Hunting for enemy infrastructure in Japan
概要 / Overview
Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年4月7日から4月13日までです。合計13件のC2サーバーが検出され、Cobalt Strikeをはじめとした複数のC2が利用されていることが確認されました。
I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from April 7 to April 13, 2025. A total of 13 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike, were in use.
サマリ / Summary
- 期間 / Period: 2025年4月7日~13日
- 検出されたC2サーバー数 / Total Number of C2 Servers: 13 IPs
C2種別内訳 / Type of C2 Servers Found
| Censys label | Count |
|---|---|
| Cobalt Strike | 6 |
| Brute Ratel C4 | 3 |
| NetSupportManager RAT . | 1 |
| Supershell | 1 |
| NetSupportManager RAT 3 | 1 |
| NetSupportManager RAT 2 | 1 |
詳細データ / Aggregate Data
| No | Date | IP | Autonomous System Number | Autonomous System Label | Censys label |
|---|---|---|---|---|---|
| 1 | 4月7日 | 13[.]208[.]71[.]18 | 16509 | AMAZON-02 | NetSupportManager RAT . |
| 2 | 4月7日 | 35[.]79[.]81[.]8 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 3 | 4月8日 | 116[.]206[.]92[.]159 | 51847 | Nearoute Limited | Cobalt Strike |
| 4 | 4月8日 | 54[.]249[.]53[.]66 | 16509 | AMAZON-02 | Supershell |
| 5 | 4月8日 | 20[.]89[.]182[.]93 | 8075 | MICROSOFT-CORP-MSN-AS-BLOCK | Brute Ratel C4 |
| 6 | 4月9日 | 45[.]77[.]133[.]111 | 20473 | AS-VULTR | Cobalt Strike |
| 7 | 4月9日 | 64[.]176[.]44[.]186 | 20473 | AS-VULTR | Cobalt Strike |
| 8 | 4月10日 | 52[.]195[.]178[.]254 | 16509 | AMAZON-02 | NetSupportManager RAT 3 |
| 9 | 4月11日 | 198[.]13[.]34[.]134 | 20473 | AS-VULTR | Cobalt Strike |
| 10 | 4月11日 | 45[.]32[.]56[.]150 | 20473 | AS-VULTR | Cobalt Strike |
| 11 | 4月12日 | 13[.]208[.]166[.]13 | 16509 | AMAZON-02 | NetSupportManager RAT 2 |
| 12 | 4月12日 | 52[.]193[.]158[.]188 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 13 | 4月13日 | 45[.]8[.]114[.]33 | 3258 | xTom Japan Corporation | Cobalt Strike |
This week's threat analysis
今回は、Modat Magnifyというツールをご紹介します。
Modat Magnifyは、CensysやShodanと同様に、インフラストラクチャを検索・分析するためのサービスです。
このツールの存在を知ったきっかけは、Xで公式アカウントからコメントをいただいたことでした。
https://magnify.modat.io/
検証には、TRAC Labsによる「Autopsy of a Failed Stealer: StealC v2」で公開されているIoCや、Censysの検索クエリを参考に、Modat Magnifyで同様の調査が可能かを確認しました。
その結果については、4月14日に以下の投稿で共有しています。
https://x.com/momomopas/status/1911781709982634378
This week, I'd like to introduce a tool called Modat Magnify.
Modat Magnify is an infrastructure search and analysis service, similar to tools like Censys and Shodan.
I first learned about this tool when its official account commented on one of my posts on X.
https://magnify.modat.io/
For this test, I referred to the IoCs and Censys queries published in TRAC Labs’ article “Autopsy of a Failed Stealer: StealC v2”, and investigated whether similar infrastructure could be discovered using Modat Magnify.
The results of this investigation were shared in the following post on April 14:
https://x.com/momomopas/status/1911781709982634378
Censysクエリ/Censys Query
services.http.response.body=”<!DOCTYPE html>\n<html>\n<head>\n <meta charset=\”utf-8\”>\n <title>404 Not Found</title>\n <style>\n body {\n width: 35em;\n margin: 0 auto;\n font-family: Tahoma, Verdana, Arial, sans-serif;\n }\n </style>\n</head>\n<body>\n <h1>Not Found</h1>\n <p>The requested URL was not found on this server.</p>\n <hr>\n <address>nginx/1.18.0 (Ubuntu)</address>\n</body>\n</html>”_
45[.]93[.]20[.]64
元記事/Original article: https://trac-labs.com/autopsy-of-a-failed-stealer-stealc-v2-a4e32da04396
調査の流れ/Investigation Steps
まずは、IoCとして示されていたIPアドレス「45[.]93[.]20[.]64」をModat Magnifyで検索しました。
First, I searched for the IoC 45[.]93[.]20[.]64 using Modat Magnify.
