中国主机托管生态系统中的恶意软件 C2 基础设施分析
一、概述
1. 研究背景
随着网络威胁的不断演变,恶意软件命令与控制(C2)基础设施的规模和复杂性持续增长。Hunt.io 通过其 Host Radar 平台对中国主机托管生态系统进行了大规模分析,发现了一个令人担忧的现象:超过 18000 个活跃的 C2 服务器分布在中国的 48 家主要基础设施提供商网络中。
2. 研究意义
这项研究揭示了威胁情报分析中的一个关键问题:传统的基于单一威胁指标(如 IP 地址或域名)的威胁狩猎方法存在局限性。当将恶意基础设施从国家层面进行系统性分析时,可以发现不同攻击活动之间共享的基础设施模式。
3. 核心发现
A. 基础设施规模
在 90 天的观察期内,检测到 21629 个恶意基础设施指标,其中包括:
- 超过 18000 个 C2 服务器
- 2837 个钓鱼网站
- 528 个恶意开放目录
- 134 个公开的入侵指标(IOC)
B. 分布特征
中国联通单独承载了近一半的 C2 服务器(约 9100 个),阿里巴巴云和腾讯分别承载约 3300 个,显示出恶意活动在大型电信和云平台中的高度集中。
二、中国恶意基础设施格局
1. 按提供商分布的分析
A. 中国联通
中国联通作为中国最大的电信提供商之一,表现出最高的 C2 服务器数量,90 天内检测到 9000 个,同时还有 30 个恶意开放目录和 11 个 IOC。仅这一家提供商就占分析期间中国主机托管环境中观察到的所有 C2 基础设施的近一半。
B. 阿里巴巴云
作为领先的云服务提供商,阿里巴巴云显示出显著的 C2 存在,有 3300 个服务器和 37 个钓鱼网站。值得注意的是,它没有开放目录或 IOC,这反映了云环境主要用于弹性命令与控制操作,而不是暴露的恶意工件。
C. 腾讯
腾讯作为中国大型科技集团,展示了更多样化的恶意足迹。在 90 天内,它托管了 3300 个 C2 服务器、122 个开放目录、26 个 IOC 和 2400 个钓鱼网站,表明其广泛的面向互联网服务(包括社交媒体、游戏和电商平台)被大量滥用。
D. 中国电信
相比之下,中国电信显示适度的 C2 活动,同期有 617 个服务器和 42 个开放目录,反映了对国有电信基础设施的目标性利用。
E. JD.com
JD.com 作为主要的电商提供商,表现出最小的恶意活动,有 385 个 C2 服务器,没有开放目录、IOC 或钓鱼网站,这表明零售网络与大型电信和云平台相比,吸引力较低或被滥用程度较低。
graph TD
A[中国恶意基础设施分布] --> B[中国联通 9000 C2]
A --> C[阿里巴巴云 3300 C2]
A --> D[腾讯 3300 C2 + 2400 钓鱼]
A --> E[中国电信 617 C2]
A --> F[JD.com 385 C2]
B --> G[占比 ~50%]
C --> H[云平台滥用]
D --> I[多样化恶意活动]
E --> J[电信基础设施利用]
F --> K[零售网络相对安全]
2. 恶意基础设施类型分布
A. C2 基础设施主导地位
数据显示,C2 基础设施主导了观察到的恶意活动,约占所有观察到的恶意工件的 84%,其次是钓鱼基础设施约占 13%,而恶意开放目录和公开 IOC 合计贡献不到 4% 的观察活动。
B. 前十大托管商
按 C2 服务器检测数量排名的前十家公司中,中国联通是最大的贡献者,检测到 9100 个 C2 服务器,占此数据集中所有观察到的 C2 活动的近一半。阿里巴巴云和腾讯紧随其后,各自约有 3300 个 C2 检测,表明对大规模云环境的大量滥用,这些环境提供快速配置和高可用性。中国电信排名第四,有 620 个检测,而 JD.com 以 385 个 C2 服务器完成前五名。
graph LR
A[恶意基础设施分布] --> B[C2 服务器 84%]
A --> C[钓鱼网站 13%]
A --> D[开放目录 <4%]
A --> E[公开 IOC <4%]
B --> F[18000+ 服务器]
C --> G[2837 网站]
D --> H[528 目录]
E --> I[134 IOC]
三、恶意软件家族分布
1. 主导恶意软件类型
通过 HuntSQL 分析,中国网络中托管的 C2 基础设施按恶意软件家族分布如下:
A. Mozi 恶意软件
Mozi 以 9427 个唯一 C2 IP 为主导,占所有观察到的 C2 活动的一半以上。这是一个基于 IoT 的僵尸网络,通过针对物联网设备(特别是路由器和摄像头)进行传播。
B. ARL 框架
第二大集群 ARL(2878 个 C2)表明,红队或后渗透框架被大量重新用于恶意操作。
