Специалисты по кибербезопасности в ходе еженедельного мониторинга обнаружили на территории Японии активную скрытую инфраструктуру, используемую для проведения целевых атак. В период с 17 по 23 ноября 2025 года с помощью поисковой платформы Censys было идентифицировано восемь IP-адресов, выполнявших роль командных серверов (C2, Command and Control). Эти серверы являются критически важным элементом для злоумышленников, позволяя им удалённо управлять скомпрометированными системами, похищать данные и распространять вредоносное ПО.
Описание
Анализ показал использование злоумышленниками четырёх различных инструментов, что свидетельствует о разнообразии тактик и, возможно, о деятельности нескольких угрозовых групп. Наиболее распространённым фреймворком оказался Cobalt Strike, обнаруженный на четырёх серверах. Этот легитимный инструмент для тестирования на проникновение давно стал излюбленным средством киберпреступников и хакеров, поддерживаемых государством, благодаря своей гибкости и способности уклоняться от обнаружения.
Особую озабоченность экспертов вызвало обнаружение двух серверов, использующих фреймворк Brute Ratel C4 (BRc4). Этот относительно новый коммерческий инструмент, позиционируемый как «красная команда», известен своими продвинутыми методами обхода систем защиты (IDS/IPS). Его появление в активных операциях указывает на то, что атакующие стремятся использовать самые современные и скрытные средства для достижения своих целей.
Кроме того, в сетевой инфраструктуре был найден сервер, использующий NHAS Reverse SSH для создания обратных соединений, и ещё один, работающий на платформе Supershell. Последняя представляет собой веб-оболочку, которая обеспечивает злоумышленникам простой графический интерфейс (dashboard) для контроля над взломанным веб-сервером. Разнообразие инструментов подчёркивает комплексный подход атакующих к построению своей операционной среды.
Географическое и провайдерское распределение серверов также представляет интерес для анализа. Обнаруженные IP-адреса были зарегистрированы в различных автономных системах, включая крупных международных облачных провайдеров, таких как Amazon (AS16509 - AMAZON-02) и Vultr (AS20473), а также у хостинг-компаний в Японии (xTom Japan Corporation) и других регионах (Alibaba, CTG Server Limited). Такая практика использования легитимных публичных облачных и хостинговых услуг позволяет злоумышленникам маскировать свою активность под обычный трафик и быстро изменять свою инфраструктуру.
Обнаружение подобной инфраструктуры в рамках одного государства за столь короткий промежуток времени является тревожным сигналом. Оно указывает на возможную подготовку к масштабной кампании по сбору разведданных или на уже ведущуюся целенаправленную деятельность. Командные серверы являются лишь вершиной айсберга, и их наличие предполагает, что в сети японских организаций уже могут находиться скомпрометированные устройства, ожидающие команд или незаметно передающие информацию.
Эксперты напоминают, что подобные угрозы, часто классифицируемые как APT, требуют от защищающихся сторон внедрения многоуровневой стратегии безопасности. Ключевыми элементами защиты являются постоянный мониторинг сетевого трафика на аномалии, анализ журналов (logs) и применение методологий вроде MITRE ATT&CK для изучения тактик противника. Кроме того, крайне важна осведомлённость сотрудников о фишинговых атаках, которые остаются основным вектором первоначального проникновения для последующей установки вредоносной полезной нагрузки.
Оперативное выявление и нейтрализация командных серверов силами национальных центров реагирования на киберинциденты (CERT) или коммерческих SOC (Security Operations Center) критически важно для срыва операций противника. Подобные расследования наглядно демонстрируют ценность активного поиска угроз (Threat Hunting) и анализа открытых данных для проактивной защиты цифровых активов.
Индикаторы компрометации
IPv4
- 109.107.137.157
- 134.122.140.185
- 202.182.114.60
- 45.32.250.246
- 47.79.34.160
- 50.114.113.161
- 57.181.63.165
- 57.182.184.49
