Hunting for enemy infrastructure in Japan

概要 / Overview

Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年9月15日から9月21日までです。合計17件のC2サーバーが検出され、Cobalt Strike をはじめとした複数のC2が利用されていることが確認されました。

I used the Censys search function to investigate the infrastructure in Japan labeled C2. The investigation period was from September 15 to September 21. A total of 17 C2 servers were detected, and it was confirmed that multiple C2s, including Cobalt Strike , were in use.

サマリ / Summary

期間 / Period: 2025年9月15日～9月21日
検出されたC2サーバー数 / Total Number of C2 Servers: 17 IPs

C2種別内訳 / Type of C2 Servers Found

Censys label	Count
GHOST	10
Cobalt Strike	2
Sliver	2
Mythic	1
Supershell	1
DcRat	1

詳細データ / Aggregate Data

No	Date	IP	Autonomous System Number	Autonomous System Label	Censys label
1	9月16日	108[.]160[.]143[.]248	20473	AS-VULTR	Mythic
2	9月16日	5[.]8[.]71[.]125	202422	G-Core Labs S.A.	Cobalt Strike
3	9月17日	8[.]211[.]156[.]87	45102	Alibaba US Technology Co., Ltd.	DcRat
4	9月17日	202[.]182[.]117[.]236	20473	AS-VULTR	Supershell
5	9月18日	23[.]249[.]20[.]39	152156	Naruto	GHOST
6	9月18日	34[.]146[.]49[.]105	396982	GOOGLE-CLOUD-PLATFORM	Sliver
7	9月18日	23[.]249[.]20[.]94	152156	Naruto	GHOST
8	9月18日	23[.]249[.]20[.]22	152156	Naruto	GHOST
9	9月18日	23[.]249[.]20[.]81	152156	Naruto	GHOST
10	9月18日	23[.]249[.]20[.]27	152156	Naruto	GHOST
11	9月18日	89[.]233[.]104[.]159			Sliver
12	9月18日	23[.]249[.]20[.]49	152156	Naruto	GHOST
13	9月18日	23[.]249[.]20[.]78	152156	Naruto	GHOST
14	9月18日	23[.]249[.]20[.]67	152156	Naruto	GHOST
15	9月18日	23[.]249[.]20[.]46	152156	Naruto	GHOST
16	9月18日	23[.]249[.]20[.]55	152156	Naruto	GHOST
17	9月20日	156[.]227[.]235[.]133	138152	YISU CLOUD LTD	Cobalt Strike