攻撃活動はエンドポイント可視性の範囲外のインフラストラクチャに向かって移動しています。プロキシネットワークは幅広い操作をサポートし、エッジデバイスは初期アクセスポイントとして機能し、GenAIは攻撃者がツールを組み立てて再構築する方法を加速させます。LumenのThreatscape Report 2026では、犯罪活動と国家主導の活動におけるこのパターンを説明しています。
「脅威インテリジェンスは、敵対者を可能な限り早く、可能な限り発生元に近い地点で発見するために必要です」と、IDC VP、Security & TrustのChris Kisselは述べています。
エッジで築かれた初期の圧力
その動きは数年間築かれていました。2022年には、ウェブアプリケーションとインターネット露出サービスに対する侵害の80%以上がブルートフォースまたは盗まれた認証情報を含んでいました。その後、Microsoftは2023年4月に1秒あたりグローバル11,000件のパスワードベースの攻撃のピークを報告しました。
2025年までに、エンドポイントツールが広く展開され、91%の組織がEDRを実行していて、それらのツールは平均して対象デバイスの72%をカバーしていました。これはルーター、VPNゲートウェイ、ファイアウォール、および他の露出システムを魅力的なエントリーポイントとして残しました。
「標準的なセキュリティコントロールの範囲外にあるデバイスに潜んで、初期アクセスの数日後、数週間後、または数ヶ月後に外部に連絡を取ることで、攻撃者はより効果的に検出を回避し、ディフェンダーがドットをつなぐのを防ぐことができます」と研究者は述べています。
最も強い兆候の一部は、ラップトップやサーバーと同じレベルの精査をほとんど受けないインフラストラクチャに現れました。J-magicは2023年中盤に始まり、少なくとも2024年中盤まで活動していました。2024年3月から9月のテレメトリでは、その署名条件に一致する36個のユニークなIPアドレスが特定され、分析されたNetFlowの0.01%以下のレベルでした。
ターゲットデバイスの50%はVPNゲートウェイとして機能しているようでした。Secret Blizzardは異なるパスをたどりました。2022年12月から2024年11月まで続いたキャンペーンは、33個の独立したStorm-0156 C2ノードに侵入しました。調査官はその後、37個のSecret BlizzardおよびStorm-0156 C2ノードをその操作に結びつけました。
ボットネットが機能インフラストラクチャに成長
プロキシとボットネット操作もより大きな役割に移動しました。Aisuruは2,948,616個のIPを記録し、2025年の脅威ファミリー間で最高の合計になりました。Vo1dは2,519,125で続き、AWMは2,356,202に達しました。
平均日別ボット数によると、Aisuru Proxiesは129,487で最初にランク付けされ、Mysteriumが45,097でそれに続き、Aisuruが31,549でした。NSSOCKSは両方のランキングに表示されました。
2022年後半に出現したRhadamanthysは、2025年10月までにグローバルで12,000人以上の被害者に達しました。日々平均300個のアクティブサーバーを実行し、その月には535サーバーのピークに達しました。
そのC2サーバーの60%以上は米国、ドイツ、英国、オランダでホストされていました。そのC2の60%以上は、元のレポート時にVirusTotalで検出ゼロを示していました。Black Lotus Labsは、業界全体が追跡した約200の毎日のRhadamanthys C2サーバーの約20%を述べました。
SystemBCは2025年9月に80以上のC2サーバーと1,500人の被害者の日々の平均で浮上しました。各被害者は平均20の未修正CVEとそれ以上を示しました。観察された1つのサーバーには160以上の未修正の脆弱性がありました。調査官はまた、単一のプロキシIPが24時間以内に16GB以上のプロキシトラフィックを生成したのを見ました。ボットのほぼ100%は最終的にブロックリストサイトに着地しました。
2018年に最初に見られたDanaBotは、2025年5月まで非常にアクティブなままでした。「Operation Endgame IIに続いて、DanaBotzは2025年11月に「Version 669」で復活しました—複雑な多段階攻撃を活用して金融機関、暗号通貨ウォレット、および個人被害者をターゲットにしました」と研究者は述べています。
2025年の実行中、それは1日あたりほぼ150個のアクティブC2サーバーと40以上の国で1,000人の毎日の被害者を維持しました。そのC2インフラストラクチャの25%のみがVirusTotal検出スコアがゼロより大きかった。被害者の半分はDanaBot C2に1日間だけ接触し、感染の75%は3日未満で継続しました。
2025年後半は回転がより速くなった
最も急な加速は年の終わり近くに来ました。Aisuruのボット数は2025年9月の1週間で3倍になりました。調査官は後に、その180万個のボットはプロキシサービスの悪用を通じて生成されたことを発見しました。
Kimwolfは2025年10月中盤にそのシフトから浮上し、30Tbpsに近づく攻撃を開始しました。
「Aisuruの破壊圧力に続いて、Kimwolfのオペレーターはすぐに彼らのコントロールプレーンを再構築しました。新しいC2ドメインが表示され、マルウェアが改良され、トラフィックパターンは急速にシフトしました。数週間以内に、ボットネットは数十万のボットにスケールし、大規模なDDoS容量を維持しながら積極的に抑制を回避しました」と彼らは述べています。
Raptor Trainはその後半年の急増の背後にある長いアークを示しています。ボットネットは奪取時に4年以上かけて製造されました。2023年6月に60,000を超えるアクティブに危険にさらされたデバイスでピークに達し、その実行中に200,000を超えるデバイスがボットネットに引き込まれました。
そのC2不動産は2020年から2022年に約1〜5ノードから、2023年中盤に11に、2024年2月から3月に30に、2024年6月から8月に60以上に移動しました。Tier 1ボットは平均17日間続きました。Tier 2およびTier 3ノードは平均77日続きました。
「Raptor Trainは、インフラストラクチャレイヤーが操作になる時の現代的なキャンペーンがどのような見た目であるか、そしてなぜディフェンダーは攻撃をプロアクティブに発見して停止するためにネットワークインテリジェンスが必要なのかを示しています」と研究者は結論付けました。
翻訳元: https://www.helpnetsecurity.com/2026/04/08/large-botnets-campaigns-attack-activity/
