工业互联网网络安全情况通报（2025年第4期）

一、工业互联网安全监测情况工业互联网网络安全情况通报

2025年4月经监测发现工业互联网网络攻击369.9万次，环比上升73.8%，共涉及770家工业企业。截至4月末，监测联网工业企业3396家，其中重点工业企业725家。

从网络攻击类型来看，主要以木马后门数量最多，共111.71万次，占网络攻击总数的30.2%；僵尸网络数量增幅最大，共111.15万次，数量大幅上升，是上月的2480倍，主要由于黔南州某企业遭受木马后门和僵尸网络病毒网络攻击次数较多；命令执行数量降幅最大，共6151次，环比下降97.8%。

从网络攻击来源来看，监测发现由境外IP发起的网络攻击101.1万次，占网络攻击总量的27.3%，共遭受来自境外105个国家的网络攻击，以美国、英国和以色列等国家居多，其中源自美国的最多，发起网络攻击57.17万次，占境外网络攻击总数的56.5%。

从地市遭受网络攻击来看，本月网络攻击次数排名前三的地市为黔南州、遵义市和安顺市，其中黔南州遭受网络攻击数量最多，共238.88万次，占网络攻击总数的64.6%。

二、工业互联网网络安全分析

（一）非法外联分析

2025年4月，监测发现重点工业企业非法外联2.58万次，占重点工业企业网络攻击总数的2.1%，环比上升11.5%。对非法外联事件进行分析，通信次数前三的恶意IP和域名为199.247.27.41、donate.ssl.xmrig.com、donate.v2.xmrig.com，主动外联存在网络安全风险，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）恶意软件分析

2025年4月，监测发现重点工业企业恶意软件通信7370次，占重点工业企业网络攻击总数的0.8%，环比下降6.7%。对恶意软件感染情况进行分析发现，通信次数最多的IP为180.141.35.55，恶意软件为Win.Trojan.NetWiredR，感染恶意软件会导致主机远程控制和数据泄露，建议安装杀毒软件检测和清除计算机系统中的恶意软件。

（三）挖矿事件分析

2025年4月，监测发现重点工业企业挖矿事件91次，占重点工业企业网络攻击总数的0.009%，环比下降74.3%对挖矿事件分析发现，通信次数较多的矿池IP为47.239.104.163。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

贵州省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2025年4月，向7家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在挖矿木马通信事件

2025年4月，平台监测发现贵州某企业IP（117.*.*.218）遭受网络攻击感染挖矿木马，存在与恶意IP 47.238.94.66的通信流量，从流量特征识别出矿池登录行为，挖矿客户端为XMRig/6.22.2-C3 (Windows NT 6.1; Win64; x64),感染挖矿程序的主机为Windows系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在僵尸网络通信事件

2025年4月，平台监测发现贵州某企业IP（58.*.*.102）遭受网络攻击感染Mirai_Fro僵尸网络病毒，存在大量与恶意远控端IP 45.125.12.175的通信流量。建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵，核查局域网中与恶意IP通信的主机，对主机进行病毒查杀。