Купили роутер от китайского бренда? Поздравляем, Volt Typhoon благодарит за сотрудничество

Специалисты Censys опубликовали отчёт State of the Internet 2025, сосредоточив внимание на инфраструктуре киберпреступников — серверах управления и контроля (Command and Control, C2) и других средствах, которые используются для координации атак и удержания доступа к заражённым системам.

C2-сервера выполняют роль централизованных узлов, позволяя удалённо управлять заражёнными машинами, загружать команды, собирать данные и поддерживать связь в ботнетах . Кроме того, специалисты отмечают рост использования взломанных домашних маршрутизаторов и офисных сетевых устройств для проксирования трафика, что помогает группировкам, таким как Volt Typhoon , маскировать свои операции.

В ходе полугодового анализа, охватывающего период с декабря 2024 года по май 2025-го, Censys зафиксировала в среднем 2906 активных экземпляров вредоносных программ на момент каждого среза. Пик пришёлся на середину декабря, после чего в январе количество детекций снизилось на 14% — главным образом из-за уменьшения числа Cobalt Strike в Китае. Хотя изначально этот инструмент создавался для тестирования на проникновение, за десятилетие он превратился в один из самых распространённых наборов инструментов у атакующих, обеспечивая не только управление заражёнными системами, но и широкий набор функций для постэксплуатации. Даже после серии международных операций по ликвидации серверов Cobalt Strike он удерживает лидерство, составляя 34% всей обнаруженной C2-инфраструктуры.

Следом идут Viper и Sliver , на которые приходится 15% и 13% соответственно. Эти проекты распространяются в открытом доступе и служат альтернативой коммерческому Cobalt Strike , что способствует их популярности среди злоумышленников. Отдельный интерес вызывает динамика PlugX — трояна удалённого доступа, который активно применяют связанные с Китаем группы APT41 и Mustang Panda .

С декабря по май наблюдалось общее снижение числа его активных экземпляров, прерванное кратковременным ростом в апреле. Уменьшение связано с операцией Минюста США : только на территории страны было удалено около 4258 заражённых систем после получения девяти судебных ордеров. Последний ордер утратил силу в январе 2025 года, что завершило американский этап масштабного международного вмешательства.

Географически наибольшая концентрация вредоносной инфраструктуры обнаружена в Китае и США, на которые вместе приходится 55% всех зафиксированных случаев. Всего заражённые системы выявлены в 62 странах. В первой десятке также оказались Гонконг, Нидерланды, Сингапур, Германия, Россия , Япония, Великобритания и Канада.

Однако исследователи подчёркивают, что распределение связано скорее с доступностью и политикой хостинг-провайдеров, чем с политическими факторами. Среди крупнейших сетевых провайдеров, на ресурсах которых чаще всего фиксировалась вредоносная активность, лидируют китайские гиганты Alibaba и Tencent, а также американская компания Cologix. В десятку вошли также Digital Ocean, Vultr, Colocrossing, Amazon, Microsoft и Huawei Cloud .

При этом активность отдельных семейств, таких как PlugX , заметно отличается по распределению: они чаще используют менее массовые сети. В частности, лидером по количеству инцидентов, связанных с PlugX, стал американский провайдер XNNET, за ним следуют гонконгский Cloudie и тайский CAT Telecom. Это свидетельствует о том, что отдельные кампании нередко выбирают более специфическую инфраструктуру для скрытности и устойчивости к блокировкам.

Таким образом, данные Censys показывают, что, несмотря на заметное давление со стороны международных структур, в сети сохраняется значительный объём активных серверов управления вредоносными программами. Китай и США остаются крупнейшими точками концентрации, а такие инструменты, как Cobalt Strike , продолжают играть ключевую роль в арсенале кибергруппировок. При этом изучение менее распространённых семейств вроде PlugX помогает понять более тонкие механизмы распределения и устойчивости атакующей инфраструктуры.