2018年1月10号，Bitdefender的安全研究人员发现一个名为Hide 'N Seek (HNS)的僵尸网络，主要针对的有安全缺陷的网络摄像头。不过几天后便消失了，紧接着，1月20号HNS又强势回归。就在这短短10天时间，该僵尸网络就感染了20000台设备。

Bitdefender的安全研究人员发现HNS与Mirai有关的僵尸网络并不相同。因为HNS有着自己的起源，且不共享Mirai的源代码。因为自去年Mirai源代码外泄后，很多IoT僵尸网络都是Mirai的变种，但是事实上，Bitdefender高级电子威胁分析师Bogdan Botezatu认为HNS与Hajime僵尸网络更为相似。而Hajime比Mirai更加复杂，实现了隐藏其活动与运行进程的更多机制。调查表明，Hajime具有允许攻击者快速添加新型功能的模块化结构。Hajime并未执行分布式拒绝服务（DDoS）攻击或其他任何攻击代码，而是从控制器中提取语句并每隔10分钟在物联网终端上显示一次。该邮件采用数字签名，而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染，Hajime就将阻止访问端口23、754、5555与5358，以防来自其他僵尸网络（包括 Mirai 在内）的攻击。

HNS僵尸网络是目前继Hajime僵尸网络之后第二个使用去中心化、点对点架构的IoT僵尸网络。在Hajime僵尸网络中，P2P功能基于比特流（BitTorrent）协议，而HNS僵尸网络则基于传统的P2P通信机制。HNS僵尸网络以复杂并且分散的方式进行通信，使用多种防篡改技术来防止第三方劫持。其僵尸程序可以通过与Reaper相同的漏洞（CVE-2016-10401和其他针对网络设备的漏洞）对一系列设备进行Web开发。

HNS僵尸网络通过扫描互联网寻找固定TCP端口80（80 HTTP Web Service）/8080（8080 HTTP Web Service）/2480（2480 OrientDB）/5984（5984 CouchDB）/23（23 Telnet）和其他随机端口来寻找感染系统。此处，HNS借用了Mirai的一些代码。

HNS物联网僵尸网络开始对跨平台数据库发起攻击

HNS现在也面向跨平台数据库解决方案，它是目前第一个实施持久性攻击机制的物联网恶意软件，可在设备重启后保持攻击性。

奇虎360公司Netlab研究团队发现，类似点对点的僵尸网络很难被制止，过去几个月HNS僵尸网络一直在不断更新迭代，HNS的感染对象已从路由器和DVR扩展至运行服务器操作系统的数据库应用。目前的一些主要更新有：

1.增加了对AVTECH设备(网络摄像头、网络摄像头)、CISCO Linksys路由器、JAWS/1.0 web服务器、Apache CouchDB、OrientDB的漏洞利用;对于原始报告中提到的两种设备，HNS目前总共支持7种利用方法；

2.经过硬编码的P2P节点地址已增加到171；

3.此外，HNS僵尸网络添加了一个CPU挖矿程序，但该功能还没有开始运行。

4.特别是，在OrientDB和CouchDB数据库服务器的支持下，HNS不再仅仅是物联网僵尸网络，而成为现在的跨平台僵尸网络。

根据Netlab的说法，HNS僵尸网络现在可以使用以下漏洞攻击以下类型的设备：

1.TPLink-Routers RCE；

2.Netgear RCE；

3.（新）AVTECH RCE；

4.（新）CISCO Linksys路由器RCE；

5.（新）JAW/1.0 RCE；

6.（新）OrientDB RCE；

7.（新）CouchDB RCE；

HNS并非首个针对OrientDB服务器的僵尸网络，该服务器非常受各僵尸网络的欢迎。例如，于去年发现的DDG僵尸网络如今还很活跃，其主要目标是挖取门罗币。Netlab的专家指出，HNS虽然也开始释放带有挖矿的有效载荷，但好消息是它们还没有正常运行。