次に、HTMLの中身を確認しました。Modat Magnifyでは以下のように表示されます。
Next, I checked the HTML content. Modat Magnify displayed the following response:
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>404 Not Found</title> <style> body { width: 35em; margin: 0 auto; font-family: Tahoma, Verdana, Arial, sans-serif; } </style> </head> <body> <h1>Not Found</h1> <p>The requested URL was not found on this server.</p> <hr> <address>nginx/1.18.0 (Ubuntu)</address> </body> </html>
この結果から、Modat Magnifyで検索クエリを組み立て、類似のホストを探すことにしました。 今回はHTMLハッシュ(mmh3)を使用し、以下のような検索を実施しました。
Based on this result, I created a query for Modat Magnify using the HTML hash (mmh3) to search for similar hosts.
web.html.mmh3=394931648
検索結果/Results
このクエリにより、4月14日時点で39ホストがヒットしました。
As of April 14, this query returned 39 hosts.
91[.]211[.]250[.]177 165[.]232[.]130[.]232 185[.]87[.]48[.]173 198[.]251[.]84[.]78 176[.]65[.]142[.]47 91[.]92[.]46[.]146 91[.]220[.]8[.]107 176[.]65[.]142[.]44 81[.]19[.]131[.]77 116[.]202[.]216[.]170 89[.]110[.]116[.]81 91[.]92[.]46[.]177 62[.]113[.]118[.]58 62[.]60[.]226[.]20 45[.]141[.]233[.]86 83[.]217[.]208[.]133 161[.]97[.]75[.]178 179[.]43[.]180[.]186 62[.]60[.]226[.]20 143[.]198[.]130[.]49 62[.]60[.]226[.]114 194[.]55[.]137[.]8 77[.]90[.]153[.]241 85[.]158[.]108[.]135 185[.]102[.]115[.]17 85[.]208[.]119[.]2 83[.]229[.]17[.]68 213[.]21[.]237[.]183 5[.]253[.]30[.]7 45[.]93[.]20[.]64 91[.]92[.]46[.]133 103[.]163[.]186[.]78 77[.]105[.]164[.]183 2[.]56[.]166[.]193 85[.]192[.]48[.]188 147[.]45[.]44[.]116 147[.]45[.]44[.]173 213[.]21[.]237[.]173 104[.]245[.]241[.]7
このうち、6ホストは元のIoC情報には含まれていない新たなホストでした。
Modat Magnifyを通じて、未検出の関連インフラを発見できたことになります。
Out of these 39 results, six were not listed in the original IoC information.
This suggests that Modat Magnify was able to uncover related infrastructure that had not yet been reported.
新たに発見されたホスト(6件)/Newly Identified Hosts (6)
165[.]232[.]130[.]232 198[.]251[.]84[.]78 91[.]92[.]46[.]146 143[.]198[.]130[.]49 103[.]163[.]186[.]78 77[.]105[.]164[.]183
それぞれのホストの表示画面は以下のとおりです。
Below are screenshots of each of the newly found hosts.
165[.]232[.]130[.]232
198[.]251[.]84[.]78
91[.]92[.]46[.]146
143[.]198[.]130[.]49
103[.]163[.]186[.]78
77[.]105[.]164[.]183
まとめ/Conclusion
今回の検証から、Modat Magnifyは有用なインフラ探索ツールの一つとして、調査活動の選択肢に加えてよいと感じました。CensysやShodanに加えて、異なる視点からの発見が得られる可能性があります。
Based on this investigation, I believe that Modat Magnify is a valuable alternative infrastructure hunting tool that can complement platforms like Censys and Shodan.
It offers a different perspective that may help uncover overlooked or newly deployed malicious infrastructure.
