В ходе еженедельного исследования инфраструктуры киберугроз, проведенного с 21 по 27 июля 2025 года, специалисты выявили на территории Японии девять активных серверов командования и управления (C2), используемых для координации вредоносных операций. Мониторинг осуществлялся через платформу Censys, которая применяет алгоритмы машинного обучения для идентификации цифровых следов злоумышленников. Анализ показал использование разнородных инструментов, включая Cobalt Strike - фреймворк, часто эксплуатируемый APT-группами для скрытого доступа к корпоративным сетям.
Описание
Три сервера использовали инфраструктуру Cobalt Strike, что подтверждает его статус одного из наиболее востребованных инструментов в арсенале киберпреступников. Один сервер был связан с Brute Ratel C4 - относительно новым фреймворком, набирающим популярность из-за способности обходить современные системы обнаружения вторжений. Остальные пять распределились между модификациями NetSupportManager RAT (версии 0, 4, 6 и 7) - легитимного ПО для удаленного администрирования, которое злоумышленники адаптировали для несанкционированного сбора данных. Девятый сервер работал на базе VIPER - специализированного инструмента для кражи финансовой информации.
Географическое распределение инфраструктуры выявило привязку к глобальным облачным провайдерам. Пять серверов размещались в Amazon Web Services (AS16509), включая экземпляры NetSupportManager и Brute Ratel C4. Два Cobalt Strike-сервера использовали ресурсы Vultr (AS20473) и Microsoft Azure (AS8075), что подчеркивает тенденцию эксплуатации легальных облачных сред для маскировки вредоносной активности. Сервер VIPER был зарегистрирован на британского хостинг-провайдера Edgenap Ltd (AS61414), а еще один Cobalt Strike - на инфраструктуру Tencent (AS132203), демонстрируя транснациональный характер угрозы.
Хронология активации серверов указывает на волнообразную тактику развертывания. Первые три экземпляра (Brute Ratel C4, Cobalt Strike и NetSupportManager RAT 0) были зафиксированы 21 июля. В последующие дни наблюдалось постепенное добавление новых узлов: NetSupportManager RAT 7 (22 июля), две модификации NetSupportManager RAT 4 и 6 (24-25 июля), VIPER (26 июля) и завершающий Cobalt Strike (27 июля). Такое распределение может свидетельствовать о тестировании инфраструктуры перед масштабной атакой либо ротацией ресурсов для усложнения атрибуции.
Технические особенности обнаружения включали анализ метаданных SSL-сертификатов, шаблонов HTTP-заголовков и открытых портов. Например, сервер Brute Ratel C4 (54.168.191.225) использовал нестандартные ответы на TCP-запросы, а экземпляры NetSupportManager демонстрировали аномальную активность на портах 80 и 443 в периоды низкой легитимной нагрузки. При этом часть IP-адресов ранее не фигурировала в базах угроз, что указывает на применение "чистых" ресурсов для избежания блокировок.
Экономический контекст эксплуатации C2-серверов в Японии связан с высокой концентрацией технологических корпораций и финансовых институтов. Злоумышленники целенаправленно размещают управляющие узлы в географической близости к целям для снижения сетевой задержки при передаче похищенных данных. Кроме того, использование локальных автономных систем (AS) уменьшает подозрительность трафика при межсетевом взаимодействии.
Долгосрочные риски включают возможность эскалации атак на критическую инфраструктуру. Обнаруженные серверы VIPER и Cobalt Strike исторически применялись в кампаниях против энергетического сектора и транспортных систем. При этом разнообразие инструментов (от "классических" RAT до современных C4-фреймворков) позволяет предположить участие нескольких групп с разным уровнем технической оснащенности.
Результаты недельного мониторинга подчеркивают необходимость постоянного сканирования сетевого периметра, особенно в регионах с развитой цифровой экономикой. Япония, занимающая четвертое место в мире по количеству интернет-пользователей, остается стратегически важным полигоном для тестирования новых тактик C2-коммуникаций. Активность в облачных средах AWS и Azure подтверждает, что злоумышленники активно мигрируют в регулируемые экосистемы, используя их ресурсы для прикрытия.
Динамика обнаружения (9 серверов за 7 дней) указывает на системный характер угрозы, а не единичные инциденты. Смешанное использование коммерческих (Cobalt Strike) и кастомных (NetSupportManager RAT) решений демонстрирует гибридный подход к построению бот-сетей. Особую озабоченность вызывает сервер в Tencent Building - его расположение в юрисдикции с ограниченным международным взаимодействием в сфере кибербезопасности может затруднять расследование.
Эксперты отмечают, что подобные инфраструктурные кластеры редко существуют изолированно. Выявленные серверы потенциально связаны с более крупными кампаниями в Азиатско-Тихоокеанском регионе, где за последний квартал на 22% выросло количество атак с применением C2-каналов. Мониторинг их активности поможет выявить закономерности коммуникации и предикторы будущих атак, особенно в контексте усиления геополитической напряженности.
Данное исследование иллюстрирует, как открытые платформы сканирования интернета позволяют выявлять скрытые элементы кибервооружений до их применения против конечных жертв. Последовательная детекция разнородных C2-инструментов в одном регионе за короткий период подтверждает гипотезу о наращивании потенциала для комплексных операций. Следующим этапом станет анализ трафика этих серверов для идентификации целевых отраслей и методов инфильтрации.
Индикаторы компрометации
IPv4
- 13.114.15.139
- 13.208.32.85
- 185.243.41.252
- 20.243.170.247
- 43.167.235.175
- 43.207.83.12
- 54.168.191.225
- 54.64.166.20
- 64.176.61.71
