事件经过
CISA、NCSC-UK和其他12个国家网络安全机构于2026年4月23日发布了咨询报告AA26-113A,描述了中国关联威胁行为者策略的重大转变,转向大规模的受损SOHO路由器、IoT设备和智能设备网络(隐蔽网络),这些网络在网络杀伤链中被战略性使用——从侦察到数据渗透。该咨询报告解释了多个隐蔽网络的存在,它们被持续更新,并可被多个威胁行为者共享,包括Volt Typhoon和Flax Typhoon。
影响分析
这代表了首次对中国关联行为者战略性僵尸网络使用的全面、多国特征描述,超越了个别APT披露,描述了系统性基础设施策略。该指导为网络防御者提供了技术IOCs、针对通过隐蔽网络被攻击组织的保护措施以及检测建议。对于AI安全团队而言,该咨询报告突出了可能掩盖AI模型滥用、API攻击或agent驱动侦察的基础设施层威胁。
建议行动
网络防御者应审查咨询报告中的IOCs,对SOHO和IoT设备实施推荐的保护措施,并考虑当前监控是否能检测来自隐蔽网络的流量。AI安全团队应评估模型滥用检测系统是否考虑了来自大规模受损设备网络的流量,这些流量可能会规避传统的速率限制和地理过滤。