Hunting for enemy infrastructure in Japan

概要 / Overview

Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年4月21日から4月27日までです。合計14件のC2サーバーが検出され、Cobalt Strikeをはじめとした複数のC2が利用されていることが確認されました。

I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from April 21 to April 27, 2025. A total of 14 C2 servers were detected, a

サマリ / Summary

期間 / Period: 2025年4月21日～27日
検出されたC2サーバー数 / Total Number of C2 Servers: 14 IPs

C2種別内訳 / Type of C2 Servers Found

Censys label	Count
Brute Ratel C4	5
Sliver	3
NHAS Reverse SSH	2
NetSupportManager RAT 8	1
Pantegana	1
Cobalt Strike	1
NetSupportManager RAT 4	1

詳細データ / Aggregate Data

No	Date	IP	Autonomous System Number	Autonomous System Label	Censys label
1	4月21日	18[.]176[.]122[.]97	16509	AMAZON-02	Brute Ratel C4
2	4月22日	13[.]231[.]249[.]197	16509	AMAZON-02	NetSupportManager RAT 8
3	4月22日	18[.]180[.]239[.]207	16509	AMAZON-02	Brute Ratel C4
4	4月23日	13[.]112[.]11[.]137	16509	AMAZON-02	Brute Ratel C4
5	4月23日	43[.]163[.]196[.]208	132203	Tencent Building, Kejizhongyi Avenue	Sliver
6	4月23日	84[.]247[.]153[.]54	141995	Contabo Asia Private Limited	Sliver
7	4月24日	54[.]250[.]0[.]227	16509	AMAZON-02	Brute Ratel C4
8	4月24日	52[.]69[.]244[.]101	16509	AMAZON-02	Brute Ratel C4
9	4月24日	23[.]27[.]52[.]128	149440	Evoxt Enterprise	Pantegana
10	4月25日	35[.]78[.]114[.]163	16509	AMAZON-02	NHAS Reverse SSH
11	4月25日	20[.]89[.]67[.]216	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Sliver
12	4月25日	166[.]88[.]14[.]137	149440	Evoxt Enterprise	Cobalt Strike
13	4月25日	13[.]208[.]169[.]228	16509	AMAZON-02	NetSupportManager RAT 4
14	4月27日	66[.]42[.]43[.]179	20473	AS-VULTR	NHAS Reverse SSH