В Японии обнаружены серверы управления вредоносным ПО, включая Cobalt Strike

Исследование проводилось с 1 по 11 января 2026 года с использованием поисковых возможностей платформы Censys, которая сканирует интернет для составления карты сетевых устройств и сервисов. Аналитики целенаправленно искали инфраструктуру, помеченную как C2. Серверы командования и управления являются критически важным компонентом для злоумышленников, так как через них осуществляется управление скомпрометированными системами, кража данных и распространение вредоносного ПО (malware).

Среди девяти обнаруженных IP-адресов наибольшее количество, а именно три, использовали фреймворк Mythic. Ещё два сервера работали на основе известного легитимного инструмента тестирования на проникновение Cobalt Strike, который часто используется хакерами для вредоносной активности. Также были идентифицированы по одному серверу с такими инструментами, как Sliver, Supershell, Remcos и NorthStar. Разнообразие используемых C2-фреймвортов указывает на деятельность нескольких, потенциально независимых, групп угроз.

Географическое расположение инфраструктуры в Японии может преследовать разные цели. Например, это может быть попытка атаковать локальные цели в регионе или использовать местные интернет-ресурсы для маскировки трафика и усложнения его атрибуции. Примечательно, что большая часть обнаруженных серверов была размещена в крупных публичных облачных сервисах. Три сервера, включая два экземпляра Mythic, находились в облаке Amazon (AMAZON-02), а по одному - в Google Cloud Platform и Microsoft. Это соответствует общей тенденции, когда злоумышленники активно арендуют инфраструктуру у ведущих облачных провайдеров для быстроты развёртывания и низкой стоимости.

Один из серверов Cobalt Strike был обнаружен в сети компании CTG Server Limited, а сервер с Supershell - у EnjoyVC Japan Corporation. Подобные находки поднимают вопросы о возможном компрометировании серверов законных организаций для размещения на них вредоносной инфраструктуры. Использование взломанных или плохо сконфигурированных серверов является распространённой тактикой, позволяющей атакующим дольше оставаться незамеченными.

Обнаружение такой инфраструктуры на ранней стадии, до начала масштабных атак, имеет важнейшее значение для безопасности. Подобные проактивные исследования, часто называемые Threat Hunting (охотой за угрозами), позволяют выявлять индикаторы компрометации (IoC) и добавлять их в чёрные списки. Следовательно, это помогает заблокировать связь с серверами управления до того, как будет развёрнут основной вредоносный модуль (payload) или запущена атака программ-вымогателей (ransomware). Регулярный мониторинг открытых источников и данных интернет-сканирования стал неотъемлемой частью работы современных центров безопасности (SOC, Security Operations Center).

Эксперты отмечают, что постоянное присутствие C2-серверов, особенно использующих коммерческие фреймворты вроде Cobalt Strike, требует от компаний повышенного внимания к сетевым аномалиям. В частности, необходимо отслеживать необычные исходящие подключения к новым или подозрительным IP-адресам. Данные подобных расследований также полезны для обновления тактических приёмов в рамках модели MITRE ATT&CK, которая описывает поведение злоумышленников на всех этапах атаки.

Таким образом, обнаружение девяти активных C2-серверов в Японии всего за полторы недели подчёркивает динамичность и масштаб современной киберугрозы. Этот случай наглядно демонстрирует, как угрозы используют глобальную облачную инфраструктуру и разнообразный арсенал инструментов для достижения своих целей. Своевременное выявление и нейтрализация таких точек управления остаются критически важной задачей для обеспечения кибербезопасности в регионе и за его пределами.

IPv4

• 134.122.160.145
• 142.248.231.252
• 161.248.113.155
• 35.221.88.80
• 35.76.26.115
• 4.189.176.154
• 47.79.93.137
• 54.178.105.10
• 57.180.159.78