わずかなサーバークラスターが、わずか数時間のうちにインターネット偵察の従来の地図を描き直しました。GreyNoiseのデータによると、わずか21のIPアドレスがグローバルRDPスキャン流入のほぼ半分を調整し、この活動の頂点では、そのような操作全体の3分の2を占めていました。この急激な急増はすぐに絶対的な静寂に続きましたが、まさにこの変動性がこのエピソードを非常に注目に値するものにしています。
GreyNoiseは、2026年4月7日に、これら21のアドレスが186万のRDPクローラーセッションを生成し、この特定の活動のグローバルボリュームの67.4%を表していることを記録しました。4月5日から4月7日までのより広い期間内で、このコホートの貢献は49.7%でした。比較すると、インターネットの残りの部分は同じ期間に同等のボリュームを生成するために3,644個の個別ソースを必要としていました。
焦点はRDP(リモートデスクトッププロトコル)にあり、これはWindows環境へのリモートアクセスの標準です。攻撃者は外部からアクセス可能なノードを特定するために大量スキャンを行い、開いているサービスを発見するとブルートフォース認証情報攻撃に移行することが多くあります。企業インフラストラクチャの場合、このベクトルは長い間、最も危険な脆弱性の1つとして存在してきました。したがって、そのようなスキャン力をそれほど少数のアドレスに集中させることは非常に異常です。
21のIPアドレスはすべて、自律システムAS213438内に存在し、RIPE WHOISのColocaTel Inc.に関連しています。アドレス空間は主にオランダに集中しており、具体的にはアムステルダムとレリスタッド地域内です。GreyNoiseは、活動が主に4つの/24ネットワークブロックから発散したと観察しました。24時間以内に、AS213438内のトラフィックボリュームは約11倍に膨らみ、180,000から200万を超えるセッションにエスカレートしてから、ほぼ瞬間的な崩壊を受けました。4月8日までに、流入は99.9%枯れており、4月9日までに、このグループからのRDPスキャンは完全に消えていました。
GreyNoiseは3月に非常に似たパラダイムを目撃しました。その時AS213438は突然そのボリュームを増幅してスキャンの最も目立つソースの1つになってから沈黙しました。4月には、シナリオはほぼ対称的に繰り返されましたが、より狭い専門化があります。最近のスパイク内の活動の約85%は、特にRDPクローラーに帰因しました。他のRDP関連マーカーと組み合わせると、その割合は約88%に上昇しました。
この活動に伴う重大な地政学的シフトがありました。ルーマニアは歴史的にRDPスキャンの主要なソースと見なされてきましたが、リーダーシップは4月初旬にオランダに一時的に移行しました。オランダのシェアは7.17%から53.86%に急増し、ルーマニアの貢献は29.89%から15.78%に減少しました。注目すべきことに、ルーマニアのボリュームは急落しませんでした。むしろ、オランダセグメントはグローバルランドスケープを根本的に変えるような速度で拡大しました。
GreyNoiseは、この活動を特定の脅威アクターに帰因させないこと、また実際のシステムの成功した侵害に関する結論を引き出さないことを明確に強調しています。同社のセンサーは単に、スキャン、ブルートフォース試行、およびパブリックインターネット全体での類似の行動の到来の流れを認識しています。それにもかかわらず、「急増-崩壊-一時停止-繰り返し」モデルは、ディフェンダーにとって、特にRDPアクセスポイントを維持している組織にとって、深い信号として機能します。
