安全研究人員稱，他們觀察到了他們認為是臭名昭著的Mozi 殭屍網路被摧毀的情況，該網路滲透了全球超過一百萬台物聯網設備。網路安全公司ESET 的研究人員在本週二分享的研究報告中稱，他們在對Mozi 殭屍網路的調查過程中目睹了Mozi 的「突然消亡」。

Mozi 是一個點對點物聯網殭屍網絡，利用弱telnet 密碼和已知漏洞劫持家用路由器和數位錄影機。該殭屍網路由360 Netlab 於2019 年首次發現，它利用大量這些被劫持的裝置發動DDoS 攻擊、執行有效載荷和資料外滲。自2019 年以來，Mozi 已​​感染了150 多萬台設備，其中大部分——至少83 萬台設備來自中國。

微軟在2021 年8 月警告說，Mozi 透過調整其持久性機制，已經發展到可以在Netgear、華為和中興生產的網路網關上實現持久性存在，同月，360 Netlab 宣布已協助中國執法部門逮捕Mozi 的作者。

ESET 在這些逮捕行動前一個月啟動了對Mozi 的調查，並表示今年8 月發現Mozi 的活動急劇下降。

ESET高級惡意軟體研究員 Ivan Bešina表示，在此之前，該公司每天在全球監測約1,200台獨立設備。Bešina 說：”我們在今年上半年看到了20 萬台獨立設備，在2023 年7 月看到了4 萬台獨立設備。」下降之後，我們的監測工具每天只能探測到約100 台獨立設備。”

這種下降首先出現在印度，其次是中國–這兩個國家的受感染設備加起來佔全球受感染設備總數的90%，她還補充說，俄羅斯是受感染第三多的國家，其次是泰國和韓國。

據ESET稱，活動下滑的原因是Mozi Bots（受Mozi惡意軟體感染的設備）的一次更新剝奪了它們的功能，ESET說它能夠識別和分析導致Mozi消亡的開關。這個開關停止並替換了Mozi惡意軟體，禁用了一些系統服務，執行了某些路由器和裝置配置命令，並禁止了對各種連接埠的存取。

ESET 稱，其對防毒開關的分析表明，殭屍網路的原始原始碼與最近使用的二進位檔案之間存在很強的聯繫，這表明這是一次”經過深思熟慮的清除行動”。研究人員說，這表明這次清除行動很可能是由最初的”Mozi”殭屍網路創建者或中國執法部門實施的，他們可能會爭取或迫使殭屍網路營運商合作。

“最大的證據是，這個致命開關更新是用正確的私鑰簽署的。沒有這個，受感染的設備就不會接受並應用這個更新，”Bešina表示。”據我們所知，只有最初的Mozi 操作員才能獲得這個私人簽名密鑰。唯一可以合理獲取這個私人簽名密鑰的其他方是在2021 年7 月抓獲Mozi 操作員的中國執法機構。”

Bešina補充說，ESET對惡意軟體更新的程式碼分析表明，它一定是由相同的基礎原始碼編譯而成的，只是原始Mozi的’精簡版’。

Mozi是在聯邦調查局攻陷並摧毀臭名昭著的Qakbot殭屍網絡數週後被攻陷的，Qakbot殭屍網絡是一個銀行木馬，因其在受害者的網絡上為其他黑客提供初始立足點以購買訪問權並發布自己的惡意軟體而臭名昭著。