年薪50万还不够？3名大厂员工兼职做黑产被抓|飞牛 fnOS 漏洞被批量利用

关键词

违法犯罪

近日，浙江温州苍南县警方在“净网2025”专项行动中侦破一起破坏计算机信息系统案，打掉一条“收机—破解—销赃”的完整黑色产业链，17名嫌疑人落网。其中3名核心技术人员均为研究生学历，任职知名互联网大厂，年薪超过50万元，却利用业余时间参与破解租赁监管手机，一年多非法获利超1000万元。

这不是简单的“技术外包”，而是一次典型的技术能力误入黑产场景的案例。

一条完整的技术黑产链条

案件起源于警方巡查发现，二手平台出现大量低价收购iPhone监管手机、协助破解租赁监管系统的违规信息。进一步核查发现，多家数码租赁企业的设备频繁“失联”，后台定位失效。

经查，这些手机被破解监管系统后转卖。警方锁定以陈某为首的团伙，其内部组织分工清晰：

负责收购“撸机”设备的人专门对接来源；
核心技术人员负责破解监管系统；
另有人员负责销赃与分账；
上游甚至还有破解程序的源头开发者。

一年多时间内累计破解7000余台设备，违法所得超1000万元。

从技术角度看，这并非简单刷机。租赁监管机通常会部署远程管理、定位锁定、设备绑定等功能。要破解此类系统，往往涉及：

• 绕过设备激活或远程管理绑定

• 修改或替换系统组件

• 关闭或欺骗后台通信

• 阻断监管平台定位与控制指令

这类行为本质上属于非法侵入、控制计算机信息系统或破坏其功能完整性。

高知群体参与黑产，并不罕见

案件中最具冲击力的，是3名核心技术人员身份背景。他们均为研究生学历，具备成熟IT能力，在上海、杭州等地大厂工作。

从警方披露信息看，他们并非主谋，而是被拉入局的“技术合伙人”。作案动机也并非生活所迫，而是“想多赚点钱改善生活”。

这类案例在网络安全领域并不新鲜。高技术人才参与黑灰产，往往具备以下特点：

一是具备漏洞利用、逆向分析、协议破解能力；
二是熟悉企业系统结构，能快速找到突破口；
三是反侦查意识强，懂日志清除与痕迹隐藏；
四是对法律风险判断失真，低估刑事后果。

本案中，警方凭借完整证据链，在“零口供”情况下完成刑拘，也说明：技术能力并不能对抗法治能力。

数码租赁行业为何成目标

数码租赁行业近年来增长迅速，“信用租赁”“先用后付”等模式降低了用户门槛，但也带来风险。

租赁设备的核心保障在于监管锁。一旦监管系统被破解，企业不仅失去设备控制权，还会遭遇批量资产流失。对于黑产来说：

一台设备破解成本有限；
二手市场销赃渠道成熟；
技术一旦形成模块化，可规模复制；
利润远高于传统灰产模式。

这也是为什么警方将本案定性为全省首例同类案件，并强调其“企业化运作”。

法律边界非常清晰

不少技术人员容易陷入一个误区：认为“只是修改设备”“只是绕过限制”，不涉及数据破坏或勒索，就不会构成严重犯罪。

但在法律层面，只要行为涉及：

• 非法侵入计算机信息系统

• 删除、修改、增加系统功能

• 破坏系统正常运行

• 提供专门用于侵入、控制的程序或工具

就可能构成破坏计算机信息系统罪或提供侵入工具罪。

尤其是规模化、营利性、链条化运作，量刑往往更重。

对技术人的警示

这个案件最值得反思的，不是“赚了多少钱”，而是职业路径的断裂。

高薪、体面岗位、稳定发展，本应是技术人最稳妥的长期价值积累。但一旦进入黑产链条，技术能力从加分项变成量刑加重因素。

在网络安全行业，我们常说一句话：技术是中性的，但用途不是。

破解能力可以用于漏洞挖掘与加固，也可以用于绕过监管系统；逆向能力可以用于安全研究，也可以用于开发黑灰产工具。区别只在于选择。

警方在通报中提醒，数码租赁监管锁受法律保护，非法破解、销售涉案设备涉嫌犯罪。案件目前已移送检察机关审查起诉。

从行业角度看，这起案件释放了一个非常明确的信号：针对新兴行业的涉网犯罪，执法机关已经具备跨区域、全链条打击能力。高知、高薪背景不会成为免责理由。

对每一个技术从业者来说，真正的安全边界，不在代码里，而在法律与职业底线里。

关键词

网络攻击

2026 年 2 月，运行飞牛私有云系统 fnOS 的 NAS 设备被大规模卷入 Netdragon 僵尸网络。攻击者利用长期未彻底封堵的越权访问、路径穿越与验证绕过漏洞，将原本用于家庭和中小企业数据存储的设备，转化为分布式拒绝服务攻击的基础设施。从样本分析与 C2 侧遥测数据来看，感染规模在 1 月底已扩展至约 1500 台节点，峰值同时在线超过 1100 台，且感染对象高度集中于飞牛设备，未见其他厂商大规模波及。这起事件的严重性不仅在于漏洞本身，更在于恶意程序所展现出的成熟持久化与对抗能力。

