За неделю обнаружено 74 сервера управления атакующих: Havoc и Cobalt Strike лидируют среди C2-фреймворков

В ходе мониторинга с 27 апреля по 3 мая 2026 года было выявлено 74 C2-сервера. Исследователи охватили множество фреймворков для построения командных центров: Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Cobalt Strike и Cobalt Strike - это классические наборы инструментов, с помощью которых пентестеры и хакеры могут имитировать действия реальных злоумышленников. Havoc, Mythic и Sliver - более современные платформы с открытым исходным кодом, которые всё чаще применяют киберпреступники. SuperShell и NimPlant относятся к специализированным средствам, ориентированным на гибкость сокрытия трафика.

Наибольшее количество обнаруженных серверов принадлежало фреймворку Havoc - 22 узла. На втором месте расположился Cobalt Strike с 18 серверами. Mythic занял третью позицию с 16 серверами, а Sliver - 12. Оставшиеся 5 серверов работали на SuperShell и 1 - на Empire. Такое распределение говорит о смещении интереса злоумышленников в сторону новых, менее изученных решений. Впрочем, Cobalt Strike по-прежнему остаётся надёжной рабочей лошадкой для многих групп.

География размещения C2-инфраструктуры весьма разнообразна. Серверы работали в США, Канаде, Китае, Маврикии, Гонконге, Сингапуре, Германии, Нидерландах, Франции и других странах. Примечательно, что атакующие активно использовали ресурсы крупных облачных провайдеров. Например, несколько узлов находились в инфраструктуре Microsoft Azure, Oracle Cloud, DigitalOcean, а также у китайских провайдеров Tencent и Alibaba. В отчёте также упоминаются такие поставщики, как Hetzner, Contabo и Kamatera. Это подтверждает давнюю тенденцию: злоумышленники всё реже арендуют специализированные "подпольные" серверы - им проще зарегистрировать аккаунт у легитимного облачного оператора и быстро запустить командный центр. Маскировка под обычный бизнес-трафик делает обнаружение таких узлов более трудным.

Почему именно Havoc так популярен? Этот фреймворк отличается современной архитектурой, поддержкой множества протоколов для скрытой передачи данных и регулярными обновлениями. Многие его модули можно менять "на лету", что затрудняет детектирование сигнатурами антивирусов и систем класса EDR (средств обнаружения и реагирования на конечных точках). Cobalt Strike, несмотря на то что его часто блокируют, остаётся востребованным благодаря огромному арсеналу сценариев атак и активному сообществу пользователей. Mythic и Sliver - более молодые проекты, которые привлекают операторов возможностью интеграции с другими инструментами и простотой модификации.

Наличие такого количества C2-серверов по всему миру означает, что атаки с использованием рассылки фишинговых писем, эксплуатации уязвимостей и других векторов продолжают быть успешными. Если у компании нет чётких правил фильтрации трафика к неизвестным узлам - особенно из облачных провайдеров, которые не связаны с её деятельностью, - риск утечки данных или шифрования ресурсов возрастает. Специалистам по безопасности стоит регулярно сверять свои списки индикаторов компрометации с данными подобных исследований и настраивать блокировку на межсетевых экранах.

Помимо серверов управления, в рамках той же недели были обнаружены две панели стилеров - вредоносных программ, крадущих логины и пароли из браузеров и приложений. Одна из них находится по адресу 103.229.53[.]18 на порту 3000 и называется Zenith Stealer, вторая - Facebook* Stealer - расположена на 77.91.97[.]157. Такие панели часто продаются в даркнете и используются для массового сбора учётных данных.

Регулярный сбор информации о C2-инфраструктуре помогает не только вовремя блокировать атаки, но и лучше понимать тактики злоумышленников. Наблюдаемая картина - 74 сервера за одну неделю, активное использование Havoc и Cobalt Strike, а также привязка к облачным платформам - должна стать поводом для пересмотра политик сетевой безопасности. Организациям стоит внедрять системы анализа DNS-трафика и использовать Threat Intelligence для выявления подозрительных соединений. Игнорирование этой информации грозит превращением корпоративных сетей в плацдарм для дальнейших атак.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 102.117.161.183
• 102.117.163.253
• 102.117.165.102
• 102.117.170.19
• 103.110.65.166
• 103.140.238.45
• 104.167.199.243
• 104.194.84.162
• 104.208.109.91
• 104.248.40.185
• 109.172.95.76
• 109.244.130.113
• 114.132.199.129
• 119.45.216.112
• 124.222.75.188
• 129.80.67.171
• 147.78.2.110
• 149.88.73.40
• 150.136.111.162
• 150.230.160.171
• 150.241.71.157
• 152.53.103.201
• 154.7.228.167
• 154.83.148.26
• 156.225.20.77
• 156.245.147.101
• 159.223.161.181
• 164.90.149.44
• 165.154.244.210
• 172.105.103.223
• 172.245.54.187
• 185.193.126.141
• 190.232.52.93
• 193.201.185.90
• 20.104.107.19
• 20.161.80.235
• 20.24.67.42
• 202.171.43.176
• 202.61.137.210
• 209.38.100.109
• 209.38.110.161
• 217.154.212.25
• 23.152.0.81
• 23.235.186.164
• 23.235.186.175
• 23.248.204.162
• 31.166.157.107
• 31.220.80.26
• 34.13.63.214
• 38.207.176.96
• 38.47.122.77
• 39.105.74.52
• 43.106.4.215
• 43.132.190.51
• 45.113.226.187
• 45.126.124.199
• 45.39.210.144
• 46.137.196.122
• 47.108.65.215
• 47.239.222.85
• 5.75.185.142
• 52.198.162.251
• 57.158.26.13
• 63.141.255.205
• 66.85.27.30
• 67.70.241.201
• 72.142.102.143
• 74.48.194.213
• 80.66.83.42
• 80.78.22.112
• 83.229.87.166
• 86.54.24.26
• 87.121.79.201
• 89.208.113.158

URLs

• http://103.229.53.18:3000/
• http://77.91.97.157:3000/