境外恶意IP与域名持续发起网络攻击，政企单位务必做好防护

2026年6月22日，国家网络与信息安全信息通报中心发布第十九期境外恶意网址、恶意IP安全通报。通报指出，境外黑客组织依托分布在法国、德国、荷兰、柬埔寨等多国的恶意域名与IP，投放木马程序、搭建僵尸网络，持续对我国政企单位、普通互联网用户实施定向网络攻击，极易引发核心数据泄露、终端设备被远程操控、业务系统瘫痪等严重安全事件，所有联网主体需高度重视本次安全风险。本次曝光的恶意地址分为两大攻击体系：远程控制后门木马、物联网僵尸网络，两类病毒传播路径、攻击目标不同，但均具备极强破坏力，已形成规模化跨境攻击链条。

一、两类高危恶意程序详解，暗藏窃取、控机双重风险

1、远程后门木马：潜伏主机，全方位窃取机密信息
本次通报的DarkKomet、NjRAT、RemCos、Larby均属于远程访问后门木马，主要针对电脑终端入侵，传播渠道以钓鱼邮件、陌生外链、移动U盘为主。
法国DarkKomet后门可篡改系统底层配置，后台静默记录键盘、截取屏幕、调取麦克风与摄像头，长期潜伏窃取办公隐私；德国、西班牙出现的NjRAT木马功能更全面，支持远程文件上传下载、进程管控、命令执行，企业合同、财务账号、客户资料极易被批量盗取；罗马尼亚RemCos、保加利亚Larby后门同样具备密码抓取、剪贴板窃密、远程开关机能力，一旦中招，内网所有敏感信息都会暴露在黑客视野中。

2、僵尸网络病毒：侵占IoT设备，发动大规模DDoS攻击
Gafgyt、TBot、Mirai、CondiBot、Catddos等僵尸网络病毒主攻路由器、监控摄像头、工控物联网设备。病毒依靠系统漏洞、Telnet/SSH弱口令暴力破解批量入侵设备，将海量终端变为“肉鸡”组建僵尸集群。
塞尔维亚CondiBot、罗马尼亚Mirai可发起多类型TCP、UDPDDoS攻击，直接造成官网崩溃、园区监控断联；荷兰Gafgyt、丹麦TBot、柬埔寨Catddos依托公开漏洞持续扫描国内IoT设备，是近期大面积网络瘫痪事件的主要诱因。

二、官方标准排查方法，快速定位内网感染设备

针对恶意外联行为，网安部门提供三步自查流程，各单位运维人员可定期开展风险巡检：
1、日志溯源核查：调取浏览器记录、防火墙流量日志、DNS访问记录，检索是否存在通报内恶意域名、IP外联痕2、迹，留存设备编号、访问时间、源IP等取证资料；
3、流量实时监测：部署网络流量检测设备，实时捕捉内网访问境外恶意地址的异常流量，精准定位中毒终端；
4、设备勘验取证：对存在异常联网行为的设备断网隔离，深度查杀木马、排查未修复漏洞，完整留存攻击痕迹用于溯源分析。

三、多层防护处置方案，筑牢内网安全防线

1、技术防护：拦截恶意地址，修补设备安全漏洞
第一时间在防火墙、终端安全软件、威胁情报平台添加全部恶意IP与域名拦截规则，切断外联通道；及时更新电脑、摄像头、路由器系统补丁，关闭闲置远程端口，修改设备默认弱密码；核心业务定期离线备份，避免攻击后数据损毁。
2、人员管理：规范上网行为，杜绝钓鱼入侵入口
常态化开展全员网络安全培训，禁止随意打开陌生邮件附件、社交不明链接；外来存储设备接入内网前强制全盘查杀；实行网络分区隔离，财务、核心业务系统与普通办公网分开，缩小攻击暴露范围。
3、应急处置：遭遇攻击及时上报，配合网安溯源
若设备出现莫名卡顿、摄像头自动启动、后台频繁外联境外地址等异常，第一时间断开网络隔离终端，禁止传输内部涉密资料；立即向属地公安机关网安部门报备，留存病毒样本、流量日志，配合完成技术溯源，最大限度降低财产与信息损失。

四、常态化安全提醒，持续抵御跨境网络威胁

当前境外网络攻击趋于产业化、常态化，黑客依靠低成本木马、僵尸网络工具全天候扫描国内各类联网终端。无论是企事业单位运维人员，还是普通网民，都需养成定期查看官方网安预警、更新防护策略的习惯。只有同步落实技术拦截、人员管控、应急响应三重举措，才能有效抵御境外恶意IP、恶意域名带来的数据窃取、DDoS瘫痪等安全威胁，守住网络与数据安全底线。