Киберразведка выявила 70 серверов управления вредоносными программами по всему миру

В ходе исследования, проведённого с 13 по 19 апреля 2026 года, в открытом доступе в интернете было обнаружено и идентифицировано 70 уникальных IP-адресов, используемых в качестве C2-серверов. Мониторинг охватывал широкий спектр популярных среди атакующих фреймворков, включая Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Результаты наглядно показывают распределение предпочтений злоумышленников. Абсолютным лидером по количеству обнаруженных экземпляров остаётся Cobalt Strike - легитимный инструмент для тестирования на проникновение, который десятилетиями используется киберпреступниками для реальных атак. На его долю пришлось 26 серверов. На втором месте оказался открытый постэксплуатационный фреймворк Havoc с 19 серверами, что свидетельствует о его растущей популярности в подпольных сообществах. Замыкают тройку лидеров 14 серверов на базе Mythic, ещё одной мощной платформы для управления атаками.

Географическое распределение инфраструктуры представляет особый интерес для аналитиков угроз. Адреса серверов были зарегистрированы в 20 странах на четырёх континентах, что подчёркивает глобальный характер угрозы. Наиболее часто в выборке встречались адреса, относящиеся к облачным провайдерам и хостинг-компаниям США, Германии, Франции и Китая. Важно отметить, что страна регистрации IP-адреса (Autonomous System) далеко не всегда указывает на реальное физическое расположение сервера или национальную принадлежность атакующих. Злоумышленники целенаправленно арендуют ресурсы у международных облачных гигантов и хостинг-провайдеров, чтобы затруднить атрибуцию, повысить доступность своей инфраструктуры и использовать доверие к известным сетевым блокам для обхода простых правил фильтрации.

Детальный анализ данных, представленных в отчёте, позволяет сделать несколько важных наблюдений. Во-первых, сохраняется устойчивая тенденция использования легальных и открытых инструментов в злонамеренных целях. Такие фреймворки, как Cobalt Strike или Havoc, обладают развитым функционалом для обхода защитных систем, что делает их привлекательными для профессионалов. Во-вторых, заметна диверсификация инструментария: вместо тотального доминирования одного решения атакующие активно экспериментируют с альтернативами, возможно, в ответ на улучшение детектов сигнатур со стороны вендоров. В-третьих, инфраструктура размещается в облаках крупнейших провайдеров, таких как Amazon Web Services (AS16509), DigitalOcean (AS14061), Microsoft Azure (AS8075) и Alibaba Cloud (AS37963). Это позволяет злоумышленникам быстро разворачивать и ликвидировать серверы, маскируя свою активность под легиматный трафик миллионов клиентов.

Последствия работы подобной инфраструктуры для бизнеса и государственных организаций могут быть катастрофическими. C2-серверы служат нервным центром для атак программ-вымогателей, целевых шпионских кампаний и массовых заражений ботнетами. Через них происходит кража конфиденциальных данных, дешифровка файлов после выкупа и координация перемещения по сети жертвы. Обнаружение даже одного такого сервера, связанного с внутренними активами компании, является верным признаком серьёзного инцидента информационной безопасности. При этом публичное выявление серверов, как в данном исследовании, - лишь верхушка айсберга, так как опытные противники всё чаще используют технику "живучести"с доменами, меняющимися по алгоритму, или скрытые каналы связи в популярных веб-сервисах.

Таким образом, еженедельное появление десятков новых C2-серверов по всему миру является индикатором высокой активности угроз. Для специалистов по защите это означает необходимость непрерывного совершенствования мониторинга сетевой активности, внедрения систем анализа трафика, способных выявлять аномальные соединения, и использования актуальных данных киберразведки для блокировки взаимодействия с известными адресами злоумышленников. Борьба с угрозами смещается в плоскость оперативного обнаружения и реагирования, где понимание инструментов и инфраструктуры противника становится ключевым фактором успеха.

IPv4

• 106.12.4.244
• 108.61.193.141
• 117.72.39.83
• 119.45.27.209
• 129.212.254.59
• 13.112.75.33
• 13.54.119.234
• 130.94.57.109
• 134.122.154.28
• 134.209.248.158
• 138.252.81.168
• 139.224.23.63
• 142.93.88.220
• 152.136.159.25
• 152.42.233.145
• 155.138.246.5
• 157.245.245.171
• 157.254.167.81
• 161.35.176.231
• 163.172.232.21
• 164.68.99.7
• 18.168.221.224
• 18.97.21.97
• 185.49.165.62
• 186.212.30.231
• 187.127.18.198
• 190.232.52.100
• 195.35.25.60
• 20.29.10.79
• 20.36.132.213
• 20.7.140.28
• 206.189.40.107
• 207.56.2.25
• 209.59.184.78
• 209.99.188.44
• 217.145.72.202
• 218.244.142.4
• 23.154.196.15
• 23.27.28.133
• 38.207.179.146
• 38.60.220.44
• 4.239.95.143
• 43.167.177.224
• 43.247.135.185
• 45.76.84.82
• 47.104.248.7
• 47.109.23.77
• 47.84.183.211
• 5.252.177.199
• 52.220.247.175
• 52.31.3.15
• 52.50.17.205
• 54.229.49.161
• 54.75.10.138
• 62.169.25.116
• 64.188.71.230
• 64.225.18.184
• 65.109.83.241
• 66.85.27.18
• 70.34.197.252
• 70.34.244.34
• 78.128.99.206
• 79.174.83.7
• 8.163.7.87
• 80.78.25.173
• 82.153.138.218
• 82.156.90.136
• 83.142.209.146
• 85.215.55.232
• 93.127.133.251