感谢北京神州绿盟科技有限公司在本报告的样本分析工作中做出的重要贡献。

　　一、概述

　　近期，CNCERT监测到一个新型僵尸网络正在互联网上大范围传播，该僵尸网络自2025年12月下旬起开始活跃。该家族在通信协议、数据存储及反追踪机制上均展现出高度的复杂性和规避性，其核心特征为广泛使用基于RC4、ChaCha20及TEA算法变种的深度定制加密方案。据此，我们将其命名为RCtea僵尸网络。

　　分析表明，该家族目前正处于快速传播与能力构建阶段，具备极强的对抗与反检测反追踪意识，已具备成熟的DDoS攻击能力，且主要针对物联网（IoT）设备。现将其主要情况分析披露如下。

　　二、僵尸网络分析

　　（一）主要传播方式与目标

　　RCtea家族目前的传播活动具有明确的针对性。在目标设备方面，已发现的传播样本均针对ARM和MIPS架构的系统进行编译，这清晰地表明其当前主要攻击目标是路由器、摄像头等各类物联网设备，尚未发现面向传统Linux服务器或主机的样本。

　　在传播手段上，该家族主要依赖Telnet暴力破解进行对外扩散。木马在成功入侵一台设备后，会主动对外发起扫描，并尝试使用内置的常见弱口令列表进行破解，从而感染更多的在线设备，实现僵尸网络规模的快速扩张。

　　（二）核心检测与对抗手段

　　攻击者为规避安全检测与追踪，采用了多层精心设计的技术手段。

　　 图 1 RCtea对抗手段