一個 22 歲的 00 后大學(xué)生，靠著一只貓表情包搗毀了全球最大的網(wǎng)絡(luò)武器。

2025 年秋天，美國羅切斯特理工學(xué)院的本科生本杰明·布倫戴奇，在宿舍里追蹤到了一個讓安全專家也束手無策的巨型僵尸網(wǎng)絡(luò)。

這個名叫 Kimwolf 的惡意網(wǎng)絡(luò)，控制了全球近 200 萬臺電子設(shè)備，包括安卓手機、網(wǎng)絡(luò)攝像頭，甚至還有幾十美元的電子相框。它有能力發(fā)動足以讓一個國家斷網(wǎng)的攻擊。而布倫戴奇破案的關(guān)鍵工具，竟然只是一只打領(lǐng)結(jié)的貓。

圖 | 本杰明·布倫戴奇（來源：資料圖）

故事要從 2025 年 6 月說起。在丹佛舉行的一次網(wǎng)絡(luò)運營商會議上，諾基亞的高管克雷格·拉博維茨發(fā)出了警告。他公司的傳感器檢測到，從 2025 年 1 月開始，一系列越來越強的網(wǎng)絡(luò)攻擊正在涌現(xiàn)。

這些攻擊叫分布式拒絕服務(wù)攻擊，黑客用海量的垃圾數(shù)據(jù)淹沒目標網(wǎng)站的數(shù)據(jù)管道，讓正常用戶無法訪問。到了年底，一次針對云服務(wù)商 Cloudflare 的攻擊規(guī)模達到了一個匪夷所思的程度，相當于英國、德國和西班牙三國所有人同時訪問一個網(wǎng)站。

攻擊的源頭指向了一種叫住宅代理網(wǎng)絡(luò)的東西。簡單說，有些公司會在普通人的手機、電腦甚至電子相框上偷偷安裝軟件，然后把這些設(shè)備的網(wǎng)絡(luò)連接租給客戶。

正規(guī)客戶可以用它來做價格比較或測試網(wǎng)站功能，但犯罪分子用它來隱藏身份，從事票務(wù)黃牛、銀行詐騙甚至網(wǎng)絡(luò)間諜活動。大多數(shù)設(shè)備主人根本不知道自己的設(shè)備被征用了。

Kimwolf 的特別之處在于，它把住宅代理網(wǎng)絡(luò)和僵尸網(wǎng)絡(luò)結(jié)合了起來。傳統(tǒng)的住宅代理公司一般不允許客戶用他們的網(wǎng)絡(luò)發(fā)動 DDoS 攻擊，因為一旦設(shè)備被黑名單封禁，他們的生意就做不下去了。

但 Kimwolf 的運營者找到了一個漏洞，他們花錢租用了 A 公司控制的家庭設(shè)備網(wǎng)絡(luò)，然后在那些設(shè)備上偷偷加裝了自己的惡意軟件，把別人的手機和電子相框變成了攻擊武器。

（來源：資料圖）

布倫戴奇今年 22 歲，在西雅圖附近長大，高中時成績一般，更喜歡戶外活動。疫情封控期間，他被困在家里，開始長時間玩《我的世界》這款游戲。

為了給游戲做修改和作弊插件，他慢慢學(xué)會了編程。他發(fā)現(xiàn)自己對網(wǎng)絡(luò)安全很有興趣，高中最后一年，他找到了荷蘭政府網(wǎng)站上的安全漏洞，通過漏洞賞金計劃上報。那是他人生中最有成就感的一次體驗。

進入大學(xué)后，布倫戴奇迷上了網(wǎng)絡(luò)爬蟲。這些自動程序能抓取海量的網(wǎng)絡(luò)數(shù)據(jù)。為了弄清楚如何不被網(wǎng)站封禁，他開始研究住宅代理網(wǎng)絡(luò)。

到大學(xué)二年級結(jié)束時，他已經(jīng)親手梳理出了多家住宅代理公司的 IP 地址庫。2025 年 8 月，他成立了自己的單人公司 Synthient，向企業(yè)出售這些 IP 黑名單，幫助他們防范欺詐。

9 月，布倫戴奇在一個網(wǎng)絡(luò)爬蟲技術(shù)討論的 Discord 頻道里，發(fā)了一個鏈接，推廣他自己做的一個查詢工具。

一周后，一個匿名用戶給他發(fā)了私信，說他的 IP 列表漏掉了很多地址。對方還發(fā)了幾張截圖來證明。

布倫戴奇覺得對方在炫耀，但他沒有表現(xiàn)得過于嚴肅，反而發(fā)了一個貓的 GIF 動圖來緩和氣氛。那只六秒的動圖里，一只手正在給一只毛茸茸的灰貓調(diào)整領(lǐng)結(jié)。

他沒想到，對方真的繼續(xù)提供了信息。后來那個匿名用戶暗示，互聯(lián)網(wǎng)上存在一個全新的安全漏洞。這個漏洞最終威脅到了全球數(shù)千萬消費者和多達四分之一的公司。

