Сначала сканируем, потом воюем. Кто-то явно читал учебник — и делал всё строго по нему

Во Франции зафиксировали необычно мощную сканирующую инфраструктуру, которая за три месяца успела провести миллионы сетевых сессий и почти не оставила следов нагрузки. По данным Greynoise Labs, речь идёт не о привычном наборе серверов для перебора уязвимостей, а о полноценном кластере, построенном по промышленным стандартам и работающем как единый механизм.

Сеть, связанная с автономной системой AS211590 и компанией Bucklog SARL, развернули в Париже на диапазоне из 256 IP-адресов. Анализ показал, что все узлы используют одинаковую конфигурацию и образ системы, а часть серверов объединена в Kubernetes-кластер с автоматическим развёртыванием. Сертификаты и сетевые отпечатки указывают на централизованное управление и строгую дисциплину эксплуатации.

За 90 дней инфраструктура сгенерировала около 13 миллионов соединений. Основная нагрузка пришлась всего на девять узлов, которые равномерно распределяли трафик. Такой баланс характерен для оркестрации контейнеров и говорит о заранее настроенной архитектуре, а не о хаотичной активности.

Главная цель операций — сбор учётных данных. Система массово ищет файлы конфигурации, включая .env, .git и другие источники секретов. На такие попытки пришлось более шести миллионов обращений. Дополнительно кластер изучает системные каталоги, извлекает параметры серверов и проверяет доступ к облачным ключам.

Отдельное направление — атаки на платформу автоматизации n8n. Более миллиона запросов связаны с уязвимостью CVE-2026-21858, которая позволяет получать файлы без авторизации. Для эксплуатации используются POST-запросы с характерным набором заголовков. Активность выглядит как часть цепочки, где сначала ищут доступные точки, а затем переходят к более сложным сценариям.

Помимо этого, система применяет обход защитных механизмов через двойное кодирование URL, проверяет уязвимости в Laravel, WordPress и других популярных решениях, а также обращает внимание на медицинские системы хранения изображений. Даже относительно небольшое число таких попыток вызывает тревогу из-за критичности целей.

Сканирование затрагивает сетевые устройства, VPN-шлюзы и системы видеонаблюдения. Среди целей — оборудование Palo Alto, Cisco, SonicWall, а также камеры Dahua и Hikvision. Подобный выбор совпадает с интересами известных группировок, связанных с государственными структурами, хотя прямую атрибуцию сделать нельзя.

Динамика активности выглядит показательно. После периода тестирования и умеренной нагрузки в январе система резко нарастила объёмы в феврале. Пик почти достиг миллиона сессий в сутки. Рост начался примерно за две недели до обострения конфликта на Ближнем Востоке, что может указывать на подготовку инфраструктуры к дальнейшим операциям.

Специалисты советуют блокировать весь диапазон сети целиком, так как узлы работают как единая система. Дополнительно рекомендуют срочно закрыть уязвимости в n8n, ограничить доступ к служебным файлам и проверить, не доступны ли конфигурации через веб-сервер.

Активность продолжается, а часть узлов только вводят в эксплуатацию. Если текущая тенденция сохранится, нагрузка и масштаб операций могут заметно вырасти уже в ближайшее время.