В течение последней недели ноября 2025 года специалисты по кибербезопасности провели целенаправленное расследование, чтобы выявить и проанализировать вредоносную инфраструктуру на территории Японии. Используя возможности поисковой платформы Censys, эксперты сосредоточились на обнаружении серверов управления и контроля (Command and Control, C2), которые играют ключевую роль в координировании атак вредоносного программного обеспечения. Результаты этой охоты оказались тревожными.
Описание
В период с 24 по 30 ноября было идентифицировано и подтверждено семь активных C2-серверов, размещённых на японских IP-адресах. Данные серверы связаны с известными фреймворками для удалённого администрирования, которые злоумышленники часто используют в противоправных целях. Наиболее распространённым инструментом в этой выборке оказался VenomRAT, представленный тремя экземплярами. Все они были размещены в одной автономной системе (AS152194), принадлежащей компании CTG Server Limited.
Помимо VenomRAT, исследователи обнаружили по одному серверу, использующему такие платформы, как Cobalt Strike, VIPER, Sliver и Octopus. Это разнообразие указывает на активность нескольких, потенциально независимых, угроз. Например, серверы Cobalt Strike и VIPER были зарегистрированы в автономной системе, связанной с Tencent, в то время как серверы Sliver и Octopus использовали инфраструктуру Amazon Web Services (AWS). Такое распределение демонстрирует, как злоумышленники арендуют ресурсы у различных легитимных хостинг-провайдеров и облачных сервисов для маскировки своей деятельности.
Обнаружение серверов Cobalt Strike вызывает особую озабоченность. Хотя этот фреймворк изначально создан для легального тестирования на проникновение, он давно стал излюбленным инструментом киберпреступных группировок и APT (Advanced Persistent Threat, группа повышенной опасности) для развёртывания вредоносной нагрузки и установления устойчивости в системе. Аналогично, инструменты вроде Sliver и Octopus представляют собой современные, открытые альтернативы, набирающие популярность в подпольных сообществах.
Важно отметить, что само по себе наличие C2-сервера в определённой стране не всегда указывает на географическую принадлежность атакующих. Чаще это отражает выбор удобной или менее подозрительной инфраструктуры для размещения. Однако подобные находки имеют критическое значение для глобального сообщества безопасности. Они позволяют обновлять чёрные списки, блокировать вредоносный трафик на уровне сетевых экранов и систем обнаружения вторжений (IDS), а также информировать потенциальных жертв в соответствующем регионе.
Это исследование наглядно иллюстрирует постоянную динамику угроз. Киберпреступники активно экспериментируют с новыми инструментами и рассредоточивают свою инфраструктуру по всему миру, используя публичные облачные платформы. Регулярный мониторинг и анализ подобных данных, проводимый с помощью таких сервисов, как Censys, остаётся одним из ключевых методов проактивной защиты. Он позволяет выявить угрозу до того, как она приведёт к масштабной атаке, такой как шифрование данных с целью выкупа (ransomware) или хищение конфиденциальной информации.
Индикаторы компрометации
IPv4
- 137.220.145.31
- 137.220.145.34
- 137.220.145.58
- 43.153.150.122
- 43.167.236.116
- 52.194.231.205
- 52.195.57.111
