自去年5月曝光的中国黑客组织Volt Typhoon，今年1月美国宣布破坏其建置的僵尸网络KV Botnet，但有研究人员指出，这些黑客近期又卷土重来，企图打造新的僵尸网络环境。

资安业者SecurityScorecard指出，在去年5月微软与美国政府联手，公布这些黑客自2021年开始针对美国关键基础设施（CI）的攻击行动，黑客似乎消声匿迹了一段时间，但到了去年底，这些黑客重出江湖，入侵思科及Netgear路由器，部署名为JDYFJ的僵尸网络集群，他们将C2架设在荷兰、拉脱维亚、德国，并使用加密信道来回避侦测。而该僵尸网络命名的由来，正是因为攻击者自行签章的SSL凭证，就叫做JDYFJ。

值得一提的是，黑客去年10月挟持位于太平洋的法属新喀里多尼亚当地的VPN设备，从而在亚太地区与美洲创建秘密信道，这么做的目的，就是要让僵尸网络维持活动，减少资安检测带来的影响。

到了今年初，全球执法单位对其进行围剿，破坏部分僵尸网络环境，这些黑客很快就在Digital Ocean、Quadranet、Vultr设置新的C2服务器，注册新的SSL凭证来回避相关调查。而在9月，这些黑客利用JDYFJ集群在全球暗中路由攻击流量，并强化他们的基础设施。

比起其他网络犯罪组织，Volt Typhoon最大的差异在于宛如打不死的蟑螂，而且，一旦执法单位宣布将他们的设置成功进行破坏，不仅很快卷土重来，行径也变得更加诡谲多端。

有别于其他黑客事迹败露会消失一段时间，Volt Typhoon被取缔、法办之后的手段变本加厉，因为这群黑客最近利用思科RV320、RV325路由器，以及Netgear ProSafe路由器遗留下来的弱点进行操控，将这些设备当作Operational Relay Box（ORB）网络的节点。而且，攻击者只花了37天，就入侵全球三成曝露于互联网的RV320及RV325路由器。

而这些路由器组成了隐密的传输环境，使得僵尸网络的活动更不容易被发现。研究人员特别提到，Volt Typhoon的基础设施每一层都试图将恶意行为融入正常网络活动，使得相关活动不仅难以侦测，想要清除也变得更加困难。尤其是政府机关及关键基础设施，往往仍依赖老旧、过时的技术，导致资安威胁风险加剧。