В ходе еженедельного мониторинга угрозной инфраструктуры, проведенного с 22 по 28 сентября 2025 года, специалисты по кибербезопасности обнаружили на территории Японии десять активных серверов командования и управления (Command and Control, C2). Исследование проводилось с использованием поискового функционала платформы Censys, предназначенной для сканирования и анализа интернет-активов.
Описание
Наиболее распространенным среди обнаруженных инструментов злоумышленников оказался троянец удаленного доступа Remcos, серверы управления которым были зафиксированы в четырех случаях. Два сервера использовали фреймворк для пентеста и кибератак Brute Ratel C4 (BRc4). Еще два инцидента были связаны с различными версиями легальной программы удаленного администрирования NetSupport Manager, которая была адаптирована для вредоносных целей. По одному серверу приходилось на веб-шелл Supershell и на сложный бэкдор PlugX, исторически связываемый с кибергруппами, поддерживаемыми государствами.
Географическое и провайдерское распределение инфраструктуры демонстрирует тактику ее смешивания с легитимным трафиком. Большая часть IP-адресов, а именно четыре, была размещена в облачной инфраструктуре Amazon (AS16509). Еще три сервера, включая два экземпляра Remcos, были обнаружены в сети провайдера M247 Europe SRL (AS9009). Остальные серверы располагались у хостинг-провайдеров DMIT, Contabo Asia Private Limited и Evoxt Enterprise. Такой выбор инфраструктуры, особенно использование крупных публичных облаков, позволяет злоумышленникам маскировать свой вредоносный трафик под обычную активность и затрудняет ее своевременное блокирование.
Детальный анализ данных показывает, что компрометация носила продолжительный характер. Первые серверы, относящиеся к Brute Ratel C4 и NetSupport Manager RAT 3, были зафиксированы 22 сентября. Новые инциденты обнаруживались практически каждый день в течение всей недели наблюдения. Например, 26 сентября одновременно появились сервер Supershell и еще один экземпляр Remcos. Активность, связанная с Remcos, продолжалась до 27 сентября, что указывает на постоянную эксплуатацию этой угрозы.
Обнаруженные инструменты представляют собой серьезные риски для корпоративной и государственной безопасности. Remcos, изначально позиционируемый как легальное ПО для удаленного администрирования, широко используется киберпреступниками для несанкционированного доступа, кражи данных и установки дополнительного вредоносного кода. Brute Ratel C4 является продвинутым фреймворком для обхода систем защиты, популярным среди опытных групп вымогателей и APT-хакеров (Advanced Persistent Threat - комплексные целевые атаки). Обнаружение PlugX, известного своей модульной архитектурой и способностью долгое время оставаться незамеченным, особенно настораживает и может свидетельствовать о деятельности высококвалифицированной угрозы.
Выявление в одной стране за короткий период десяти различных серверов управления подчеркивает масштабы и динамичность современной киберугрозы. Регулярный мониторинг публичной интернет-инфраструктуры становится критически важным элементом проактивной безопасности. Он позволяет выявлять "вражеские" инфраструктуры до того, как они будут использованы для масштабных атак, и принимать превентивные меры по их нейтрализации. Для организаций подобные отчеты служат напоминанием о необходимости внедрения многоуровневой защиты, включающей мониторинг сетевой активности, анализ трафика на предмет аномалий и оперативное применение угрожающего интеллекта для блокировки индикаторов компрометации.
Индикаторы компрометации
IPv4
- 154.12.190.35
- 217.138.212.53
- 217.138.212.54
- 46.250.253.70
- 52.194.63.154
- 56.155.141.62
- 56.155.45.192
- 57.182.82.20
- 91.193.7.162
- 96.126.191.202