一款设计精良的新型僵尸网络家族在网络安全领域浮出水面，展现了前所未有的恶意软件设计和攻击手法创新。

Hpingbot恶意软件首次被发现于2025年6月，明显区别于传统僵尸网络架构，它巧妙利用合法的在线服务和网络测试工具，在保持隐蔽运营的同时发动分布式拒绝服务攻击（DDoS）。

与通常源自Mirai或Gafgyt等知名僵尸网络泄露源代码的恶意软件不同，hpingbot完全由Go语言从零开发，具备跨平台特性，覆盖Windows及Linux/物联网环境，且支持多种处理器架构，包括amd64、mips、arm和80386。

该恶意软件开发者展现出极高的资源整合能力，利用流行的文本分享平台Pastebin进行负载分发，并结合合法的网络诊断工具hping3发动DDoS攻击。

通过NSFOCUS全球威胁狩猎系统（Fuying Lab Global Threat Hunting System），分析师发现该僵尸网络自首次部署以来不断迭代升级。

攻击者重点瞄准德国目标，美国和土耳其也遭受相关攻击。

该僵尸网络的特别之处在于其双重用途设计：除能发动多种DDoS攻击外，核心价值还在于其能够下载并执行任意负载，使其成为更危险恶意软件（如勒索软件或高级持续性威胁组件）的潜在分发平台。

hpingbot支持超过十种不同的DDoS攻击方式，包括ACK FLOOD、TCP FLOOD、SYN FLOOD、UDP FLOOD以及复杂的混合攻击模式。监测数据显示，自2025年6月17日起，攻击者已下发数百条DDoS指令，但僵尸网络在攻击间歇期大多保持休眠状态，显示出其具有战略性运营规划，而非持续攻击。

基于Pastebin的负载投放机制

hpingbot最具创新性的部分在于其精巧的负载投放系统，该系统利用了Pastebin这一合法平台的基础设施。恶意软件在其二进制文件中硬编码了4个Pastebin URL，形成动态指挥控制（C2）机制，有效绕过传统C2检测手段。

这种设计使攻击者能够无需通过常规渠道直接与被感染主机通信，即可远程更新指令、分发新负载及调整攻击参数。

负载投放流程始于hpingbot访问其嵌入的Pastebin链接以获取最新指令。

这些链接的内容频繁变化，涵盖从简单IP地址到包含下载额外恶意组件的复杂Shell脚本。

恶意软件内置专用的UPDATE模块处理这些Pastebin上的指令，允许攻击者远程推送新功能或完全替换现有组件。

此系统反映出攻击者高度的运营安全意识，使其能迅速调整基础设施，同时通过Pastebin平台保持对被控系统的持续访问。