文章总结： 暗网威胁行为者miyako集中兜售针对全球多国及中国企业的防火墙Root级访问权限，涉及金融等行业。此类初始访问经纪行为直指网络边界设备，风险极高。建议组织排查管理接口暴露、弱口令及固件更新情况，并持续监控暗网威胁情报以提前发现风险。 综合评分： 92 文章分类： 威胁情报,网络安全

防火墙ROOT权限集中兜售：又见高人暗网批量发帖

原创

网空闲话 网空闲话

网空闲话plus

2026年2月4日 07:57 北京

2026年2月4日，监测暗网论坛BF发现，在短时间内连续记录到多条由同一威胁行为者miyako（宫古） 发布的初始访问权限售卖帖子。根据公开信息，该行为者在数小时内集中发布了7条帖子，目标涵盖美国、乌克兰以及亚洲和欧洲地区的多个行业组织，其中两个为中国企业。这是其在2026年1月14日首次发布类似内容后，迄今为止最为密集、规模最大的一次集中兜售行为。

事件概述：短时间内集中“上架”的7条访问权限

从时间线看，miyako的帖子集中发布于 2月4日凌晨2:59至上午4:51（UTC+8显示），涉及目标包括：

美国：3个；一所大学的软件套件（SaaS）环境；一家电子设备制造公司；一家年收入超过50亿美元的银行机构（单独标价300美元）。

乌克兰：1个；一家会计与金融服务机构（被标注为“高严重度”）。

亚洲与其他地区：3个；一家“亚洲最大房地产开发商”（未披露具体国家）。另有两个，一个金融机构，一个珠宝公司。

尽管受害组织名称均被刻意隐藏，但帖子在国家、行业层面提供了相对明确的指向，显示其目标并非随机个人系统，而是具有一定规模的机构级网络环境。

权限内容高度一致：直指网络边界设备

7条帖子在技术描述上呈现出极高一致性，几乎采用同一模板，核心要素包括：

访问对象：基于Linux的防火墙或网络边界设备

权限级别：Root级远程代码执行（RCE）

功能范围：Shell访问；完整的网络管理员（Network Admin Panel）控制权限

这些描述表明，miyako出售的并非普通账号或单一系统访问，而是对网络核心边界节点的完全控制权。在企业网络架构中，此类设备通常具备以下能力：

管控内外部网络通信

承载访问控制与安全策略

作为内网横向移动的关键跳板

一旦被恶意控制，其风险等级远高于单台服务器或终端失陷。

行为模式分析：典型“初始访问经纪人”特征

从操作方式判断，miyako的行为更接近于初始访问经纪人（Initial Access Broker, IAB），而非直接实施后续攻击的威胁团伙，具体体现在：

只出售入口，不宣称数据窃取或破坏行为

帖子统一归类为“初始访问”，未涉及勒索或勒索金额

标价相对固定，多数在200–300美元区间

明确面向“买家”，而非制造舆论影响

这种模式反映出暗网攻击生态中日益成熟的分工机制：一方专注于获取并维护高价值访问权限，另一方则负责后续的勒索、间谍或破坏性活动。

为何集中抛售？时间节点值得关注

与其1月中旬零散发布不同，miyako在2月4日选择一次性集中发布多条帖子，这一行为在初始访问交易中并不常见，可能反映出：

同一时期内获取或整合了多处防火墙访问权限

访问权限存在“时效性”，需要尽快变现

或担心账号、渠道被封禁而选择快速出清

无论具体动因如何，这种集中抛售本身即意味着网络边界设备在多个地区同时暴露，而非孤立的配置失误。

风险评估：低价不代表低影响

尽管单条访问权限售价仅数百美元，但从攻击链角度看，其潜在风险极高。防火墙级别的控制权可能被用于：

长期潜伏的内部网络监控

为勒索软件团伙提供稳定入口

绕过传统终端安全防护机制

支撑多阶段、高隐蔽性的攻击行动

在多个已知重大网络事件中，初始访问往往正是通过类似方式被“悄然出售”。

防御启示：重新审视网络边界安全

miyako事件再次暴露出一个现实问题：防火墙并不天然安全。组织在防御层面应重点关注：

防火墙管理接口是否暴露于公网

是否存在弱口令、默认凭据或单因素认证

固件与第三方组件是否长期未更新

管理面板操作是否具备完整审计与告警机制

同时，将暗网初始访问交易情报纳入日常威胁情报分析，也有助于更早识别潜在风险。

结语

此次miyako集中兜售防火墙访问权限事件，并非单一攻击者的偶发行为，而是当前暗网初始访问市场活跃化、规模化的一个缩影。当网络边界设备被频繁作为“商品”流通时，这本身已构成一项值得高度警惕的安全信号。

拓展阅读

知名黑客“miyako”批量兜售全球十家机构防火墙访问权限：疑FortiWeb零日漏洞余波显现

知名黑客组织Miyako高调回归，出手六帖，拟重回访问权限售卖之巅

参考资源：BF论坛

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《防火墙ROOT权限集中兜售：又见高人暗网批量发帖》