工业互联网网络安全情况通报（2025年第9期）

一、工业互联网安全监测情况

2025年9月经监测发现工业互联网网络攻击301.03万次，环比上升37.7%，共涉及1073家工业企业。截至9月末，监测发现联网工业企业4109家，其中重点工业企业1645家。

从网络攻击类型方面看，主要以网络嗅探数量最多，共117.75万次，占网络攻击总数的39.1%；木马后门数量降幅最大，共7.74万次，环比下降29.8%；漏洞利用数量增幅最大，共115.45万次，环比上升199.9%。

从网络攻击来源方面看，监测发现由境外IP发起的网络攻击183.86万次，占网络攻击总量的61.1%，共遭受来自境外124个国家的网络攻击，以美国、新加坡和英国等国家居多，其中源自美国的最多，发起网络攻击85.13万次，占境外网络攻击总数的46.3%。

从市州遭受网络攻击方面看，本月网络攻击次数排名前三的市州为遵义市、铜仁市和六盘水市，其中遵义市遭受网络攻击数量最多，共89.07万次，占网络攻击总数的29.6%。

二、工业互联网网络安全分析

（一）木马后门分析

2025年9月，监测发现重点工业企业木马后门攻击4.57万次，占重点工业企业网络攻击总数的1.7%，环比上升135.6%。对木马后门攻击行为分析，最活跃的木马后门威胁对象主要为Imwee远控木马，远控通信域名为johnhop77.ddns.net；木马后门危害较大，工业企业应高度重视，及时对内网主机进行病毒查杀，积极整改处置。

（二）非法外联分析

2025年9月，监测发现重点工业企业非法外联2万次，占重点工业企业网络攻击总数的0.7%，环比上升39.9%。对非法外联事件进行分析，通信次数最多的恶意IP为206.238.221.65，通信次数最多的恶意域名为webmine.cz，主动外联存在网络安全风险，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（三）挖矿事件分析

2025年9月，监测发现重点工业企业挖矿事件1810次，占重点工业企业网络攻击总数的0.07%，环比上升318%。对挖矿事件分析发现，通信次数较多的矿池IP为199.247.27.41。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

贵州省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2025年9月，向11家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在挖矿木马通信事件

2025年9月，平台监测发现贵州某企业IP（58.*.*.106）遭受网络攻击感染挖矿木马，存在与恶意IP_ 139.59.2.141的通信流量，从流量特征识别出登录矿池行为{"login":"Rinho.288000","pass":"NewHeaven","agent":"XMRig/6.20.0 (Linux x86_64) libuv/1.44.2 }，分析出感染挖矿木马的主机为Linux操作系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在FTP匿名漏洞

2025年9月，工业互联网安全漏洞检测发现贵州某企业IP（111.**.10）存在FTP匿名访问漏洞，FTP 服务启用了匿名登录功能，恶意用户可能上传木马、后门程序或篡改合法文件，进而控制服务器或传播恶意代码‌，从而获取系统权限，并可能造成数据泄露，建议企业立即在IIS管理器中禁用“匿名身份验证”功能，仅允许授权用户访问，并通过防火墙限制FTP端口（默认21）的访问IP范围，仅允许可信网络连接‌。