文章总结： 报告基于2026年1-4月监测数据，显示俄罗斯境内165家服务商存在1252台活跃C2服务器，占恶意基础设施总量的88.6%。主要分布在TimeWeb、REG.RU等头部服务商，恶意家族以Keitaro、Hajime及CobaltStrike等框架为主，涵盖IoT僵尸网络、窃密攻击和APT活动。防御建议包括封禁高危IP段、强化终端检测、接入威胁情报库及推动跨境协同处置。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,安全运营,解决方案

2026 年 1-4 月俄罗斯恶意基础设施 C2 服务器全景分析报告

原创

ZM ZM

暗镜

2026年4月21日 06:00 北京

在小说阅读器读本章

去阅读

本报告基于 Hunt.io 2026 年 1 月 1 日 – 4 月 14 日监测数据，通过 Host Radar 与 HuntSQL 对俄罗斯境内 165 家基础设施服务商开展全量测绘，共识别 1,252 台活跃 C2 服务器，恶意基础设施总量约 1,290 个，C2 占比高达88.6%，成为俄境内网络威胁核心载体。报告覆盖 C2 分布、服务商画像、恶意家族、典型攻击链及防御建议，揭示俄托管环境已成为全球网络犯罪与高级威胁的关键支撑节点。

一、数据来源与分析方法

数据来源：Hunt.io Host Radar 模块，关联 C2、钓鱼、恶意开放目录、公开 IOC 等威胁指标，回溯至服务商与网络运营商。

分析周期：2026 年 1 月 1 日 —4 月 1 日（90 天）。

覆盖范围：俄罗斯 165 家基础设施提供商，含共享主机、VPS、云服务商、电信运营商。

核心指标：C2 服务器数量、恶意家族分布、服务商恶意承载量、攻击活动类型。

二、核心发现与关键数据

（一）整体威胁规模

共监测到1,290 个恶意基础设施，其中C2 服务器 1,252 台，占比88.6%；

恶意开放目录 75 个（5.3%）、钓鱼站点 69 个（4.9%）、公开 IOC 17 个（1.2%）；

威胁分散于165 家服务商，呈现 “广覆盖、高集中” 特征。

（二）C2 服务器 Top 10 服务商

排名       服务商   C2 数量核心特征

1 TimeWeb      311共享主机为主，扫描与 C2 密集部署

2 WebHost1     140纯 C2 为主，附属恶意活动少

3 REG.RU   138域名注册商，兼具扫描、钓鱼

4 VDSina   86   云 / VPS，单点滥用为主

5 PROSPERO OOO  80   钓鱼 + 开放目录 + 扫描组合活跃

6 Selectel  80   大型云服务商，多家族承载

7 Beget     58   多次卷入 APT 与窃密行动

8 Proton66 OOO     52   高防托管，窃密与勒索工具集中

9 Er-Telecom   35   电信 ISP，边缘节点渗透

10 Rostelecom   27   国家级运营商，少量高价值 C2

（三）恶意家族与工具分布

C2 主控家族

Keitaro：587 个独立 C2 IP，绝对主导；

Hajime：191 个 C2，IoT 僵尸网络主力；

Tactical RMM、Cobalt Strike、Sliver、Ligolo-ng：主流后渗透框架。

IoT 僵尸网络

Hajime、Mozi、Mirai 持续活跃，针对路由器、摄像头等弱口令设备扩张。

窃密与钓鱼工具

Gophish（钓鱼）、Acunetix（扫描）、Lumma Stealer、Remcos RAT、BoryptGrab 高频出现。

（四）恶意多样性 Top 服务商

Yandex.Cloud LLC：11个家族，39 个 C2；

TimeWeb：10 个家族，102 个 C2；

PROSPERO OOO：10 个家族，25 个 C2；

JSC Datacenter：9 个家族，18 个 C2。

三、典型攻击活动与案例

1. Latrodectus 恶意软件（TimeWeb）

手法：伪造 CAPTCHA（ClickFix）诱导执行 curl→PowerShell；

载荷：Latrodectus v2.3，远程控制与数据窃取；

特征：批量部署 C2，快速横向渗透。

2. Lumma Stealer 窃密行动（REG.RU）

载体：Google Groups / 重定向分发；

跨平台：Windows 窃密、Linux伪装 Ninja Browser 持久化；

目标：账号密码、浏览器数据、支付凭证。

3. UAC-0252 钓鱼窃密（Beget）

伪装：乌克兰政府机构；

漏洞：CVE-2025-8088（WinRAR）；

载荷：SHADOWSNIFF、SALATSTEALER、DEAFTICK 后门。

4. BoryptGrab 大规模窃密（Proton66 OOO）

渠道：超 100 个 GitHub 仓库投毒，SEO 引流伪装工具 / 外挂；

规模：批量窃取密钥、钱包、账号信息。

5. Head Mare APT 活动（LLC Smart Ape）

载荷：PhantomHeart 后门+ PhantomProxyLite 代理；

通信：AES 加密 + 反向 SSH 隧道，长期驻留；

目标：关键信息基础设施定向入侵。

四、威胁特征与趋势

C2 绝对主导：88.6% 恶意资产为 C2，以远程控制、窃密、僵尸网络为核心目的；

头部服务商集中承载：TimeWeb、REG.RU、WebHost1 等头部机构占 C2 总量超 50%；

框架化、工具化：Keitaro、Cobalt Strike、Sliver 等商用 / 开源框架降低攻击门槛；

IoT 威胁持续：Hajime、Mozi、Mirai 依托弱口令与漏洞扩张；

攻击链完整：钓鱼→漏洞利用→载荷投递→C2 控制→数据窃取全链路成熟；

军民 / 黑灰产混合：普通犯罪与APT 共用基础设施，溯源与处置难度上升。

五、防御与处置建议

（一）企业侧防御

边界管控：封禁 Top 高危服务商IP 段，限制外联至俄境内可疑 ASN；

终端检测：强化 PowerShell、curl、DLL 侧加载等行为监控；

邮件与钓鱼防护：拦截伪造政府 / 机构钓鱼，禁用高危宏与自动执行；

IoT 加固：修改默认口令、关闭不必要端口、及时升级固件。

（二）安全运营

情报优先：接入俄境内 C2、钓鱼、恶意目录 IOC 库，高频更新；

主机侧测绘：对标 Host Radar，建立自有服务商威胁评分；

联动处置：对高承载服务商开展专项排查，快速清退恶意资产。

（三）行业与监管

推动跨境恶意 IP / 域名共享，协同关停 C2；

强化域名注册、主机托管实名制与滥用核查；

建立国家级网络威胁测绘与通报机制。

六、结论

俄罗斯境内托管环境已形成规模化、体系化、常态化的恶意基础设施集群，C2 服务器成为网络威胁 “中枢神经”，覆盖普通网络犯罪至国家级 APT 活动。基于服务商维度的威胁测绘与管控，比单点 IOC 更具战略价值，可实现规模化阻断、提升防御效率。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《2026 年 1-4 月俄罗斯恶意基础设施 C2 服务器全景分析报告》