参考クエリ例
| カテゴリ | 対象 | クエリ例 |
|---|---|---|
| IP | IPv4 address | 1.1.1.1 | ip=1.1.1.1 | 1.1.1.1:443 |
| Port | port=443 | |
| Port Range | port=20-100 | port<100 \| port>100 | |
| Transport Protocol | transport=tcp | transport=udp | |
| Net | net=0.0.0.0/16 | |
| Service | service=ssh | |
| Organization | org="Leiden University" | |
| ASN | asn=1234 | |
| AS | as=AS1234 | |
| ASN org | asn.org ~ 'Google' | |
| AS org | as.org~Google | |
| DNS (Beta) | Domain | domain=google.com |
| Domain (suffix match) | domain.suffix=xyz | |
| Geo Location | Country Name | country="The Netherlands" |
| Country(ISO 3166-1) | country=CN | |
| City | city="The Hague" | |
| Certificate | JARM | cert.jarm= 07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1 |
| Trusted | cert.trusted | |
| Expired | cert.expired | |
| SSL full search | cert~"example" | |
| Issuer ORG | cert.issuer.org = 'org' | cert.issuer.org ~ 'org' | |
| Issuer CN | cert.issuer.cn = 'example.com' | cert.issuer.cn ~ 'example.com' | |
| Issuer Country | cert.issuer.country = 'NL' | cert.issuer.country ~ 'NL' | |
| Issuer OU | cert.issuer.ou = 'example' | cert.issuer.ou ~ 'example' | |
| Issuer Province | cert.issuer.province = 'Den Haag' | cert.issuer.province ~ 'Den Haag' | |
| Issuer Locality | cert.issuer.locality = 'Salford' | cert.issuer.locality ~ 'Salford' | |
| Issuer Email | cert.issuer.email = 'mail@example.com' | cert.issuer.email ~ 'mail@example.com' | |
| Subject ORG | cert.subject.org = 'org' | cert.subject.org ~ 'org' | |
| Subject CN | cert.subject.cn = '.example.com' | cert.subject.cn ~ '.example.com' | |
| Subject Country | cert.subject.country = 'MA' | cert.subject.country ~ 'MA' | |
| Subject OU | cert.subject.ou = 'example' | cert.subject.ou ~ 'example' | |
| Subject Province | cert.subject.province = 'Rabat' | cert.subject.province ~ 'Rabat' | |
| Subject Locality | cert.subject.locality = 'Amsterdam' | cert.subject.locality ~ 'Amsterdam' | |
| Subject Email | cert.subject.email = localhost | cert.subject.email ~ localhost | |
| SHA-1 Fingerprint | cert.fingerprint.sha1=8cafa1f0bb6a2234d5820fd8460718811936ac79 | |
| Non-web | Banner | banner~"220-FileZilla Server 0.9.60 beta" |
| SSH Hassh | ssh.hassh=adfc4ce081c649531c9aa6bd3b3d98ce | |
| Web | Inside of HTML body | web.html ~ login |
| HTML Title | web.title ~ "Admin Login" | |
| Specific header | web.headers ~ "Server: Apache" | |
| Status code | web.status_code=200 | |
| HTML hash (mmh3) | web.html.mmh3=1109989662 | |
| HTML hash (SHA-1) | web.html.sha1=c2c6753cbd0b8e1061fd2fa106ae76dd96f9fdb4 | |
| HTML hash (SHA-256) | web.html.sha256=b65a60b70c3219fb0fb4f773d8ef3fd10ea87539079e08e7b0d918787c351206 | |
| Fingerprints | Technology | technology=Nginx |
| Technology version | technology=PHP technology.version=8.3.15 | |
| OS | os=windows | |
| OS version | os="Windows CE" os.version=7.00 | |
| Tags | 3D Printer | tag="3D Printer" |
| Bug Bounty | tag="Bug Bounty" | |
| Camera | tag="Camera" | |
| Camera | tag="Camera" | |
| VNC | tag="VNC" | |
| Redirect | tag="Redirect" | |
| Compromised | tag="Compromised" | |
| Cellular | tag="Cellular" | |
| Database | tag="Database" | |
| Smart Garden | tag="Smart Garden" | |
| DevOps | tag="DevOps" | |
| Printer | tag="Printer" | |
| SDR | tag="SDR" |
Special Thanks
この調査は、Censys社のResearch Accessのご提供により実施されました。
ご支援に深く感謝いたします。
また、素晴らしい調査結果を共有してくださったTRAC Labsの方々にも感謝いたします。
そして最後に、今回のツールをご紹介くださったModat Magnify社にも深く感謝いたします。
This research was conducted with the support of Censys Research Access.
I would like to express my sincere gratitude for their generous assistance.
I also extend my thanks to the team at TRAC Labs for sharing their excellent research findings.
Lastly, I am deeply grateful to Modat Magnify for introducing this valuable tool.
