工信部：关于防范GhostPenguin恶意软件的风险提示

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，一种针对Linux服务器的新型恶意软件GhostPenguin持续活跃，可导致Linux服务器被远程控制并引发数据泄露等严重风险。

GhostPenguin是一个使用C++开发的多线程Linux后门恶意软件。该后门执行时先完成环境自检与初始化，通过调用系统函数（getpwuid()和readlink("/proc/self/exe")）获取用户主目录及自身路径，并从指定临时锁文件加载PID值后，利用kill(pid,0)系统调用验证对应进程的活跃状态，实现进程互斥以避免多实例冲突。在通信层面，GhostPenguin采用UDP协议，通过53端口伪装成DNS流量与C2服务器建立信道，首先发送未加密UDP包向C2服务器请求16字节会话密钥，该密钥将作为RC5对称加密算法的密钥对后续通信加密。此外，GhostPenguin核心功能仅在收到C2服务器的“SetStatusActive”（设置状态为活跃）数据包后才会被激活，大幅提升检测难度。一旦核心功能被激活，GhostPenguin可通过多线程处理含远程Shell、文件系统操作等在内的约40种指令，攻击者借此可远程控制受感染设备，窃取敏感数据、破坏系统完整性，严重威胁系统安全可用性及网络环境安全。

建议相关单位及用户加强监测，排查临时锁文件与异常PID验证操作；及时修补Linux系统及应用漏洞，封堵潜在入侵途径；加强账号权限管控，禁用弱密码与违规登录行为；部署终端检测工具扫描匹配GhostPenguin特征的恶意代码；关闭UDP53等非必要端口或设置ip地址白名单，拦截异常加密通信流量等方式防范攻击风险。

工信部：关于防范GhostPenguin恶意软件的风险提示

真实案例：苹果手机间谍软件“捕食者”攻击全过程

安卓手机间谍软件正利用生成式AI进入一个新阶段

CNCERT：关于RCtea僵尸网络大范围传播的风险提示