00后用表情包揪出全球最大僵尸网络，让200万台被黑电子设备获救

一个 22 岁的 00 后大学生，靠着一只猫表情包捣毁了全球最大的网络武器。

2025 年秋天，美国罗切斯特理工学院的本科生本杰明·布伦戴奇，在宿舍里追踪到了一个让安全专家也束手无策的巨型僵尸网络。

这个名叫 Kimwolf 的恶意网络，控制了全球近 200 万台电子设备，包括安卓手机、网络摄像头，甚至还有几十美元的电子相框。它有能力发动足以让一个国家断网的攻击。而布伦戴奇破案的关键工具，竟然只是一只打领结的猫。

图 | 本杰明·布伦戴奇（来源：资料图）

故事要从 2025 年 6 月说起。在丹佛举行的一次网络运营商会议上，诺基亚的高管克雷格·拉博维茨发出了警告。他公司的传感器检测到，从 2025 年 1 月开始，一系列越来越强的网络攻击正在涌现。

这些攻击叫分布式拒绝服务攻击，黑客用海量的垃圾数据淹没目标网站的数据管道，让正常用户无法访问。到了年底，一次针对云服务商 Cloudflare 的攻击规模达到了一个匪夷所思的程度，相当于英国、德国和西班牙三国所有人同时访问一个网站。

攻击的源头指向了一种叫住宅代理网络的东西。简单说，有些公司会在普通人的手机、电脑甚至电子相框上偷偷安装软件，然后把这些设备的网络连接租给客户。

正规客户可以用它来做价格比较或测试网站功能，但犯罪分子用它来隐藏身份，从事票务黄牛、银行诈骗甚至网络间谍活动。大多数设备主人根本不知道自己的设备被征用了。

Kimwolf 的特别之处在于，它把住宅代理网络和僵尸网络结合了起来。传统的住宅代理公司一般不允许客户用他们的网络发动 DDoS 攻击，因为一旦设备被黑名单封禁，他们的生意就做不下去了。

但 Kimwolf 的运营者找到了一个漏洞，他们花钱租用了 A 公司控制的家庭设备网络，然后在那些设备上偷偷加装了自己的恶意软件，把别人的手机和电子相框变成了攻击武器。

（来源：资料图）

布伦戴奇今年 22 岁，在西雅图附近长大，高中时成绩一般，更喜欢户外活动。疫情封控期间，他被困在家里，开始长时间玩《我的世界》这款游戏。

为了给游戏做修改和作弊插件，他慢慢学会了编程。他发现自己对网络安全很有兴趣，高中最后一年，他找到了荷兰政府网站上的安全漏洞，通过漏洞赏金计划上报。那是他人生中最有成就感的一次体验。

进入大学后，布伦戴奇迷上了网络爬虫。这些自动程序能抓取海量的网络数据。为了弄清楚如何不被网站封禁，他开始研究住宅代理网络。

到大学二年级结束时，他已经亲手梳理出了多家住宅代理公司的 IP 地址库。2025 年 8 月，他成立了自己的单人公司 Synthient，向企业出售这些 IP 黑名单，帮助他们防范欺诈。

9 月，布伦戴奇在一个网络爬虫技术讨论的 Discord 频道里，发了一个链接，推广他自己做的一个查询工具。

一周后，一个匿名用户给他发了私信，说他的 IP 列表漏掉了很多地址。对方还发了几张截图来证明。

布伦戴奇觉得对方在炫耀，但他没有表现得过于严肃，反而发了一个猫的 GIF 动图来缓和气氛。那只六秒的动图里，一只手正在给一只毛茸茸的灰猫调整领结。

他没想到，对方真的继续提供了信息。后来那个匿名用户暗示，互联网上存在一个全新的安全漏洞。这个漏洞最终威胁到了全球数千万消费者和多达四分之一的公司。

与此同时，一个由各大网络服务提供商工程师组成的工作组 Big Pipes，也在为 Kimwolf 头疼。这个工作组里的都是业内顶尖专家，平时遇到 DDoS 攻击，他们很快就能分析出攻击手法和背后的软件。