C. 商业框架和商品僵尸网络
中层威胁如 Cobalt Strike(1204)、Vshell(830)和 Mirai(703)表明商业攻击框架和商品僵尸网络的持续使用。值得注意的是,Cobalt Strike(包括未经验证的变体)在前十名中出现两次,强化了其作为高级威胁行为者首选 C2 框架的作用。
D. 其他恶意活动
Gophish 和 Acunetix 的存在进一步表明,钓鱼操作和漏洞扫描基础设施作为更广泛攻击链的一部分被积极部署。
graph TD
A[恶意软件家族分布] --> B[Mozi 9427 C2]
A --> C[ALR 2878 C2]
A --> D[Cobalt Strike 1204 C2]
A --> E[Vshell 830 C2]
A --> F[Mirai 703 C2]
B --> G[IoT 僵尸网络主导]
C --> H[红队框架滥用]
D --> I[商业攻击框架]
E --> J[后渗透工具]
F --> K[传统僵尸网络]
四、基础设施提供商的恶意软件多样性
1. 多样性分析
另一项 HuntSQL 查询显示,在中国过去三个月中托管最多样化恶意软件活动的组织包括:
A. 腾讯云计算(北京)有限公司
腾讯云计算领先于榜单,托管了 60 个恶意软件家族和近 2000 个 C2 端点。
B. 阿里云计算有限公司
阿里云计算紧随其后,在约 1956 个 C2 IP 中有 52 个恶意软件家族。
C. 亚太网络信息中心(APNIC)
亚太网络信息中心的活动与 27 个恶意软件家族相关联。
D. 华为云服务
华为云服务占 20 个不同家族,强调少数大型提供商如何被不同的威胁行为者反复利用。
graph TD
A[托管商恶意软件多样性] --> B[腾讯云 60 家族]
A --> C[阿里云 52 家族]
A --> D[APNIC 27 家族]
A --> E[华为云 20 家族]
B --> F[2000 C2 端点]
C --> G[1956 C2 IP]
D --> H[多家族托管]
E --> I[系统性风险]
五、实际恶意活动案例
1. 商品 RAT 和传统恶意软件
A. NanoCore 基础设施
在 Wowrack.com 上托管的 NanoCore 基础设施被发现。
B. Cobalt Strike 活动
在 Starry Network Limited 上识别出 Cobalt Strike 活动,其中 IP 45.155.220.44 出现在每周威胁基础设施调查中。
C. AsyncRAT 活动
Hunt.io 将 AsyncRAT 活动与湖北飞讯网络科技有限公司相关联,端点 160.202.245.232 通过 threatfox.abuse.ch 被标记。
D. Vshell 可疑基础设施
在北京火山引擎科技有限公司上出现的可疑基础设施(vshell),其中 IP 115.190.200.230 出现在 VirusTotal 索引的遥测数据中。
2. 钓鱼驱动的恶意软件交付
A. 印度所得税钓鱼活动
在北京百度网通科技有限公司上观察到的钓鱼驱动恶意软件交付,其中 45.113.192.102 与交付 NSecRTS.exe 的印度所得税主题钓鱼活动相关联。
B. 针对车辆所有者的钓鱼活动
在腾讯运营的基础设施上,发现在印度针对车辆所有者的钓鱼活动,通过短信威胁未支付电子罚款的法律行动,托管在 101.33.78.145 和 43.130.12.41。
3. 僵尸网络和 OT 威胁
A. Mirai 僵尸网络活动
在周意卫星通信上识别出的僵尸网络和 OT 专注威胁,包括 185.245.35.68 的 Mirai 僵尸网络活动和 23.177.185.39 的针对路由器的攻击。
B. RondoDox 僵尸网络
中国教育和科研网络中心(CERNET)托管了 RondoDox 僵尸网络活动,位置在 202.120.234.124 和 202.120.234.163,两者都与 React2Shell 利用活动相关联。
4. 漏洞利用活动
A. React2Shell 漏洞利用
React2Shell 漏洞的利用在多个提供商中大量出现。在 XNNET LLC 上,一个端点 43.247.134.215 与交付 XMRig 加密货币挖矿机和 Cobalt Strike 的 React2Shell 利用链相关联。
B. Gogs 零日漏洞利用
研究人员发现了 Gogs 中零日漏洞(CVE-2025-8110)的活跃利用,该漏洞允许经过身份验证的用户通过绕过符号链接保护来实现远程代码执行(RCE)。自动化活动已经 compromises 了约 50% 的暴露实例,部署 Supershell C2 有效载荷以实现持久的反向 SSH 访问。
