Национальный институт информационных и коммуникационных технологий (NICT) Японии опубликовал результаты наблюдений своей системы NICTER (Network Incident analysis Center for Tactical Emergency Response) за третий квартал 2025 года (июль-сентябрь). Данные, собранные с распределенной сети датчиков (даркнет), показывают рост общего объема наблюдаемого трафика, эволюцию угроз для устройств интернета вещей (IoT) и заметную активность сложного вредоносного ПО.
Описание
Динамика угроз для IoT: от Mirai к новым ботнетам
Ключевой тенденцией квартала стало продолжение трансформации ландшафта IoT-угроз. Активность ботнета MountBot, впервые обнаруженного в апреле, постепенно сошла на нет к сентябрю. Эксперты отмечают, что злоумышленники, стоящие за этой угрозой, сосредоточились на обновлении и распространении двух других вариантов вредоносного ПО: типа без функции сканирования и типа, нацеленного на сканирование порта Telnet (23/TCP). В результате устройства, ранее зараженные разведывательным вариантом, вероятно, были переориентированы на выполнение сканирования. Среди скомпрометированных устройств чаще всего фиксировались DVR производства ITX и WiFi-роутеры ASUS.
При этом классические ботнеты на базе Mirai и его вариантов остаются значительной силой. Их глобальная активность в течение квартала демонстрировала постепенное снижение, однако 21 сентября был зафиксирован резкий всплеск. Источником всплеска стали боты из Бразилии, Аргентины, США, России и Мексики. Анализ показал, что многие из этих устройств были маршрутизаторами MikroTik, оборудованием Sagemcom и сетевыми терминалами (OLT). В Японии активность Mirai-ботов оставалась на относительно стабильном, но низком уровне.
Параллельно эксперты отмечают рост числа ботов, сканирующих порты Telnet (23/TCP, 2323/TCP), но не имеющих признаков кода Mirai. Их количество достигало 62 тысяч в день. Интересно, что 21 сентября была зафиксирована массовая активность ботов с признаками Mirai, а уже к 25 сентября многие из этих же IP-адресов (в основном из Бразилии) начали сканирование без характерных для Mirai меток. Это указывает на возможную смену вредоносной нагрузки на уже зараженных устройствах.
Уязвимость в сетевых видеорегистраторах Digiever
Отдельное внимание в отчете уделено новой волне атак на сетевые видеорегистраторы (NVR) Digiever. В сентябре 2025 года для этих устройств были опубликованы критические уязвимости (CVE-2025-10264, CVE-2025-10265), позволяющие выполнять команды без аутентификации. Система NICTER зафиксировала активные попытки эксплуатации этих уязвимостей с целью заражения устройств и включения их в ботнет, сканирующий порты 23 и 2323 TCP. Производитель выпустил обновления прошивки, и владельцам оборудования Digiever настоятельно рекомендуется немедленно установить патчи, а также сменить учетные данные, если есть подозрения на компрометацию.
Значительный рост исследовательского сканирования
Наблюдательный трафик в третьем квартале вырос по сравнению со вторым, и основной вклад в этот рост внесло исследовательское сканирование (так называемое *research scanning*). Его доля составила 59.5% от всех наблюдаемых пакетов. Такое сканирование, как правило, проводится security-компаниями, академическими институтами и энтузиастами для составления карты интернета, поиска уязвимостей и сбора разведданных об угрозах.
В течение квартала было идентифицировано 78 организаций, занимающихся подобной деятельностью, включая четыре новых: KLEAP Institute of Information Security (Индия), pocnroll, F6 (Россия) и EnGarde Security (Дания). Особенно резкий всплеск трафика от неизвестных сканеров пришелся на середину августа и был связан с активностью из сетей Азербайджана. Наиболее объемный трафик среди известных сканеров генерировали Palo Alto Networks (Cortex Xpanse), Censys и Stretchoid.
Активность многоцелевого вредоносного ПО RondoDox
В отчете отдельно выделяется наблюдение за активностью сложного вредоносного ПО RondoDox. Этот зловред нацелен на широкий спектр устройств: от IoT-оборудования (роутеры, DVR, камеры видеонаблюдения) до корпоративных серверных приложений. По данным исследователей, RondoDox использует для заражения более 50 известных уязвимостей, эксплуатируя слабые пароли и отсутствие обновлений.
Характерными признаками его атак являются наличие в HTTP-заголовках (например, User-Agent) специфических email-адресов (вроде "bang2012[@]protonmail.com") и использование в названиях скриптов слова "rondo". Датчики NICTER фиксировали многочисленные попытки заражения RondoDox на протяжении всего квартала, и на момент публикации отчета (9 декабря 2025 года) их количество превышало 600 в день. Это подчеркивает критическую важность своевременного обновления прошивок и программного обеспечения для всех устройств, подключенных к сети.
Изменения в векторах атак
Анализ трафика по портам назначения показывает, что, хотя атаки на порт Telnet (23/TCP) остаются самыми распространенными, их доля продолжает снижаться. Вместе с тем растет доля атак на другие порты, такие как 8728/TCP (используется в API WinBox маршрутизаторов MikroTik), 80/TCP (HTTP) и 22/TCP (SSH). Более 63% вредоносного трафика (исключая исследовательское сканирование) пришлось на порты за пределами первой двадцатки, что свидетельствует о диверсификации векторов атак злоумышленников.
Географически наибольший объем трафика (как исследовательского, так и вредоносного) продолжает исходить из США. В целом, отчет NICTER за третий квартал 2025 года рисует картину динамичной и развивающейся киберугрозы, где традиционные ботнеты эволюционируют, а злоумышленники активно используют как старые, так и новые уязвимости в самом широком спектре сетевых устройств.
Индикаторы компрометации
IPv4
- 169.255.72.169
- 192.183.232.142
- 192.253.248.5
- 37.32.15.8
- 38.59.219.27
- 45.135.194.11
- 45.156.87.165
- 45.8.145.203
- 45.88.186.32
- 45.88.186.85
- 74.19.191.52
- 83.252.42.112
- 87.121.84.132
- 87.121.84.31
- 87.121.84.75
- 99.241.94.234
Emails
- bang2012@protonmail.com
