研究人员绘制超过1250个活跃C2服务器在俄罗斯托管提供商之间

执行摘要

网络安全研究人员绘制了一个庞大的网络，该网络包含超过1,250个活跃的命令与控制（C2）服务器，这些服务器在2026年1月至4月间在俄罗斯商业托管生态系统内运行。这些基础设施分布在165个提供商之间，支持包括勒索软件部署和数据盗窃在内的广泛恶意活动，以其弹性和故意使用国内俄罗斯服务来复杂化执法干预而著称。

技术分析

这项调查从2026年1月1日进行到4月1日，通过分析与已知恶意软件家族相关的流量模式、域名注册和SSL证书元数据来识别C2服务器。根据CyberSecurity News的源报告，这些服务器并没有集中在几个大型提供商中，而是分布在广泛的165家托管公司中。这种分散的结构增强了网络的生存能力；关闭单一提供商对整体运营影响微乎其微。

技术基础设施严重依赖于共享托管和虚拟专用服务器（VPS），这为攻击者提供了低成本、易于部署和一定程度的匿名性。观察到相当一部分C2通信使用标准的HTTPS端口，将恶意流量与合法网络流量混合，以规避简单的网络黑名单。研究表明，这些服务器正在积极管理僵尸网络，外泄数据，并交付下一阶段的有效载荷，包括勒索软件。

入侵指标

目前没有识别出任何指标。源报告提供了基础设施的广泛分析，但没有发布与映射的C2服务器相关的特定IP地址、域名或文件哈希。

战术、技术与程序

背后的威胁行为者采用几种技术来维持持久性和逃避检测。T1583.001（获取基础设施：域名）和T1583.006（获取基础设施：网络服务）是核心，因为它们利用商业上可用的俄罗斯托管服务。使用T1071.001（应用层协议：网络协议）通过HTTPS进行C2通信非常普遍。此外，跨多个提供商的分布展示了T1587.001（发展能力：基础设施），构建了一个弹性的、去中心化的C2网络，通过传统的针对单个ASN或提供商的取缔行动难以拆除。

威胁行为者背景

报告没有将基础设施归因于一个特定的命名威胁组织。相反，它描述了一个由多个行为者共享的恶意生态系统，包括勒索软件即服务（RaaS）的分支机构和网络犯罪集团。有意识地选择使用俄罗斯托管提供商是一个战略决策。它将基础设施大部分置于西方执法机构的触及范围之外，并复杂化了跨境司法合作的取缔行动，同时可能受益于一个宽容或不执行的本地环境。

缓解措施与建议

网络防御者应假设大量恶意C2流量源自俄罗斯商业IP空间。建议包括：

• 实施网络监控和入侵检测系统（IDS），调整以检测信标活动和异常的出站连接到广泛的俄罗斯托管提供商ASNs，而不仅仅是少数已知的不良IP。
• 应用跟踪基于行为模式和SSL证书异常的基础设施的威胁情报源，而不仅仅依赖于静态指标。
• 分割网络并执行严格的出口过滤策略，以限制关键资产不必要的出站流量。
• 在俄罗斯境内或与俄罗斯实体打交道的组织应加强审查，因为该基础设施也可能用于该地区内的目标攻击。