工业互联网网络安全情况通报（2025年第5期）

一、工业互联网安全监测情况

2025年5月经监测发现工业互联网网络攻击184.53万次，环比下降50.1%，共涉及611家工业企业。截至5月末，监测联网工业企业3396家，其中重点工业企业725家。

从网络攻击类型方面看，主要以网络嗅探数量最多，共125.37万次，占网络攻击总数的67.9%；渗透提权数量增幅最大，共6290次，环比上升381.3%；僵尸网络数量降幅最大，环比下降99.9%。

从网络攻击来源方面看，监测发现由境外IP发起的网络攻击144.09万次，占网络攻击总量的78.1%，共遭受来自境外113个国家的网络攻击，以美国、英国和以色列等国家居多，其中源自美国的最多，发起网络攻击87.49万次，占境外网络攻击总数的60.7%。

从地市遭受网络攻击方面看，本月网络攻击次数排名前三的地市为遵义市、六盘水市和安顺市，其中遵义市遭受网络攻击数量最多，共98.91万次，占网络攻击总数的53.6%。

二、工业互联网网络安全分析

（一）非法外联分析

2025年5月，监测发现重点工业企业非法外联2.64万次，占重点工业企业网络攻击总数的1.8%，环比上升2.3%。对非法外联事件进行分析，通信次数前三的恶意IP、域名为178.128.242.134、199.247.27.41和donate.ssl.xmrig.com，主动外联存在网络安全风险，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2025年5月，监测发现重点工业企业木马后门攻击1.81万次，占重点工业企业网络攻击总数的1.2%，环比上升18.4%。对木马后门攻击行为分析，最活跃的木马后门威胁对象主要为xred远控木马，远控通信域名为xred.mooo.com；木马后门危害较大，工业企业应高度重视，及时对内网主机进行病毒查杀，积极整改处置。

（三）挖矿事件分析

2025年5月，监测发现重点工业企业挖矿事件320次，占重点工业企业网络攻击总数的0.02%，环比上升251.7%。对挖矿事件分析发现，通信次数较多的矿池IP为185.156.72.39。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

贵州省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2025年5月，向6家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下。

案例1：贵州某企业存在挖矿木马通信事件

2025年5月，平台监测发现贵州某企业IP（111.*.*.50）遭受网络攻击感染挖矿木马，存在与恶意IP 185.156.72.39的通信流量，从流量特征识别出矿池登录行为，挖矿客户端为XMRig/6.21.3 (Windows NT 10.0; Win64; x64),感染挖矿程序的主机为Windows系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在弱口令漏洞

2025年5月，工业互联网安全漏洞检测发现贵州某企业IP（117.*.*.75）端口为8180的生产管理系统存在弱口令漏洞，可直接登录系统查看、下载数据、更改系统配置，存在数据泄露、恶意操控系统的风险，建议企业立即进行账户审计，排查所有账户口令，设置数字、大小写字母和特殊字符组合的复杂度高的口令。