Как киберпреступники используют C2-серверы для контроля над зараженными компьютерами
Специалисты компании Censys провели исследование C2-инфраструктуры киберпреступников, выявив активные экземпляры вредоносных программ, используемых для управления зараженными системами. Наибольшее количество обнаружений приходится на Cobalt Strike, который лидирует среди инструментов для постэксплуатации, за ним следуют Viper и Sliver. Исследование показало, что наибольшая концентрация вредоносной инфраструктуры наблюдается в Китае и США, но зараженные системы выявлены в 62 странах.
Специалисты компании Censys провели исследование, посвященное инфраструктуре киберпреступников. В отчете State of the Internet 2025 особое внимание уделено серверам управления и контроля (C2) — ключевым узлам, используемым для координации атак и поддержания доступа к зараженным системам.
Роль C2-серверов
C2-серверы служат централизованными точками управления зараженными компьютерами. Они позволяют злоумышленникам загружать команды, собирать данные и поддерживать связь с ботнетами. Исследование показало рост использования взломанных домашних роутеров и офисных сетевых устройств для маскировки трафика. Такие практики помогают кибергруппировкам, таким как Volt Typhoon, скрывать свои операции.
Доминирование Cobalt Strike
За период с декабря 2024 по май 2025 года Censys зафиксировала в среднем 2906 активных экземпляров вредоносных программ на момент каждого среза. Пик активности наблюдался в середине декабря, после чего количество обнаружений снизилось на 14% в январе, главным образом из-за уменьшения числа Cobalt Strike в Китае.
Cobalt Strike, изначально созданный для тестирования на проникновение, превратился в один из самых популярных инструментов у атакующих. Он обеспечивает не только управление зараженными системами, но и широкий набор функций для постэксплуатации. Несмотря на серии международных операций по ликвидации серверов Cobalt Strike, он сохраняет лидерство, составляя 34% всей обнаруженной C2-инфраструктуры.
Альтернативы Cobalt Strike
Следом за Cobalt Strike идут Viper и Sliver, на которые приходится 15% и 13% соответственно. Эти проекты распространяются в открытом доступе и служат альтернативой коммерческому Cobalt Strike, что способствует их популярности среди злоумышленников.
Динамика PlugX
Отдельного внимания заслуживает динамика PlugX — трояна удалённого доступа, который активно применяют связанные с Китаем группы APT41 и Mustang Panda. С декабря по май наблюдалось общее снижение числа его активных экземпляров, прерванное кратковременным ростом в апреле.
Уменьшение связано с операцией Министерства юстиции США: только на территории страны было удалено около 4258 заражённых систем после получения девяти судебных ордеров. Последний ордер утратил силу в январе 2025 года, что завершило американский этап масштабного международного вмешательства.
География вредоносной инфраструктуры
Наибольшая концентрация вредоносной инфраструктуры обнаружена в Китае и США (55% всех зафиксированных случаев). Заражённые системы выявлены в 62 странах. В первую десятку также вошли Гонконг, Нидерланды, Сингапур, Германия, Россия, Япония, Великобритания и Канада.
Исследователи подчеркивают, что распределение связано скорее с доступностью и политикой хостинг-провайдеров, чем с политическими факторами.
Среди крупнейших сетевых провайдеров, на ресурсах которых чаще всего фиксировалась вредоносная активность, лидируют китайские гиганты Alibaba и Tencent, а также американская компания Cologix. В десятку вошли также Digital Ocean, Vultr, Colocrossing, Amazon, Microsoft и Huawei Cloud.
Специфическая инфраструктура
Активность отдельных семейств, таких как PlugX, заметно отличается по распределению: они чаще используют менее массовые сети. Лидером по количеству инцидентов, связанных с PlugX, стал американский провайдер XNNET, за ним следуют гонконгский Cloudie и тайский CAT Telecom. Это свидетельствует о том, что отдельные кампании нередко выбирают более специфическую инфраструктуру для скрытности и устойчивости к блокировкам.
Выводы
Данные Censys показывают, что, несмотря на давление со стороны международных структур, в сети сохраняется значительный объём активных серверов управления вредоносными программами. Китай и США остаются крупнейшими точками концентрации, а Cobalt Strike продолжает играть ключевую роль в арсенале кибергруппировок.
Анализ C2-инфраструктуры киберпреступности, проведенный Censys, выявляет устойчивость и адаптивность угроз в цифровой среде. Несмотря на усилия по ликвидации вредоносных серверов, злоумышленники продолжают использовать C2-серверы для управления зараженными системами, демонстрируя постоянную эволюцию своих тактик.
Наиболее важный вывод заключается в том, что киберпреступность становится всё более профессионализированной и организованной. Рост использования взломанных домашних роутеров и офисных сетевых устройств для маскировки трафика свидетельствует о стремлении злоумышленников к большей скрытности и устойчивости.
Другой важный аспект — географическое распределение C2-инфраструктуры. Концентрация серверов в Китае и США подчеркивает глобальный характер киберугроз. Необходимо международное сотрудничество для эффективной борьбы с киберпреступностью, поскольку усилия отдельных стран могут быть недостаточными.
Анализ Censys демонстрирует необходимость постоянного мониторинга киберпространства и адаптации защитных мер к новым угрозам. Повышение осведомленности о методах киберпреступников и внедрение комплексных систем защиты являются ключевыми факторами для минимизации рисков в цифровой среде.
Источник: securitylab.ru
