TuxBot v3 Evolution 暴露出由大语言模型协助开发的物联网僵尸网络特征
导语:网络安全研究人员披露了一个前所未见的物联网僵尸网络框架 TuxBot v3 Evolution 的技术细节,其代码注释中保留了 LLM 的思维链推理痕迹,暴露出 AI 辅助恶意软件开发的新趋势。
网络安全研究人员披露了一个此前未被报道的物联网(IoT)僵尸网络框架 TuxBot v3 Evolution 的细节,该框架显示出借助大语言模型(LLM)辅助开发的痕迹,尽管开发效果并不理想。
Palo Alto Networks Unit 42 表示:「虽然 AI 按其请求生成了僵尸网络代码,但它附带了一条安全免责声明,而开发者在发布前未能将其删除。虽然 LLM 显然协助构建了该僵尸网络,但所分析样本中的多个功能均未能正确运行。」该网络安全公司指出,人工代码审查本可解决这些错误,而且不排除存在更完善的版本已经在野外传播。
该僵尸网络框架由多个组件构成:一个基于 C 语言的僵尸程序代理,可交叉编译支持多种架构(包括 ARM、MIPS、MIPSEL、MIPS64、x86_64、PowerPC 和 RISC-V);一个基于 Go 语言的命令与控制(C2)服务器,附带 DDoS-for-hire 面板;一个自定义漏洞利用虚拟机;基于 Docker 的测试基础设施;以及一个自动化构建系统。
僵尸程序代理被设计为使用一组包含 1,496 对凭据的字典对目标设备进行 Telnet 暴力破解,并整合了针对超过 30 个物联网设备家族的漏洞利用代码,利用已知漏洞发起攻击。它通过加密的 TCP 通道与 C2 服务器通信,同时使用 SHA512 域名生成算法(DGA)、采用 Ed25519 签名命令的点对点(P2P)Gossip 协议、IRC(Internet Relay Chat)、DNS TXT 查询以及 HTTP 轮询作为备用通信机制。
该模块化框架的谱系可追溯至 Mirai、AISURU 和 Wuhan 三个不同的僵尸网络家族,此外其部分功能移植自开源 Python DDoS 工具包 MHDDoS。该恶意软件至少有一个样本已于 2026 年 1 月 20 日上传至 VirusTotal 平台,说明其已经存在超过六个月。证据表明,该僵尸网络的开发工作在那之前一年就已启动,当时作者从 GitHub 克隆了 MHDDoS 仓库。

研究人员 Chris Navarrete、Asher Davila 和 Doel Santos 表示:「根据该框架的描述,TuxBot 的开发者构建了其所称的'专业级 C2 框架平台',具有多用户管理面板、自动化部署以及模块化攻击能力。」基于 Go 语言的 C2 服务器组件使用三个不同的 TCP 端口处理传入连接。僵尸网络启动后会按照预定义的初始化序列执行一系列操作。其中专门的 HTTP 扫描器在任何时刻最多可管理 128 个并发连接,目标是发现存在漏洞的 Web 接口。持久化方面则通过 systemd 服务、cron 计划任务以及看门狗保活进程实现,确保 TuxBot 在被入侵机器上持续运行。
Unit 42 指出:「多个文件中原封不动地保留了 LLM 的思维链推理过程,以注释形式存在。这些注释是 LLM 在执行移植任务时的内部推理过程,包括自我打断、决策以及提到'用户'(即提示 LLM 的开发者)的引用。」尽管 TuxBot v3 Evolution 仍处于开发阶段,但核心功能已经可用,且其对 AI 的依赖意味着功能集成正在加速,同时似乎使单一开发者能够构建出具备多种 C2 通道、自定义漏洞利用虚拟机以及基于 Go 的 DDoS-for-hire 面板的多功能工具集。
Unit 42 总结道:「与 Kaitori v3.9 和 AISURU 工具共享基础设施表明,TuxBot 的运营者属于 Keksec 生态系统。该组织以并行运营多个物联网僵尸网络变种而闻名。TuxBot 看起来是其组合中的又一个变种,它的目标是超越普通的 Mirai 分支——通过加密 C2、DGA 以及模块化漏洞利用系统——尽管在我们所恢复的版本中该漏洞利用系统尚未能正常工作。」
此次披露之前,已经出现了另外两个名为 RustDuck 和 AryStinger 的僵尸网络,它们针对路由器、IP 摄像头、安卓电视盒子以及防护薄弱的服务进行劫持,将其纳入一个用于发动下线攻击和执行侦察任务的网络。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/tuxbot-v3-evolution-shows-signs-of-llm.html
作者:info@thehackernews.com (The Hacker News)

