Хакерам здесь комфортно. Почему популярные хостинги так нравятся авторам вирусов
Из чего состоит современная сеть для взломов.
За кулисами кибератак скрывается не только вредоносный код, но и целая инфраструктура, без которой атаки просто не работают. Новое исследование показало, как именно распределяются такие ресурсы в российских сетях и почему злоумышленники снова и снова возвращаются к одним и тем же площадкам.
За три месяца, с 1 января по 1 апреля 2026 года, специалисты выявили более 1250 активных серверов управления вредоносными программами. Такие серверы используют для связи с заражёнными устройствами и управления атаками. Вся инфраструктура распределена между 165 провайдерами, включая хостинг-площадки, облачные сервисы и телекоммуникационные сети.
Картина получилась неравномерной. Основная масса вредоносной активности приходится именно на серверы управления, около 88,6% всех обнаруженных объектов. Фишинговые сайты занимают примерно 4,9%, открытые каталоги с вредоносным содержимым – около 5,3%, а публично зафиксированные индикаторы компрометации едва дотягивают до 1,2%.
При этом значительная доля инфраструктуры сосредоточена у ограниченного числа провайдеров. Такая концентрация позволяет злоумышленникам экономить ресурсы и повторно использовать уже развёрнутые инструменты. Речь идёт не о единичных случаях, а о системной практике.
Анализ показал, что в российских сетях доминируют несколько семейств вредоносных программ и инструментов. Среди них Keitaro, Hajime, Tactical RMM, Cobalt Strike, Sliver и Ligolo-ng. Многие из них представляют собой готовые платформы, которые помогают быстро развернуть атаки и масштабировать операции.
Отдельно выделяются ботнеты, нацеленные на устройства интернета вещей. Hajime, Mozi и Mirai по-прежнему активно используют взломанные маршрутизаторы и встраиваемые устройства. Такая техника позволяет создавать распределённые сети заражённых устройств, которые сложно отследить и отключить.
Инфраструктура применяется не только для массовых атак. Специалисты зафиксировали широкий спектр активности: от фишинга и распространения программ для кражи данных до сканирования сетей и точечных вторжений. Причём одна и та же площадка нередко используется на разных этапах атаки, от разведки до того, как закрепиться в системе.
Например, в одной из кампаний злоумышленники маскировали вредоносный код под проверку «капчи» и заставляли пользователей запускать команды, которые загружали вредоносную программу Latrodectus. В другом случае распространяли Lumma Stealer через поддельные архивы и модифицированные браузеры. Встречались и более сложные атаки: злоумышленники применяли трояны удалённого доступа, внедряли код на взломанные сайты и скрытно управляли системами через зашифрованные каналы.
Отдельные операции были направлены на конкретные организации. В одной из них использовали вредоносные инструменты PhantomHeart и PhantomProxyLite, которые обеспечивали скрытый доступ и туннелировали трафик. В другой кампании злоумышленники распространяли похититель данных через сотни репозиториев на GitHub, маскируя вредоносные файлы под полезные программы и игровые модификации.
Несмотря на большое число провайдеров, вредоносная активность распределяется по чёткой закономерности. Злоумышленники выбирают инфраструктуру с удобным доступом, гибкими условиями оплаты и возможностью быстро развернуть серверы. В результате одни и те же площадки снова оказываются в центре кибератак.
Такой подход позволяет защитным командам смотреть на проблему шире. Вместо охоты за отдельными вредоносными файлами можно сосредоточиться на инфраструктуре, где атаки зарождаются и развиваются. Именно на этом уровне проще выявлять повторяющиеся схемы и нарушать работу злоумышленников.