Kimwolf 发动过超过 26,000 次 DDoS 攻击，受害者有 8000 多个。官方新闻稿里，还特别感谢了布伦戴奇的公司 Synthient。

到今天，Kimwolf 基本已经名存实亡。安全公司说，现在任何时候活跃的设备大约只有 3 万台，和巅峰时期接近 200 万台相比，已经差了很多。

END