Специалисты по кибербезопасности провели еженедельное расследование угроз, сфокусированное на выявлении вражеской инфраструктуры в Японии. В рамках исследования, охватившего период с 27 октября по 2 ноября 2025 года, с помощью поискового функционала платформы Censys было обнаружено шесть серверов управления и контроля, так называемых C2-серверов (Command and Control). Эти серверы являются ключевым элементом инфраструктуры злоумышленников, используемым для удаленного управления скомпрометированными системами и кражи данных.
Описание
Анализ данных показал использование злоумышленниками разнообразного и современных инструментов. В частности, было зафиксировано применение фреймворков Brute Ratel C4, Pupy RAT, Mythic, Havoc и Cobalt Strike. Большинство из этих инструментов относятся к категории ADVERSARY SIMULATION TOOLS, которые изначально созданы для легального тестирования на проникновение, но активно адаптируются киберпреступниками для реальных атак.
Географическое расположение инфраструктуры демонстрирует тактику использования публичных облачных сервисов и хостинг-провайдеров. Три из шести обнаруженных серверов были размещены в облачной инфраструктуре AMAZON-02 (AS16509). Остальные серверы были зарегистрированы в автономных системах IT7NET (AS25820), Pq Hosting Plus S.r.l. (AS44477) и AS-VULTR (AS20473). Подобное распределение затрудняет атрибуцию атак и их оперативное блокирование, поскольку инфраструктура развернута у различных международных провайдеров.
Детальный разбор выявленных серверов предоставляет ценную тактическую информацию. Так, 29 октября были идентифицированы три угрозы. Во-первых, сервер с IP-адресом 18[.]181[.]52[.]48, использующий Brute Ratel C4. Во-вторых, сервер 178[.]157[.]62[.]249, на котором развернут Pupy RAT - кроссплатформенный троян с открытым исходным кодом. В-третьих, сервер 5[.]253[.]41[.]244 с фреймворком Mythic.
На следующий день, 30 октября, активность продолжилась. Был обнаружен второй инстанс Brute Ratel C4 по адресу 3[.]115[.]56[.]24. Параллельно был выявлен сервер 18[.]178[.]163[.]94, использующий пост-эксплуатационный фреймворк Havoc, а также сервер 149[.]28[.]24[.]203, связанный с известным фреймворком Cobalt Strike.
Обнаружение подобной инфраструктуры напрямую связано с тактиками, описанными в матрице MITRE ATT&CK, в частности с такими процедурами, как «Приобретение инфраструктуры» (T1583) и «Развертывание серверов управления и контроля» (T1584). Использование легитимных облачных платформ позволяет злоумышленникам маскировать вредоносный трафик под обычный интернет-трафик, что значительно усложняет его обнаружение сетевыми системами IDS (Intrusion Detection System).
С практической точки зрения, такие находки критически важны для SOC (Security Operations Center). Аналитики центров мониторинга безопасности могут использовать эти индикаторы компрометации для проактивного поиска угроз внутри корпоративных сетей. Соответственно, компании в Японии и соседних регионах должны усилить мониторинг сетевой активности, особенно исходящих соединений на указанные IP-адреса и доменные имена, ассоциированные с выявленными автономными системами.
В заключение, данное расследование наглядно демонстрирует сохраняющуюся тенденцию активизации киберпреступных группировок в Азиатско-Тихоокеанском регионе. Постоянный мониторинг публичных интернет-данных с помощью таких платформ, как Censys, остается одним из наиболее эффективных методов проактивной киберразведки. Это позволяет выявлять и нейтрализовать угрозы на ранних стадиях, до того как будет нанесен существенный ущерб.
Индикаторы компрометации
IPv4
- 149.28.24.203
- 178.157.62.249
- 18.178.163.94
- 18.181.52.48
- 3.115.56.24
- 5.253.41.244
