Hunting for enemy infrastructure in Japan

概要 / Overview

Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年6月23日から6月29日までです。合計16件のC2サーバーが検出され、Cobalt Strike をはじめとした複数のC2が利用されていることが確認されました。

I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from June 23 to June 29, 2025. A total of 26 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike , were in use.

サマリ / Summary

期間 / Period: 2025年6月23日～29日
検出されたC2サーバー数 / Total Number of C2 Servers: 16 IPs

C2種別内訳 / Type of C2 Servers Found

Censys label	Count
Cobalt Strike	6
Supershell	2
NetSupportManager RAT 9	2
NetSupportManager RAT 0	1
NetSupportManager RAT .	1
Mythic	1
Brute Ratel C4	1
NetSupportManager RAT 2	1
PlugX	1

詳細データ / Aggregate Data

No	Date	IP	Autonomous System Number	Autonomous System Label	Censys label
1	6月23日	18[.]182[.]3[.]254	16509	AMAZON-02	NetSupportManager RAT 0
2	6月25日	15[.]168[.]13[.]231	16509	AMAZON-02	NetSupportManager RAT .
3	6月25日	156[.]227[.]233[.]153	138152	YISU CLOUD LTD	Cobalt Strike
4	6月25日	20[.]89[.]73[.]220	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Cobalt Strike
5	6月25日	13[.]158[.]139[.]252	16509	AMAZON-02	NetSupportManager RAT 9
6	6月26日	15[.]152[.]49[.]131	16509	AMAZON-02	NetSupportManager RAT 9
7	6月26日	154[.]83[.]92[.]128	61112	AKILE LTD	Mythic
8	6月27日	212[.]50[.]235[.]174	25820	IT7NET	Cobalt Strike
9	6月27日	52[.]197[.]160[.]186	16509	AMAZON-02	Brute Ratel C4
10	6月27日	47[.]79[.]89[.]5	45102	Alibaba US Technology Co., Ltd.	Cobalt Strike
11	6月28日	56[.]155[.]3[.]102	16509	AMAZON-02	NetSupportManager RAT 2
12	6月28日	45[.]77[.]24[.]26	20473	AS-VULTR	Cobalt Strike
13	6月28日	48[.]210[.]223[.]56	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Supershell
14	6月29日	15[.]168[.]37[.]141	16509	AMAZON-02	Cobalt Strike
15	6月29日	20[.]27[.]213[.]0	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Supershell
16	6月29日	23[.]27[.]201[.]60	149440	Evoxt Enterprise	PlugX