Активность ботов снижается, но интернет-сканеры и новые уязвимости продолжают формировать ландшафт угроз

Проект NICTER, осуществляемый Национальным институтом информационных и коммуникационных технологий Японии (NICT), представляет собой распределенную сеть сенсоров, которые пассивно собирают трафик, направленный на неиспользуемые IP-адреса. Такой трафик в значительной степени состоит из сканирования, зондирования и фонового шума вредоносной активности, что позволяет анализировать глобальные тренды угроз в почти реальном времени. Основные выводы за отчетный период с октября по декабрь 2025 года указывают на снижение общего числа наблюдаемых пакетов, рост сканирования веб-сервисов и портов, а также фиксацию активных попыток эксплуатации уязвимости React2Shell.

Общее количество наблюдаемых пакетов в расчете на один IP-адрес даркнета показало снижение по сравнению с предыдущим кварталом. Частично это объясняется плановым техническим обслуживанием части сенсоров в конце декабря. Однако более показательным является анализ структуры этого трафика. На исследовательское сканирование, осуществляемое известными организациями и коммерческими компаниями, пришлось около 56.4% всех пакетов. Это меньше, чем 59.5% в третьем квартале, но по-прежнему составляет основную долю наблюдаемой активности. Специалисты проекта отметили, что самой активной организацией в этой категории стала Palo Alto Networks (Cortex Xpanse), чьи сканеры отправили около 12.3 миллиарда пакететов. За ней следуют Censys и Stretchoid. Важно, что сканирование с IP-адресов, принадлежность которых не удалось установить, сократилось, что может указывать на улучшение методов анализа или изменение тактик злоумышленников, маскирующих разведку.

Активность ботнетов, заражающих устройства интернета вещей (IoT), демонстрирует спад, но не исчезает. Количество ботов, связанных с вредоносным ПО Mirai и его вариантами, в глобальном масштабе колебалось от 22 до 46 тысяч в день, с тенденцией к снижению к концу года. Объем трафика от этих ботов также значительно сократился. При этом продолжается эволюция угроз: сканеры, нацеленные на службу Telnet (порты 23/TCP и 2323/TCP), все чаще не несут сигнатур Mirai (категория "no-mirai"). Это говорит о появлении и распространении новых семейств вредоносного ПО для IoT, которые используют схожие векторы, но обходят простые сигнатуры. В Японии тенденции аналогичны: местные ботнеты демонстрируют невысокую, но стабильную активность, причем доля ботов "no-mirai" также растет.

Анализ трафика по портам назначения выявил несколько важных сдвигов. После исключения исследовательского сканирования, самым популярным портом для атакующего трафика остается 23/TCP (Telnet), однако его доля продолжает снижаться и составила около 10.4%. За ним следуют порты веб-сервисов: 80/TCP (HTTP) и 443/TCP (HTTPS), а также 22/TCP (SSH). Наблюдается рост сканирования на целые наборы портов, таких как {80, 81, 82, 83, 84, 85}/TCP, что характерно для поиска веб-интерфейсов на нестандартных портах. Особого внимания заслуживает всплеск активности на порту 6036/TCP в конце октября. Этот порт часто ассоциируется с устройствами DVR/NVR компании Shenzhen TVT Digital Technology. Рост трафика коррелирует с попытками эксплуатации известных уязвимостей в этих устройствах для распространения программ-вымогателей, таких как RondoDox. Это наглядный пример того, как устаревшее и плохо защищенное оборудование IoT продолжает оставаться лакомой целью для киберпреступников.

Наиболее ярким инцидентом квартала стала массовая эксплуатация критической уязвимости в популярной JavaScript-библиотеке React, получившей название React2Shell. Уязвимость, оцененная по шкале CVSS в максимальные 10.0 баллов, позволяет удаленному злоумышленнику выполнять произвольный код без аутентификации. Несмотря на то, что информация об уязвимости и патчи были опубликованы в декабре 2025 года, сетевая разведка проекта NICTER зафиксировала первые атаки уже 5 декабря. Пиковая интенсивность достигла примерно 2800 попыток эксплуатации в день. Этот случай служит суровым напоминанием для всех администраторов: временное окно между публикацией патча и началом массовых атак сократилось до минимума. Задержка с обновлением до версий React 19.0.1, 19.1.2 или 19.2.1 создает серьезный риск компрометации.

Таким образом, данные NICTER за четвертый квартал 2025 года рисуют картину постепенной трансформации ландшафта угроз. Классические угрозы вроде ботнетов Mirai, хотя и никуда не делись, теряют свою доминирующую позицию. На первый план выходит активность, связанная с постоянной разведкой интернет-пространства как исследователями, так и злоумышленниками, что выражается в диверсификации сканируемых портов. При этом появление новой критической уязвимости в популярном ПО мгновенно провоцирует волну автоматизированных атак. Для специалистов по кибербезопасности это означает необходимость удвоить внимание к двум направлениям: во-первых, к мониторингу и сегментации любых устройств IoT в корпоративных сетях, а во-вторых, к максимальному сокращению цикла обновления программного обеспечения, особенно компонентов, доступных извне. Промедление в установке патчей сегодня измеряется не неделями, а часами, что делает процессы управления уязвимостями критически важным элементом защиты.

IPv4

• 121.127.34.157
• 149.50.96.133
• 152.89.168.233
• 192.159.99.95
• 193.142.147.209
• 193.32.162.157
• 195.178.110.131
• 195.24.236.148
• 204.76.203.125
• 5.59.248.136
• 62.60.131.239
• 82.23.183.116
• 82.23.183.131
• 82.23.183.82
• 82.23.183.85
• 82.23.183.87
• 82.23.183.89
• 85.11.167.3
• 91.200.220.166
• 91.200.220.168
• 95.214.52.170