C2-сервера выполняют роль централизованных узлов, позволяя удалённо управлять заражёнными машинами, загружать команды, собирать данные и поддерживать связь в ботнетах. Кроме того, специалисты отмечают рост использования взломанных домашних маршрутизаторов и офисных сетевых устройств для проксирования трафика, что помогает группировкам, таким как Volt Typhoon , маскировать свои операции, передаёт Securitylab.
В ходе полугодового анализа, охватывающего период с декабря 2024 года по май 2025-го, Censys зафиксировала в среднем 2906 активных экземпляров вредоносных программ на момент каждого среза. Пик пришёлся на середину декабря, после чего в январе количество детекций снизилось на 14% — главным образом из-за уменьшения числа Cobalt Strike в Китае. Хотя изначально этот инструмент создавался для тестирования на проникновение, за десятилетие он превратился в один из самых распространённых наборов инструментов у атакующих, обеспечивая не только управление заражёнными системами, но и широкий набор функций для постэксплуатации. Даже после серии международных операций по ликвидации серверов Cobalt Strike он удерживает лидерство, составляя 34% всей обнаруженной C2-инфраструктуры.
Следом идут Viper и Sliver, на которые приходится 15% и 13% соответственно. Эти проекты распространяются в открытом доступе и служат альтернативой коммерческому Cobalt Strike , что способствует их популярности среди злоумышленников. Отдельный интерес вызывает динамика PlugX — трояна удалённого доступа, который активно применяют связанные с Китаем группы APT41 и Mustang Panda .
С декабря по май наблюдалось общее снижение числа его активных экземпляров, прерванное кратковременным ростом в апреле. Уменьшение связано с операцией Минюста США : только на территории страны было удалено около 4258 заражённых систем после получения девяти судебных ордеров. Последний ордер утратил силу в январе 2025 года, что завершило американский этап масштабного международного вмешательства.
Географически наибольшая концентрация вредоносной инфраструктуры обнаружена в Китае и США, на которые вместе приходится 55% всех зафиксированных случаев. Всего заражённые системы выявлены в 62 странах. В первой десятке также оказались Гонконг, Нидерланды, Сингапур, Германия, Россия, Япония, Великобритания и Канада.
Однако исследователи подчёркивают, что распределение связано скорее с доступностью и политикой хостинг-провайдеров, чем с политическими факторами. Среди крупнейших сетевых провайдеров, на ресурсах которых чаще всего фиксировалась вредоносная активность, лидируют китайские гиганты Alibaba и Tencent, а также американская компания Cologix. В десятку вошли также Digital Ocean, Vultr, Colocrossing, Amazon, Microsoft и Huawei Cloud.
При этом активность отдельных семейств, таких как PlugX , заметно отличается по распределению: они чаще используют менее массовые сети. В частности, лидером по количеству инцидентов, связанных с PlugX, стал американский провайдер XNNET, за ним следуют гонконгский Cloudie и тайский CAT Telecom. Это свидетельствует о том, что отдельные кампании нередко выбирают более специфическую инфраструктуру для скрытности и устойчивости к блокировкам.
Таким образом, данные Censys показывают, что, несмотря на заметное давление со стороны международных структур, в сети сохраняется значительный объём активных серверов управления вредоносными программами. Китай и США остаются крупнейшими точками концентрации, а такие инструменты, как Cobalt Strike, продолжают играть ключевую роль в арсенале кибергруппировок.