中国电信安全团队解析快手遭攻击事件，攻击源疑似来自南美，有组织预谋

中国电信安全团队针对“快手遭攻击事件”进行分析，初步判断攻击来源疑似集中在南美洲的主机，这些攻击行为有组织、有预谋，目前事件正在进一步调查中，具体攻击方式和幕后黑手尚不得而知，此次攻击事件引起了业内外的广泛关注，对于网络安全问题再次敲响了警钟。

快手直播功能于2025年12月22日22:00前后遭遇网络攻击，多个直播间被非法内容侵入。中国电信安全团队于次日发布通报，就此次国内主流直播平台发生的重大安全事件展开技术复盘与深度剖析。

2025年12月22日晚间，某头部直播平台突发严重安全异常。 中国电信安全团队依托自研的“广目”空间测绘系统、“灵犀”威胁情报引擎，并融合多年全网级安全运营实战经验，对该事件进行了多维度溯源分析，核心发现如下：

一、自22日午后起，该平台核心服务器通信频次显著激增，远超历史均值；此类高频交互具备明显预设性特征，疑似为攻击前的定向探测行为，其中主要探测流量发源于北美地区；

二、回溯其认证服务模块近7日访问日志可见：来自南美及东南亚区域的登录验证请求呈爆发式增长，尤其集中在21日全天，请求量达日常水平的5至6倍，严重偏离常规用户行为基线；

三、基于IP行为画像建模分析，多个南美来源IP展现出高度一致的自动化操作特征——包括固定间隔发起请求、相似通信路径、统一目标端口等，共识别出三类典型机器行为模板，可判定为有组织、成规模的协同攻击动作；

四、东南亚方向的访问虽未呈现强规律性，但其流量分布高度集中于工作时段（每日14:00–17:00），且在非工作日近乎归零，与真实终端用户的活跃习惯存在显著偏差；

五、进一步追踪上述南美与东南亚IP在我国境内的通信落点，发现其绝大多数连接目标指向主流公有云服务商的基础设施节点。

综合研判结论： 本次攻击呈现出清晰的时间节奏与战术逻辑——前期通过模式化探测完成踩点，临近事发时出现境外IP大规模围观式连接，体现出较强的事先知情性；虽然南美IP为直接攻击入口，但结合其行为特征与跳转路径判断，极有可能是已被攻陷的傀儡主机（即“肉鸡”），用于隐匿真实攻击源头。

建议各企业在构建网络安全防线时，摒弃传统单点防护思维，升级为涵盖风险预防、实时监测、快速响应与灾后恢复的一体化安全治理体系。亦可考虑采用“结果导向型”的云堤托管式安全运营服务，实现从常态监控到突发事件处置的全流程闭环保障。

源码地址：点击下载