然而，Kimwolf 把他们难住了。Lumen 公司的工程师克里斯·福尔莫萨在 10 月接到了布伦戴奇的电话，得知这个大学生已经摸清了上述涉事 A 公司的大量信息。接着在一周之内，布伦戴奇就出现在了 Big Pipes 的每周电话会议上。

突破发生在 11 月。一家参与 Big Pipes 的公司遭遇了 Kimwolf 的攻击。工程师们追踪数据流，发现恶意流量竟然来自一名员工家里的网络。

顺着线索，他们找到了具体的设备：一个售价不到 50 美元的 Apofial 牌电子相框。这个相框正在向外发送数十万条垃圾数据包。相框本身没有问题，问题出在它里面预装的软件上。

布伦戴奇决定找到确凿证据。他从一个提供盗版流媒体应用的网站下载了涉事 A 公司的软件，安装在一部他可以监控的安卓手机上。

11 月 16 日，正值期中考试期间，他发现自己的手机正在与一个 Kimwolf 运营者控制的域名通信。他和 Big Pipes 团队深入分析后，发现了涉事 A 公司代码中的一个漏洞，那就是涉事 A 公司的软件本身就是一个后门。

Kimwolf 和涉事 A 公司并不是合作关系。Kimwolf 只是普通客户，但布伦戴奇等人发现，只要在租用的设备上再安装一层软件，就能完全控制这些设备，用来发动 DDoS 攻击，然后攻击者再把攻击能力转售给其他犯罪分子。

到布伦戴奇完成分析时，他已经统计出近 200 万台被感染的设备，每天还有数万个新设备加入。这些设备全部是安卓系统，包括电视盒子、手机、摄像头和电子相框。

12 月 17 日，布伦戴奇考完最后一门期末考试，第二天就给包括涉事 A 公司在内的 11 家住宅代理公司发了邮件，详细说明了漏洞和修复方法。

五天后他飞往墨西哥过圣诞假，圣诞节平安度过，没有发生大规模的 DDoS 灾难。12 月 26 日，他收到了涉事 A 公司的回复邮件，对方为延迟回复道歉，说布伦戴奇的邮件进了垃圾箱，并表示已经在修复了。

2026 年 1 月，谷歌拿到了美国法院的命令，对涉事 A 公司发起了致命一击。谷歌此前发现了超过 1,000 万台安卓设备在出厂时就被秘密预装了涉事 A 公司的软件。谷歌采取法律行动，关闭了涉事 A 公司的 13 个商业域名和数十台服务器。

3 月 19 日，美国联邦当局宣布，他们捣毁了全球四个最大的 DDoS 僵尸网络，Kimwolf 名列其中。法庭文件显示，Kimwolf 发动了超过 26,000 次 DDoS 攻击，针对了 8,000 多个受害者。美国联邦当局的新闻稿特别感谢了布伦戴奇的公司 Synthient。

如今，Kimwolf 已经名存实亡。安全公司 Netscout 表示，现在任何时候活跃的 Kimwolf 机器大约只有 3 万台，与巅峰时期的近 200 万台相去甚远。布伦戴奇最近收到了负责此案的一名联邦官员的感谢短信。

总之，这位 22 岁的大学生，用一只猫咪表情包敲开了全球最危险僵尸网络的大门。其实，那些在网络世界里无所不能的黑客，有时候也只不过是一群管不住嘴的年轻人。而愿意在凌晨四点起床、在期末考试间隙追查线索的布伦戴奇，恰好抓住了攻击者的这个弱点。

参考资料：

https://www.wsj.com/tech/kimwolf-hack-residential-proxy-networks-a712ab59?mod=article_inline

运营/排版：何晨龙