Исследование выявило более 1250 активных C2-серверов в российских хостинг-провайдерах за три месяца

За период с 1 января по 1 апреля 2026 года аналитики с помощью платформы Hunt.io идентифицировали более 1250 активных командных серверов (C2, command-and-control), используемых для управления вредоносным программным обеспечением. Эти серверы были распределены по инфраструктуре 165 российских провайдеров, включая платформы общего хостинга, поставщиков виртуальных серверов и телекоммуникационные сети. Такой взгляд на уровне провайдеров превращает разрозненные данные в практически полезную разведывательную информацию, выделяя ключевые точки концентрации угроз.

Анализ проводился с использованием модуля Host Radar, который коррелирует данные о C2-серверах, фишинговой инфраструктуре, вредоносных открытых директориях и публичных индикаторах компрометации (IOC, Indicators of Compromise) с конкретными хостинг-провайдерами и сетевыми операторами. Исследование показало не только общий масштаб активности, но и доминирование конкретных семейств вредоносов, а также роль крупных облачных и телеком-провайдеров в поддержке как массового киберкриминала, так и целевых операций продвинутых угроз.

На инфраструктуру C2 пришлось подавляющее большинство - около 88,6% всех обнаруженных артефактов. Для сравнения, фишинговая инфраструктура составила лишь 4,9%, вредоносные открытые директории - 5,3%, а публично зарегистрированные индикаторы компрометации - около 1,2%. Это указывает на то, что российские хостинговые среды в первую очередь используются для развертывания устойчивых систем управления вредоносными ботами и программами, в то время как вспомогательная инфраструктура встречается реже.

При этом активность крайне неравномерно распределена между провайдерами. Небольшое число компаний несет на себе основную нагрузку по размещению вредоносной инфраструктуры. Абсолютным лидером по количеству обнаруженных C2-серверов стал TimeWeb - 311 серверов за 90 дней. За ним следуют WebHost1 (140 серверов), REG.RU (138 серверов), VDSina (86 серверов) и PROSPERO OOO (80 серверов). В первую десятку также вошли Selectel, Beget, Proton66 OOO, "ЭР-Телеком" и "Ростелеком". Присутствие крупных телекоммуникационных операторов в этом списке иллюстрирует, как платформы виртуальных серверов, облачные среды и сети интернет-провайдеров могут в равной степени эксплуатироваться для развертывания командной инфраструктуры.

Анализ распределения по семействам вредоносного программного обеспечения выявил явного лидера - фреймворк Keitaro, ответственный за 587 уникальных C2-IP. Это указывает на его массовое использование для построения трекеров и перенаправления трафика в различных кампаниях. Значительное присутствие демонстрируют ботнеты, ориентированные на устройства интернета вещей: Hajime (191 C2), Mozi (48) и Mirai (13), что говорит о продолжающемся злоупотреблении скомпрометированными роутерами и встраиваемыми системами. Также заметна активность инструментов для пентеста и пост-эксплуатации, таких как Tactical RMM, Cobalt Strike, Sliver и Ligolo-ng, которые часто используются злоумышленниками в реальных атаках.

Конкретные примеры кампаний показывают, как эта инфраструктура используется на практике. Так, на серверах TimeWeb была обнаружена активность, связанная с вредоносной программой Latrodectus, где атака начиналась с обманной техники fake CAPTCHA. На инфраструктуре REG.RU размещались серверы для распространения Lumma Stealer, маскирующегося под легитимное ПО. Beget LLC неоднократно фигурировал в качестве платформы для фишинговых кампаний, включая операцию UAC-0252, которая имитировала украинские госучреждения и распространяла программы-похитители данных, а также сервис Diesel Vortex для целевого фишинга в логистической отрасли.

Подобный анализ на уровне провайдеров даёт командам безопасности стратегическое преимущество. Вместо того чтобы бесконечно добавлять в чёрные списки отдельные IP-адреса, которые злоумышленники легко меняют, можно сфокусироваться на мониторинге сетевой активности, исходящей от инфраструктур, наиболее подверженных злоупотреблениям. Это позволяет выявлять новые кампании на ранних стадиях по схожим шаблонам размещения и быстрее принимать решения о блокировке целых подсетей, что значительно усложняет жизнь противнику. Понимание ландшафта угроз через призму хостинг-провайдеров является ключевым шагом от тактического реагирования к оперативному воздействию на киберпреступные и хактивистские операции.

IPv4

• 178.255.127.65
• 188.127.227.46
• 188.127.254.233
• 193.143.1.104
• 193.178.170.155
• 217.114.15.253
• 45.130.41.81
• 45.146.164.110
• 45.153.191.245
• 85.198.98.75
• 85.239.54.130
• 89.111.170.100

Domains

• fadoklismokley.com
• gasrobariokley.com