與此同時，一個由各大網(wǎng)絡(luò)服務(wù)提供商工程師組成的工作組 Big Pipes，也在為 Kimwolf 頭疼。這個工作組里的都是業(yè)內(nèi)頂尖專家，平時遇到 DDoS 攻擊，他們很快就能分析出攻擊手法和背后的軟件。

然而，Kimwolf 把他們難住了。Lumen 公司的工程師克里斯·福爾莫薩在 10 月接到了布倫戴奇的電話，得知這個大學(xué)生已經(jīng)摸清了上述涉事 A 公司的大量信息。接著在一周之內(nèi)，布倫戴奇就出現(xiàn)在了 Big Pipes 的每周電話會議上。

突破發(fā)生在 11 月。一家參與 Big Pipes 的公司遭遇了 Kimwolf 的攻擊。工程師們追蹤數(shù)據(jù)流，發(fā)現(xiàn)惡意流量竟然來自一名員工家里的網(wǎng)絡(luò)。

順著線索，他們找到了具體的設(shè)備：一個售價不到 50 美元的 Apofial 牌電子相框。這個相框正在向外發(fā)送數(shù)十萬條垃圾數(shù)據(jù)包。相框本身沒有問題，問題出在它里面預(yù)裝的軟件上。

布倫戴奇決定找到確鑿證據(jù)。他從一個提供盜版流媒體應(yīng)用的網(wǎng)站下載了涉事 A 公司的軟件，安裝在一部他可以監(jiān)控的安卓手機上。

11 月 16 日，正值期中考試期間，他發(fā)現(xiàn)自己的手機正在與一個 Kimwolf 運營者控制的域名通信。他和 Big Pipes 團隊深入分析后，發(fā)現(xiàn)了涉事 A 公司代碼中的一個漏洞，那就是涉事 A 公司的軟件本身就是一個后門。

Kimwolf 和涉事 A 公司并不是合作關(guān)系。Kimwolf 只是普通客戶，但布倫戴奇等人發(fā)現(xiàn)，只要在租用的設(shè)備上再安裝一層軟件，就能完全控制這些設(shè)備，用來發(fā)動 DDoS 攻擊，然后攻擊者再把攻擊能力轉(zhuǎn)售給其他犯罪分子。

到布倫戴奇完成分析時，他已經(jīng)統(tǒng)計出近 200 萬臺被感染的設(shè)備，每天還有數(shù)萬個新設(shè)備加入。這些設(shè)備全部是安卓系統(tǒng)，包括電視盒子、手機、攝像頭和電子相框。

12 月 17 日，布倫戴奇考完最后一門期末考試，第二天就給包括涉事 A 公司在內(nèi)的 11 家住宅代理公司發(fā)了郵件，詳細說明了漏洞和修復(fù)方法。

五天后他飛往墨西哥過圣誕假，圣誕節(jié)平安度過，沒有發(fā)生大規(guī)模的 DDoS 災(zāi)難。12 月 26 日，他收到了涉事 A 公司的回復(fù)郵件，對方為延遲回復(fù)道歉，說布倫戴奇的郵件進了垃圾箱，并表示已經(jīng)在修復(fù)了。

2026 年 1 月，谷歌拿到了美國法院的命令，對涉事 A 公司發(fā)起了致命一擊。谷歌此前發(fā)現(xiàn)了超過 1,000 萬臺安卓設(shè)備在出廠時就被秘密預(yù)裝了涉事 A 公司的軟件。谷歌采取法律行動，關(guān)閉了涉事 A 公司的 13 個商業(yè)域名和數(shù)十臺服務(wù)器。

3 月 19 日，美國聯(lián)邦當局宣布，他們搗毀了全球四個最大的 DDoS 僵尸網(wǎng)絡(luò)，Kimwolf 名列其中。法庭文件顯示，Kimwolf 發(fā)動了超過 26,000 次 DDoS 攻擊，針對了 8,000 多個受害者。美國聯(lián)邦當局的新聞稿特別感謝了布倫戴奇的公司 Synthient。

如今，Kimwolf 已經(jīng)名存實亡。安全公司 Netscout 表示，現(xiàn)在任何時候活躍的 Kimwolf 機器大約只有 3 萬臺，與巔峰時期的近 200 萬臺相去甚遠。布倫戴奇最近收到了負責(zé)此案的一名聯(lián)邦官員的感謝短信。

總之，這位 22 歲的大學(xué)生，用一只貓咪表情包敲開了全球最危險僵尸網(wǎng)絡(luò)的大門。其實，那些在網(wǎng)絡(luò)世界里無所不能的黑客，有時候也只不過是一群管不住嘴的年輕人。而愿意在凌晨四點起床、在期末考試間隙追查線索的布倫戴奇，恰好抓住了攻擊者的這個弱點。

參考資料：

https://www.wsj.com/tech/kimwolf-hack-residential-proxy-networks-a712ab59?mod=article_inline

運營/排版：何晨龍