文章总结： CSTIS发布预警指出新型Linux恶意软件GhostPenguin持续活跃。该后门使用C++开发，利用UDP53端口伪装DNS流量并采用RC5加密通信，具备进程互斥与条件激活特性以规避检测，激活后可执行远程Shell等约40种指令。建议相关单位排查异常进程、修补漏洞、加强权限管控、部署终端检测并封堵非必要端口以防范风险。 综合评分： 85 文章分类： 恶意软件,威胁情报,应急响应

预警丨防范GhostPenguin恶意软件

网络安全和信息化

2026年2月26日 16:50 北京

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，一种针对Linux服务器的新型恶意软件GhostPenguin持续活跃，可导致Linux服务器被远程控制并引发数据泄露等严重风险。

    GhostPenguin是一个使用C++开发的多线程Linux后门恶意软件。该后门执行时先完成环境自检与初始化，通过调用系统函数（getpwuid()和readlink(“/proc/self/exe”)）获取用户主目录及自身路径，并从指定临时锁文件加载PID值后，利用kill(pid,0)系统调用验证对应进程的活跃状态，实现进程互斥以避免多实例冲突。在通信层面，GhostPenguin采用UDP协议，通过53端口伪装成DNS流量与C2服务器建立信道，首先发送未加密UDP包向C2服务器请求16字节会话密钥，该密钥将作为RC5对称加密算法的密钥对后续通信加密。此外，GhostPenguin核心功能仅在收到C2服务器的“SetStatusActive”（设置状态为活跃）数据包后才会被激活，大幅提升检测难度。一旦核心功能被激活，GhostPenguin可通过多线程处理含远程Shell、文件系统操作等在内的约40种指令，攻击者借此可远程控制受感染设备，窃取敏感数据、破坏系统完整性，严重威胁系统安全可用性及网络环境安全。

    建议相关单位及用户加强监测，排查临时锁文件与异常PID验证操作；及时修补Linux系统及应用漏洞，封堵潜在入侵途径；加强账号权限管控，禁用弱密码与违规登录行为；部署终端检测工具扫描匹配GhostPenguin特征的恶意代码；关闭UDP53等非必要端口或设置ip地址白名单，拦截异常加密通信流量等方式防范攻击风险。

相关IOC信息

SHA256：7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7

SHA1：145da15a33b54e0602e0bbe810ef6c25f2701d50

MD5：7d3bd0d04d3625322459dd9f11cc2ea3

关联域名：

www[.]iytesti[.]com

关联IP地址：

124[.]221[.]109[.]147

65[.]20[.]72[.]101

来源：工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）

-END-

2026年杂志订阅开始啦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全和信息化 《预警丨防范GhostPenguin恶意软件》