"Спящий" командный сервер: исследователи нашли неизвестную панель управления на основе Python/Flask, готовую к атакам

Специалисты по информационной безопасности выявили ранее неизвестный сервер управления (C2-инфраструктуру), предназначенный для координации работы вредоносных программ. Объект был обнаружен 9 апреля 2026 года после анализа наводки от одного из участников сообщества. На момент изучения сервер не использовался в реальных атаках - все счетчики активных агентов, ожидающих и выполненных команд равнялись нулю, что делает его идеальным кандидатом для превентивного мониторинга, а не для расследования уже произошедшего инцидента.

Описание

Обнаруженный узел расположен в Лос-Анджелесе (США) на инфраструктуре провайдера HostPapa / ColoCrossing (автономная система AS36352) и работает под управлением операционной системы Ubuntu Linux. Адрес 67.215.232[.]25 был выделен около 14 месяцев назад, но сам сервер появился лишь в начале марта 2026 года, а второй веб-интерфейс на порту 5000 был добавлен за неделю до исследования. Все признаки указывают на то, что инфраструктура находится на этапе развертывания и ещё не введена в эксплуатацию. Никаких записей о данном IP не обнаружено в базах VirusTotal, OTX, URLhaus, ThreatFox и AbuseIPDB, что подтверждает его "чистоту" для защитников.

Архитектура командного центра необычна: на одном сервере работают два независимых экземпляра веб-фреймворка Flask (реализация Python с библиотекой Werkzeug). Первый экземпляр на порту 8080 представляет собой панель управления оператора, которая имеет открытый эндпоинт /health, возвращающий расширенную информацию о состоянии. Второй экземпляр на порту 5000, вероятно, является слушателем для агентов - то есть для программ-ботов, установленных на заражённых устройствах. Все протестированные исследователями пути на порту 5000 возвращали ошибку 404, что согласуется с гипотезой о нестандартных, не поддающихся угадыванию маршрутах, например построенных на уникальных идентификаторах UUID или подписанных токенах в адресной строке.

Эндпоинт /health не требует аутентификации и отдаёт ответ в формате JSON (текстовый формат обмена данными, удобный для машинной обработки). В теле ответа содержатся пять полей: active_servers (количество подключённых в данный момент агентов), pending_commands (число задач, ожидающих выполнения), completed_commands (число выполненных отчётов), status (состояние панели) и timestamp (серверная метка времени в UTC). Такая структура раскрывает модель работы командного центра: операторы ставят задачи через панель, агенты периодически забирают их через эндпоинт /api/heartbeat, а результаты возвращают на /api/report. Два последних эндпоинта защищены аутентификацией - при попытке доступа к ним возвращается ошибка 401 с сообщением об ошибке. Исследователи проверили стандартные механизмы (токены Bearer, HTTP Basic, заголовок X-API-Key), но ни один из них не сработал, что указывает на собственную схему проверки - возможно, общий секретный ключ в нестандартном поле JSON или вычисляемую цифровую подпись HMAC.

Примечательно, что панель управления не соответствует ни одному из распространённых коммерческих или открытых фреймворков для управления бот-сетями. Её архитектура кардинально отличается от Cobalt Strike (отсутствуют паттерны протокола BEACON), от Sliver (нет признаков gRPC или взаимной TLS-аутентификации), от Havoc, Mythic и Metasploit. Стек технологий - простейший Flask с минимальным JSON-интерфейсом и названиями эндпоинтов "report" и "heartbeat" - говорит о том, что перед нами либо самодельная разработка конкретного оператора, либо ранняя версия нового фреймворка, ещё не публиковавшегося.

Атрибуция - то есть установление личности или группы, стоящей за созданием этого сервера, - на данный момент невозможна. На панели не обнаружено никаких опознавательных знаков: ни утёкших адресов электронной почты, ни доменных имён, ни учётных записей, ни сертификатов TLS (соединение идёт по незащищённому протоколу HTTP). IP-адрес принадлежит массовому провайдеру дешёвых виртуальных выделенных серверов (VPS), что характерно как для начинающих хакеров, так и для продавцов так называемого "пуленепробиваемого" хостинга, и не является различительным признаком.

Даже в "спящем" состоянии этот объект представляет значительную ценность для специалистов по кибербезопасности. Высока вероятность, что в ближайшее время сервер начнёт принимать подключения от реальных вредоносных программ, и тогда его можно будет использовать для раннего предупреждения об атаках. [Исследование] выявило несколько надёжных способов обнаружения подобных панелей. Во-первых, уникальный отпечаток SSH-ключа сервера (ECDSA-ключ с контрольной суммой b9:db:77:d7:f0:2f:98:f3:27:9a:09:e5:dc:0e:63:7f) позволит отследить родственные инфраструктуры: если тот же ключ появится на другом IP, значит, используется та же командная платформа. Во-вторых, характерная сигнатура в HTTP-ответах - одновременное присутствие полей active_servers, pending_commands, completed_commands, status и healthy в одном JSON-объекте - является точным признаком именно этого типа панели. В-третьих, трафик на нестандартные порты 5000 и 8080 с JSON-полезной нагрузкой, содержащей поля heartbeat или report, должен вызывать подозрение.

Защитникам рекомендуется немедленно заблокировать IP 67.215.232[.]25 на периметре сети и настроить оповещения на описанные сигнатуры. Периодический мониторинг этого адреса через Shodan или аналогичные сервисы позволит заметить момент, когда панель перейдёт в активное состояние (количество active_servers станет больше нуля) - и это будет сигналом о начале полномасштабной кампании. Кроме того, стоит обратить внимание на подсеть 67.215.232[.]0/24: если на соседних адресах появятся такие же баннеры Werkzeug, это укажет на развёртывание целого кластера командных серверов. Пассивное отслеживание баз VirusTotal и OTX в будущем может раскрыть бинарные файлы вредоносных программ, которые нацелены именно на этот C2-сервер, - тогда станет известен формат клиентской части и механизм аутентификации.

Пока же можно констатировать, что мы имеем дело с профессионально подготовленной, но пока не использованной инфраструктурой. Авторство остаётся неизвестным, а сам сервер может принадлежать как неизвестной хакерской группе, так и отдельному злоумышленнику, тестирующему свою разработку. Главная ценность ситуации - временное окно: у защитников есть шанс внести сигнатуры в системы обнаружения до того, как командный центр начнёт приносить реальный ущерб. Игнорировать такой шанс было бы недальновидно.