Hunting for enemy infrastructure in Japan
概要 / Overview
Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年9月1日から9月14日までです。合計28件のC2サーバーが検出され、Cobalt Strike をはじめとした複数のC2が利用されていることが確認されました。
I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from September 1 to September 14. A total of 28 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike , were in use.
サマリ / Summary
- 期間 / Period: 2025年9月1日~9月14日
- 検出されたC2サーバー数 / Total Number of C2 Servers: 28 IPs
C2種別内訳 / Type of C2 Servers Found
| Censys label | Count |
|---|---|
| Cobalt Strike | 6 |
| PlugX | 3 |
| DcRat | 2 |
| AsyncRAT | 2 |
| NetSupportManager RAT 8 | 2 |
| Brute Ratel C4 | 2 |
| Sliver | 2 |
| NetSupportManager RAT 4 | 2 |
| Havoc | 1 |
| NetSupportManager RAT 1 | 1 |
| Chaos | 1 |
| GobRAT | 1 |
| CALDERA | 1 |
| Remcos | 1 |
| NetSupportManager RAT . | 1 |
詳細データ / Aggregate Data
| No | Date | IP | Autonomous System Number | Autonomous System Label | Censys label |
|---|---|---|---|---|---|
| 1 | 9月3日 | 18[.]181[.]96[.]254 | 16509 | AMAZON-02 | NetSupportManager RAT 1 |
| 2 | 9月3日 | 107[.]191[.]60[.]202 | 20473 | AS-VULTR | Havoc |
| 3 | 9月3日 | 212[.]192[.]221[.]76 | 26383 | ASNET | Sliver |
| 4 | 9月4日 | 45[.]32[.]49[.]191 | 20473 | AS-VULTR | Cobalt Strike |
| 5 | 9月4日 | 23[.]27[.]52[.]175 | 149440 | Evoxt Enterprise | DcRat |
| 6 | 9月4日 | 143[.]244[.]40[.]20 | 60068 | Datacamp Limited | AsyncRAT |
| 7 | 9月5日 | 89[.]31[.]126[.]176 | 212238 | Datacamp Limited | Cobalt Strike |
| 8 | 9月5日 | 13[.]208[.]242[.]86 | 16509 | AMAZON-02 | NetSupportManager RAT 8 |
| 9 | 9月6日 | 89[.]31[.]125[.]222 | 212238 | Datacamp Limited | Cobalt Strike |
| 10 | 9月6日 | 166[.]88[.]97[.]163 | 149440 | Evoxt Enterprise | PlugX |
| 11 | 9月6日 | 166[.]88[.]2[.]53 | 149440 | Evoxt Enterprise | PlugX |
| 12 | 9月6日 | 54[.]92[.]35[.]242 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 13 | 9月6日 | 54[.]238[.]164[.]29 | 16509 | AMAZON-02 | Chaos |
| 14 | 9月7日 | 15[.]152[.]46[.]24 | 16509 | AMAZON-02 | NetSupportManager RAT 4 |
| 15 | 9月7日 | 166[.]88[.]97[.]22 | 149440 | Evoxt Enterprise | PlugX |
| 16 | 9月8日 | 52[.]68[.]99[.]67 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 17 | 9月8日 | 56[.]155[.]92[.]53 | 16509 | AMAZON-02 | NetSupportManager RAT 8 |
| 18 | 9月8日 | 185[.]18[.]222[.]5 | 396356 | LATITUDE-SH | DcRat |
| 19 | 9月9日 | 96[.]62[.]214[.]246 | 212238 | Datacamp Limited | AsyncRAT |
| 20 | 9月11日 | 205[.]198[.]79[.]169 | 138997 | Eons Data Communications Limited | Cobalt Strike |
| 21 | 9月11日 | 8[.]216[.]84[.]159 | 45102 | Alibaba US Technology Co., Ltd. | Cobalt Strike |
| 22 | 9月11日 | 45[.]32[.]11[.]81 | 20473 | AS-VULTR | Cobalt Strike |
| 23 | 9月11日 | 52[.]195[.]235[.]214 | 16509 | AMAZON-02 | NetSupportManager RAT 4 |
| 24 | 9月11日 | 38[.]60[.]212[.]187 | 138915 | Kaopu Cloud HK Limited | GobRAT |
| 25 | 9月12日 | 64[.]176[.]56[.]179 | 20473 | AS-VULTR | Sliver |
| 26 | 9月12日 | 34[.]146[.]16[.]72 | 396982 | GOOGLE-CLOUD-PLATFORM | CALDERA |
| 27 | 9月12日 | 217[.]138[.]212[.]52 | 9009 | M247 Europe SRL | Remcos |
| 28 | 9月14日 | 43[.]207[.]74[.]125 | 16509 | AMAZON-02 | NetSupportManager RAT . |
This week's threat analysis
No.27のIPアドレスを起点に、マルウェアのハッシュ値にピボットしました。
当該ハッシュを基に、CAPEで解析を実施しました。
| No | Date | IP | C2 |
|---|---|---|---|
| 27 | 9月12日 | 217[.]138[.]212[.]52 | Remcos |
Result
CAPEの解析結果
プロセスツリー
ネットワーク
Special Thanks
この調査はCensys社のResearch Accessによって実施されました。
ご支援に深く感謝いたします。
