工业互联网网络安全情况通报（2026年第5期）

一、工业互联网安全监测情况

2026年5月，监测发现工业互联网网络攻击273.79万次，环比上升57.8%，共涉及802家工业企业。

从网络攻击类型方面看，以漏洞利用数量最多，共127.32万次，占网络攻击总数的46.5%，其次为网络嗅探，共78.08万次，占网络攻击总数的28.5%；命令执行数量降幅最大，共0.43万次，环比下降65.2%，非法外联数量增幅最大，共12.62万次，是上月的10.4倍。

从网络攻击来源方面看，监测发现由境外IP发起的网络攻击144.06万次，占网络攻击总量的52.6%，环比上升5.2%，共遭受来自境外124个国家的网络攻击，以新加坡、美国和英国等国家居多，其中源自新加坡的最多，发起网络攻击53.77万次，占境外网络攻击总数的37.3%。

从市州遭受网络攻击方面看，本月网络攻击次数排名前三的市州为铜仁市、遵义市和安顺市，其中铜仁市遭受网络攻击数量最多，共127.13万次，占网络攻击总数的46.4%。

二、工业互联网网络安全分析

（一）非法外联分析

2026年5月，监测发现重点工业企业非法外联12.45万次，是上月的11倍，占重点工业企业网络攻击总数的5%。对非法外联事件进行分析，通信次数最多的恶意IP为185.16.215.189，通信次数最多的恶意域名为johnhop77.ddns.net，主动外联存在网络安全风险，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2026年5月，监测发现重点工业企业木马后门攻击2.18万次，占重点工业企业网络攻击总数的0.87%，环比上升9.7%。对木马后门攻击行为分析，最活跃的木马后门威胁对象主要为xred远控木马，远控通信域名为xred.mooo.com；木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2026年5月，监测发现重点工业企业挖矿事件1491次，占重点工业企业网络攻击总数的0.06%，环比上升25.1%。对挖矿事件分析发现，通信次数较多的矿池IP为103.251.164.121。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

贵州省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2026年5月，向10家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在挖矿木马通信事件

2026年5月，平台监测发现贵州某企业IP_（58.*.*.79）遭受网络攻击感染挖矿木马，存在与IP_45.61.138.167的通信流量，从流量特征识别出登录矿池行为{"login":"F_4_16G","pass":"x","agent":"xxxxx/0.0.0(Windows NT 6.1; Win64; x64)libuv/1.31.0}，感染挖矿木马的主机为Windows操作系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在弱口令漏洞

2026年5月，工业互联网安全漏洞检测发现贵州某企业系统（www.*h*n.com）存在弱口令漏洞，易被攻击者暴力破解，非法登录后台窃取数据、篡改页面、植入木马，甚至接管整个Web系统，引发数据泄露、业务瘫痪等风险。修复建议：设置复杂度高的账号密码，开启登录失败锁定、验证码与双因素认证，定期更换口令并清理冗余账号。