專項行動期間，某天各大(dà)藍隊群内都在交流最近是否收到(dào)很(hěn)多來(lái)自(zì)印度的攻擊流量，最初部分認爲是紅(hóng)隊在使用(yòng)印度IP進行攻擊。但(dàn)很(hěn)快(kuài)發現(xiàn)事(shì)情好(hǎo)像并不是這(zhè)麽簡單，通過對(duì)攻擊Payload特征的分析，發現(xiàn)該攻擊不是專項行動紅(hóng)隊所發起，而是來(lái)自(zì)一個正在迅速擴張的僵屍網絡——Mozi（墨子）僵屍網絡。

Mozi僵屍網絡是于2019年底首次出現(xiàn)在針對(duì)路由器和(hé)DVR 的攻擊場景上(shàng)的一種P2P僵屍網絡。主要攻擊物聯網（IoT）設備，包括網件、D-Link和(hé)華爲等路由設備。它本質上(shàng)是Mirai的變種，但(dàn)也(yě)包含Gafgyt和(hé)IoT Reaper的部分代碼，用(yòng)于進行DDoS攻擊、數據竊取、垃圾郵件發送以及惡意命令執行和(hé)傳播。目前其規模已經迅速擴大(dà)，據統計(jì)目前已占到(dào)所有物聯網（IoT）僵屍網絡流量的90％ 。

近日知(zhī)道(dào)創宇404積極防禦實驗室通過知(zhī)道(dào)創宇雲防禦安全大(dà)數據平台監測到(dào)大(dà)量來(lái)自(zì)印度IP的攻擊。經分析，其中大(dà)量的攻擊來(lái)自(zì)Mozi僵屍網絡，可能(néng)和(hé)近期印度Mozi僵屍網絡大(dà)範圍感染并傳播有關。