“警惕不知不觉之间当了间谍的刀!”5月20日,国家安全部突然披露了一起离奇案件:不少家庭和企业最近频繁遇到网速骤降、路由器莫名掉线,甚至管理后台怎么都登不上去。一开始大家都以为是运营商的问题,直到官方顺藤摸瓜,才发现背后竟藏着一只看不见的手:“路由器!” 这次披露讲得很具体:境外情报机关先把国内一些路由器变成“跳板”,再去做精准投送。 邮件内容做得特别像真的,什么评审邀请、违章催缴、内部通知,点进去就是高仿登录页。 更阴的是,页面会提示你密码不对,让你再输一遍,等于把最准确的账号口令当场“复写”给对方。 拿到邮箱权限后,对方按时上线翻邮件,重要信息就这样被一点点掏空。 被盯上的人往往毫无察觉,体感只剩三件事:网速慢、掉线多、路由器自己重启。 很多人顺手就把锅甩给运营商,电话一打,工单一建,家里人还在吐槽“这网真不行”。 线索真正指向路由器时,才发现共性也很扎实:设备年头久,固件常年不更;密码随手设个弱口令,甚至沿用默认;远程管理开着图省事,等于把自家大门钥匙挂在门外。 这个热点最让人后背发凉的地方不在“高科技”,在“太日常”。 路由器这玩意儿在家里像电饭煲,装上就不管了。 网慢了,大家会重启;灯闪了,大家会拔电;真正该看的后台日志、DNS设置、远程入口,几乎没人碰。 攻击者就爱这种“懒得管”的设备,成本低、数量大、隐蔽性强,用来发钓鱼、做代理、藏指令,省心又耐用。 更现实的一层是,路由器被控以后,倒霉的往往不止你自己。 你家的公网IP成了对方的外衣,对外发出去的钓鱼邮件、探测流量、异常访问,看起来都像从你家发出。 朋友同事收到邮件时,看到来源像国内地址,警惕性就容易放松。 等到溯源,线索又会回指到你的网络环境,你还要解释半天“我什么都没干”。这就叫稀里糊涂成了别人的工具,自己还背了锅。 往后看,这类事只会更多,不会更少。 国家互联网应急中心在今年2月提到过一个新僵尸网络RCtea,从2025年12月下旬就开始活跃,专挑路由器、摄像头这类物联网设备下手,常用手法就是Telnet暴力破解加弱口令字典。 它在2026年1月20日到25日这6天里,国内确认感染设备到了9827台,单日活跃最高4870台,控制端访问量单日最高27.8万次。 很多人听到这组数字会以为离自己很远,实际更像一张“顺手就能捞一把”的大网,你不更新固件、不改密码,迟早会被扫到。 安全圈还有个趋势挺直白:2026年3月,Forescout的报告把路由器推到了“风险最高的IT设备”位置,路由器和交换机平均每台能挖出三十多个漏洞左右。 攻击面还在变大,今年新增一堆危险设备类型,很多去年压根不在榜单里。 勒索软件团伙也开始借路由器、摄像头当踏板,从IT网络一路跳到工控、医疗这类更敏感的场景。 你以为路由器只管上网,它在很多单位里其实夹在办公系统和核心业务之间,位置太关键了。 再说个大家更容易对号入座的细节:网速慢经常不只是带宽问题,很多时候是DNS被人动过手脚。 路由器一旦被登录,攻击者改个DNS地址就能把你访问正常网站的请求带去别的地方,页面还能做得像真的,账号密码就这样被“顺路收走”。 有几个案例很能说明问题,广州王女士那种默认密码“admin123”的用法太典型了,黑客登后台,开端口转发,内网设备就跟着遭殃。 还有研究发现某国内品牌一口气89款路由器存在后门,被人用来改DNS,这种属于“买回家就埋雷”,用户再小心也扛不住。 放到国际上,APT28那类组织在2025年5月到12月也搞过大规模入侵路由器的行动,峰值牵扯到1.8万个独立IP、覆盖120多个国家,核心目的也很直接:偷邮箱凭证和认证令牌。 我更想提醒的一点是,公众意识跟不上现实节奏。 2025年11月官方就曝光过类似套路,间谍控制路由器、摄像头后去扫描其他设备,还能自动搜集图片、文档、PDF等多种文件类型。 攻击者就抓住这个空档,把家用路由器当成永久免费云主机。 这件事聊到这里,结论其实很朴素:路由器安全已经不算技术活,更像家庭卫生习惯。 家里如果还在用停更的老型号,管理密码还像“123456”“admin”,远程管理还开着,风险就像厨房里一直没关的煤气阀,平时看不见火,出事就是一串连锁反应。 单位里更要把路由器当资产管理,定期盘点、升级固件、关掉不必要的服务,把邮箱、多因素认证、登录提醒做起来,别把关键账号交给一台“没人管的盒子”。 你家路由器用了几年?后台密码改过没?远程管理开着没?DNS用的是什么?评论区聊聊你遇到过的怪事,网速变慢、频繁掉线、网页跳转这些细节都算线索,也许能帮更多人少走弯路。
