一般而言，殭尸网路攻击主要锁定的标的，大多是缺乏资安防护与相关管理的物联网设备，例如：SOHO或家用路由器、NAS、网路摄影机，利用资安漏洞渗透设备。然而近期有一起攻击行动相当不寻常，骇客锁定的标的竟是一套资安系统。

资安业者Akamai揭露专门针对开源资安监控平台Wazuh的攻击行动，有两个殭尸网路Mirai变种自3月下旬锁定已知的重大层级漏洞CVE-2025-24016而来，入侵并控制Wazuh服务器。而对于这些殭尸网路的来历，一个是专门针对物联网装置的LZRD（也称做Morte），另一个是使用义大利语的人士经营的Resbot（Resentual）。

Wazuh是开源的安全资讯与事件管理（SIEM）、XDR平台，专门用来协助企业组织入侵侦测、事件记录分析、漏洞管理、合规监控，由于其开源的特性，拥有广泛的使用者社群，并在中小企业、教育机构、政府机关受到欢迎，也是资安研究人员常会用于打造客製化SIEM的平台，今年台湾资安大会有讲者恰巧以Wazuh为题发表演讲，向资安社群介绍这套开放原始码资安平台。此资安平台号称已保护超过10万个企业组织、1,500万台端点，每年被下载逾3千万次，其开源专案并在GitHub获得超过1.2万颗星，足见其受到欢迎的程度。

而这次骇客利用的资安漏洞CVE-2025-24016，Wazuh于今年2月公告及修补，此漏洞存在于DistributedAPI元件，属于不安全的反序列化处理弱点，一旦攻击者透过API存取Wazuh服务器，就有机会注入恶意JSON酬载，并远端执行任何Python程序码，影响4.4.0至4.9.0版Wazuh，CVSS风险达到9.9（满分10分），Wazuh发布4.9.1版修补漏洞。

有别于其他针对物联网装置的殭尸网路攻击，由于Wazuh服务器本身能汇集可找出资安事件的各式记录，一旦骇客成功控制这类服务器，不光能运用服务器的能力从事DDoS攻击、挖矿、散布恶意软件，我们推测，或许也将进一步挖掘或窜改存放于该平台的资料，掌握企业的网路环境，并发展其他型态的攻击行动。

这些殭尸网路不约而同盯上Wazuh重大漏洞并用于攻击，突显可能已有不少这类系统直接曝露在网际网路，以及未及时套用新版软件的现象，使得攻击者有机可乘，得以利用漏洞来入侵这类资安平台。