攻击链条的第一步，是在公网暴露的设备上建立 HTTP 后门。早期样本监听 57132 端口，通过对 /api 路径构造特定 GET 请求即可远程执行系统命令。研究人员通过该后门的流量指纹与资产测绘数据比对，确认大量 IP 存在一致行为特征。后续变种则将后门端口迁移至 57199，并更新 C2 基础设施，以规避已有检测规则。

在成功植入后，Netdragon 首先进行“环境清洗”。加载器会批量删除 /var/log/*.log、/var/log/messages*、/var/log/audit/audit.log* 以及 systemd 日志，抹除入侵和横向行为痕迹。同时篡改 /etc/hosts，将官方更新域名如 apiv2-liveupdate.fnnas.com 指向 0.0.0.0，切断固件更新与安全补丁通道。它还会终止 sysrestore_service、backup_service 等恢复相关服务，并删除升级与还原组件，使在线修复与回滚几乎失效。

持久化机制体现出明显的双层设计。用户态层面，恶意程序向 system_startup.sh 追加启动命令，从攻击者控制的 IP 下载并执行二阶段载荷，在 /sbin/gots、/usr/bin/<botid> 等路径下部署副本，并注册 systemd 服务实现自启动。内核态层面，则加载伪装模块（例如 async_memcpys.ko），形成重启后依旧存活的内核级落脚点。后续版本还新增伪装为 /etc/systemd/system/dockers.service 的服务，用于刷新持久化与对抗清理脚本。

样本内部采用硬编码密钥与 nonce 解密字符串表，其中包含 “PWNED FROM NETDRAG” 标记、C2 域名如 aura.kabot[.]icu 以及一系列系统路径。通信层使用自定义二进制协议，支持登录、心跳、命令执行与 DDoS 指令等多种帧类型。会话密钥通过分层 XOR 与 ChaCha20 保护，分别使用不同 nonce 处理双向流量，并在握手阶段完成身份校验。C2 地址随机选择，常见于 45.95.. 网段或相关域名，端口包括 3489、5098、6608、7489 等。

在接收到 DDoS 指令后，Bot 进程会进一步压制本地可观测性，例如重命名 /usr/bin/cat，终止 network_service 与 resmon_service 等监控组件，使管理员难以及时察觉异常流量。遥测数据显示，攻击指令可通过 Telegram Bot 与 HTTP API 下发，目标覆盖中国、美国、新加坡、澳大利亚等多个国家的 IT 服务、制造业及公共管理机构。

随着防御方发布检测规则与清理脚本，攻击者迅速迭代。1 月 31 日的新构建版本会自动删除标记为 “C2IP” 的 iptables 与 nftables 规则，恢复与控制端的外联能力；DDoS 模块采用 ChaCha20 加密字符串与配置；并引入动态 8 字节密钥封装机制，提升静态分析难度。2 月 1 日，C2 下发指令要求所有 Bot 删除 rsa_private_key.pem 文件，这一行为可能破坏设备加密服务或恢复机制，显著增加数据丢失风险。

部分受害用户反馈，感染设备无法完成固件升级或运行官方安全工具，长期处于“半失控”状态并持续参与僵尸网络。结合漏洞存在时间、感染规模与对抗强度来看，这已不再是单点入侵，而是一次典型的物联网基础设施劫持事件。

从厂商层面来看，飞牛在 2 月 12 日发布了《近期安全事件的完整说明与深刻反思》，承认漏洞属于基础安全缺陷，并披露了修复版本发布、关闭未升级设备中转服务、强化默认配置、引入 SDL 流程与定期审计等整改措施。声明中强调“先修复、后通告”的决策是出于风险控制考虑，同时表示将建立漏洞分级响应与高危漏洞 24 小时内通告机制。

但从安全治理角度审视，本次事件暴露出的问题不只是某几个漏洞，而是安全基建与响应机制的系统性缺失。漏洞在较早版本中已存在，论坛亦曾出现相关反馈，却未被识别为高风险问题；攻击发生后，用户在一段时间内未获得充分预警；感染规模、数据外泄情况与溯源细节仍缺乏透明数据支撑。对于存储大量私密数据的 NAS 产品而言，安全能力应当优先于功能迭代，这是基本共识。

我们的态度很明确：一方面，应客观看待厂商在事件发生后的修复与整改动作，推动其落实公开承诺；另一方面，也必须坚持透明、可验证的安全披露原则。感染规模、数据外传评估、攻击溯源进展以及长期审计结果，都应以技术报告形式持续公开，而非止步于公关层面的反思。

只有建立清晰的漏洞分级、强制代码审计、默认最小暴露策略以及离线应急修复能力，类似事件才可能真正画上句号。否则，随着攻击工具链不断演化，Netdragon 这样的僵尸网络仍会把每一台疏于防护的设备，变成下一个攻击节点。

文章来源 ：安全圈