近期，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，一种针对Linux服务器的新型恶意软件GhostPenguin持续活跃，可导致Linux服务器被远程控制并引发数据泄露等严重风险。

GhostPenguin是一个使用C++开发的多线程Linux后门恶意软件。该后门执行时先完成环境自检与初始化，通过调用系统函数（getpwuid()和readlink("/proc/self/exe")）获取用户主目录及自身路径，并从指定临时锁文件加载PID值后，利用kill(pid,0)系统调用验证对应进程的活跃状态，实现进程互斥以避免多实例冲突。在通信层面，GhostPenguin采用UDP协议，通过53端口伪装成DNS流量与C2服务器建立信道，首先发送未加密UDP包向C2服务器请求16字节会话密钥，该密钥将作为RC5对称加密算法的密钥对后续通信加密。此外，GhostPenguin核心功能仅在收到C2服务器的“SetStatusActive”（设置状态为活跃）数据包后才会被激活，大幅提升检测难度。一旦核心功能被激活，GhostPenguin可通过多线程处理含远程Shell、文件系统操作等在内的约40种指令，攻击者借此可远程控制受感染设备，窃取敏感数据、破坏系统完整性，严重威胁系统安全可用性及网络环境安全。

建议相关单位和用户组织排查，更新防病毒软件；加强账号权限管控，禁用弱密码与违规登录行为；部署终端检测工具扫描恶意代码；关闭UDP53等非必要端口或设置ip地址白名单，严格防范网络攻击风险。

（供稿：赵鹏飞     初审：郭怡静    复审：郝莉     终审：侯宏旭）