Hunting for enemy infrastructure in Japan

概要 / Overview

Censysのアカウントで色々とあり、20週は調査できませんでした。。。
Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年5月19日から5月25日までです。合計17件のC2サーバーが検出され、Cobalt Strikeをはじめとした複数のC2が利用されていることが確認されました。

I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from May 19 to May 25, 2025. A total of 17 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike, were in use.

サマリ / Summary

期間 / Period: 2025年5月19日～25日
検出されたC2サーバー数 / Total Number of C2 Servers: 17 IPs

C2種別内訳 / Type of C2 Servers Found

Censys label	Count
Cobalt Strike	6
Brute Ratel C4	3
NetSupportManager RAT 0	2
Pupy RAT	1
Quasar	1
Ermac 3.0	1
Sliver	1
Gh0st RAT	1
DcRat	1

詳細データ / Aggregate Data

No	Date	IP	Autonomous System Number	Autonomous System Label	Censys label
1	5月21日	66[.]42[.]44[.]50	20473	AS-VULTR	Pupy RAT
2	5月21日	205[.]198[.]88[.]140	138997	Eons Data Communications Limited	Cobalt Strike
3	5月21日	103[.]4[.]8[.]40	16509	AMAZON-02	Cobalt Strike
4	5月21日	48[.]210[.]87[.]192	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Quasar
5	5月21日	18[.]178[.]98[.]166	16509	AMAZON-02	Brute Ratel C4
6	5月21日	206[.]119[.]173[.]95	133199	SonderCloud Limited	Ermac 3.0
7	5月21日	3[.]112[.]231[.]184	16509	AMAZON-02	NetSupportManager RAT 0
8	5月21日	8[.]216[.]80[.]229	45102	Alibaba US Technology Co., Ltd.	Sliver
9	5月21日	18[.]177[.]128[.]103	16509	AMAZON-02	Brute Ratel C4
10	5月21日	43[.]207[.]26[.]109	16509	AMAZON-02	Brute Ratel C4
11	5月22日	156[.]236[.]74[.]163	138152	YISU CLOUD LTD	Gh0st RAT
12	5月23日	13[.]208[.]245[.]54	16509	AMAZON-02	Cobalt Strike
13	5月24日	13[.]115[.]131[.]56	16509	AMAZON-02	DcRat
14	5月24日	172[.]233[.]91[.]85	63949	Akamai Connected Cloud	Cobalt Strike
15	5月24日	54[.]168[.]57[.]156	16509	AMAZON-02	NetSupportManager RAT 0
16	5月25日	141[.]11[.]138[.]95	199707	ByteVirt LLC	Cobalt Strike
17	5月25日	185[.]200[.]65[.]151	3258	xTom Japan Corporation	Cobalt Strike