5. 高级持续性威胁(APT)活动
A. BRONZE HIGHLAND 活动
在泉州托管的基础设施上观察到的 APT 相关活动,两个 IP 106.126.3.56 和 106.126.3.78 与部署 MgBot 的 BRONZE HIGHLAND(Evasive Panda)活动相关联,确认了更广泛的中国主机托管生态系统中存在对齐国家的威胁活动。
B. Gold Eye Dog (APT-Q-27) 活动
Gold Eye Dog (APT-Q-27) 组织正在利用 AWS S3 存储桶交付复杂的、签名的后门,这些后门采用广泛的反规避检查和持久远程控制功能。此活动(43.154.170.196)标志着其工具集的演变,使用合法的云基础设施部署能够进行键盘记录、屏幕捕获和完整系统命令执行的有效载荷。
C. Silver Fox 活动
与 Silver Fox 活动相关的另一个目标钓鱼基础设施托管在阿里巴巴(美国)技术有限公司。该组织已将重点转移到印度组织,利用高度可信的所得税主题诱饵部署模块化 Valley RAT。此活动因其复杂的多阶段执行和成功规避传统安全边界而闻名。
graph TD
A[中国托管恶意活动] --> B[商品恶意软件]
A --> C[钓鱼活动]
A --> D[僵尸网络]
A --> E[漏洞利用]
A --> F[APT 活动]
B --> B1[NanoCore]
B --> B2[Cobalt Strike]
B --> B3[AsyncRAT]
C --> C1[印度所得税主题]
C --> C2[车辆罚款主题]
D --> D1[Mirai]
D --> D2[RondoDox]
E --> E1[React2Shell]
E --> E2[Gogs CVE-2025-8110]
F --> F1[BRONZE HIGHLAND]
F --> F2[Gold Eye Dog]
F --> F3[Silver Fox]
六、基础设施可观察性分析
1. Host Radar 数据聚合模型
Host Radar 作为一个集中式聚合层,用于恶意基础设施遥测。来自 C2 检测、钓鱼识别、开放目录扫描和 IOC 提取的信号被组合,并用主机托管、ASN 和网络所有权上下文进行丰富。
这种统一视图允许分析人员在提供商、网络和时间窗口之间进行转换,而无需依赖单个 IP 或域级别的指标,使国家和 ISP 级别的基础设施分析变得实用和可重复。
graph LR
A[C2 检测] --> E[Host Radar 聚合层]
B[钓鱼识别] --> E
C[开放目录扫描] --> E
D[IOC 提取] --> E
E --> F[主机托管上下文]
E --> G[ASN 信息]
E --> H[网络所有权]
F --> I[提供商视图]
G --> I
H --> I
I --> J[威胁情报分析]
七、结论与建议
1. 研究发现总结
A. 基础设施集中化
中国主机托管环境中,少数大型电信和云提供商占据了大多数观察到的命令与控制活动,支持从商品恶意软件和 IoT 僵尸网络到钓鱼操作和对齐国家的工具的一切。
B. 威胁多样性
同一基础设施提供商网络中同时存在网络犯罪和 APT 活动,RAT、加密货币挖矿机、钓鱼框架和对齐国家的恶意软件在同一环境中共存。
C. 高信任网络滥用
China169 骨干网、CHINANET 和 CERNET 表明了对电信和学术基础设施的利用。
2. 防御建议
A. 以主机为中心的威胁狩猎
不要追逐快速过期的单个指标,而是将恶意活动映射回主机托管提供商、ISP 和云平台,揭示攻击者基础设施持续集中的位置以及它如何在活动之间被重用。
B. 基础设施级别的检测策略
通过大规模关联 C2 基础设施、恶意软件家族和公开报告的活动,这些模式在 IP 轮换和短命工件的情况下仍然可见。
C. 优先级排序
对于安全团队来说,这种方法可以实现更有弹性的检测、更快的优先级排序和基础设施级别的中断策略,这些策略很难被对手规避。
3. 技术指标
A. 关键统计数据
- 分析周期:90 天
- 观察到的恶意工件总数:21629
- C2 服务器数量:超过 18000 个
- 涉及基础设施提供商:48 家
- 主导恶意软件家族:前 10 个家族占绝大多数
B. 高风险提供商
- 中国联通:9000+ C2 服务器
- 阿里巴巴云:3300+ C2 服务器,37 个钓鱼网站
- 腾讯:3300+ C2 服务器,2400 个钓鱼网站
- 中国电信:617 个 C2 服务器