Hunting for enemy infrastructure in Japan
概要 / Overview
Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年4月14日から4月20日までです。合計9件のC2サーバーが検出され、Cobalt Strikeをはじめとした複数のC2が利用されていることが確認されました。
I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from April 14 to April 20, 2025. A total of 9 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike, were in use.
サマリ / Summary
- 期間 / Period: 2025年4月14日~20日
- 検出されたC2サーバー数 / Total Number of C2 Servers: 9 IPs
C2種別内訳 / Type of C2 Servers Found
| Censys label | Count |
|---|---|
| Cobalt Strike | 4 |
| NetSupportManager RAT . | 2 |
| NetSupportManager RAT 9 | 2 |
| Havoc | 1 |
詳細データ / Aggregate Data
| No | Date | IP | Autonomous System Number | Autonomous System Label | Censys label |
|---|---|---|---|---|---|
| 1 | 4月14日 | 176[.]126[.]114[.]137 | 3258 | xTom Japan Corporation | Cobalt Strike |
| 2 | 4月15日 | 13[.]112[.]240[.]72 | 16509 | AMAZON-02 | Cobalt Strike |
| 3 | 4月18日 | 167[.]179[.]118[.]29 | 20473 | AS-VULTR | Havoc |
| 4 | 4月18日 | 15[.]168[.]239[.]40 | 16509 | AMAZON-02 | NetSupportManager RAT . |
| 5 | 4月18日 | 34[.]84[.]6[.]57 | 396982 | GOOGLE-CLOUD-PLATFORM | Cobalt Strike |
| 6 | 4月18日 | 13[.]208[.]241[.]42 | 16509 | AMAZON-02 | NetSupportManager RAT 9 |
| 7 | 4月19日 | 15[.]168[.]164[.]74 | 16509 | AMAZON-02 | NetSupportManager RAT 9 |
| 8 | 4月19日 | 35[.]78[.]171[.]69 | 16509 | AMAZON-02 | NetSupportManager RAT . |
| 9 | 4月19日 | 43[.]163[.]215[.]175 | 132203 | Tencent Building, Kejizhongyi Avenue | Cobalt Strike |
Special Thanks
この調査はCensys社のResearch Accessによって実施されました。
ご支援に深く感謝いたします。
