Купили роутер от китайского бренда? Поздравляем, Volt Typhoon благодарит за сотрудничество

В отчёте State of the Internet 2025, опубликованном экспертами Censys, акцент сделан на инфраструктуре, используемой киберпреступниками, в частности, на командных серверах (C2) и других инструментах для координации атак и поддержания контроля над заражёнными системами.

C2-серверы выступают в качестве центральных узлов управления, позволяя дистанционно контролировать заражённые компьютеры, передавать команды, собирать информацию и обеспечивать связь внутри ботнетов. Исследователи также отмечают тенденцию к использованию взломанных домашних роутеров и офисных сетевых устройств для маскировки трафика, что, к примеру, применяют группировки вроде Volt Typhoon для сокрытия своих действий.

Анализ, проведённый Censys за полгода (с декабря 2024 по май 2025), выявил в среднем 2906 активных экземпляров вредоносного ПО в каждый момент времени. Пиковое значение было зафиксировано в середине декабря, после чего в январе произошло снижение на 14%, в основном из-за уменьшения числа Cobalt Strike в Китае. Этот инструмент, изначально предназначенный для тестирования на проникновение, стал одним из наиболее популярных среди злоумышленников, предоставляя возможности не только управления заражёнными системами, но и широкий спектр функций для постэксплуатации. Несмотря на международные усилия по ликвидации серверов Cobalt Strike, он продолжает лидировать, составляя 34% всей обнаруженной C2-инфраструктуры.

Далее следуют Viper и Sliver с долями 15% и 13% соответственно. Эти проекты, распространяемые в открытом доступе, являются альтернативой Cobalt Strike и пользуются популярностью у злоумышленников. Особое внимание привлекает PlugX – троян удалённого доступа, активно используемый группами APT41 и Mustang Panda, связанными с Китаем.

С декабря по май наблюдалось общее снижение числа активных экземпляров PlugX, с небольшим подъёмом в апреле. Уменьшение связано с операцией Министерства юстиции США, в результате которой было удалено около 4258 заражённых систем после получения девяти судебных ордеров.

Наибольшая концентрация вредоносной инфраструктуры обнаружена в Китае и США, на которые приходится 55% всех зафиксированных случаев. В общей сложности заражённые системы выявлены в 62 странах.

Активность отдельных семейств, таких как PlugX, отличается по распределению: они чаще используют менее крупные сети.

Данные Censys свидетельствуют о том, что, несмотря на усилия международных структур, в сети сохраняется значительное количество активных серверов управления вредоносными программами.