Hunting for enemy infrastructure in Japan
概要 / Overview
Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年7月28日から8月3日までです。合計9件のC2サーバーが検出され、Cobalt Strike をはじめとした複数のC2が利用されていることが確認されました。
I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from July 28 to August 3, 2025. A total of 9 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike , were in use.
サマリ / Summary
- 期間 / Period: 2025年7月28日~8月3日
- 検出されたC2サーバー数 / Total Number of C2 Servers: 9 IPs
C2種別内訳 / Type of C2 Servers Found
| Censys label | Count |
|---|---|
| Brute Ratel C4 | 2 |
| Chaos | 1 |
| Cobalt Strike | 1 |
| Sliver | 1 |
| DcRat | 1 |
| PlugX | 1 |
| NetSupportManager RAT 2 | 1 |
| NetSupportManager RAT 1 | 1 |
詳細データ / Aggregate Data
| No | Date | IP | Autonomous System Number | Autonomous System Label | Censys label |
|---|---|---|---|---|---|
| 1 | 7月28日 | 35[.]194[.]117[.]29 | 396982 | GOOGLE-CLOUD-PLATFORM | Chaos |
| 2 | 7月30日 | 172[.]104[.]110[.]213 | 63949 | Akamai Connected Cloud | Sliver |
| 3 | 7月31日 | 96[.]62[.]214[.]108 | 212238 | Datacamp Limited | Cobalt Strike |
| 4 | 7月31日 | 23[.]27[.]169[.]64 | 149440 | Evoxt Enterprise | DcRat |
| 5 | 8月1日 | 166[.]88[.]97[.]138 | 149440 | Evoxt Enterprise | PlugX |
| 6 | 8月1日 | 13[.]208[.]190[.]18 | 16509 | AMAZON-02 | NetSupportManager RAT 2 |
| 7 | 8月2日 | 57[.]182[.]176[.]173 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 8 | 8月2日 | 15[.]168[.]61[.]27 | 16509 | AMAZON-02 | NetSupportManager RAT 1 |
| 9 | 8月3日 | 52[.]194[.]178[.]241 | 16509 | AMAZON-02 | Brute Ratel C4 |
Special Thanks
この調査はCensys社のResearch Accessによって実施されました。
ご支援に深く感謝いたします。
