Censys, Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, hat für die aktuelle Ausgabe seines jährlichen Forschungsberichts „State of the Internet Report“ (SotIR) die Infrastrukturen von Angreifern bei Cyberangriffen untersucht. Gegenstand der Untersuchung sind Command-and-Control-Infrastrukturen (C2) und weitere Tools, die Hacker für den Angriff und die Kompromittierung von Systemen nutzen.
C2-Infrastrukturen werden als Teil von Malware– oder Botnet-Operationen für die Verwaltung und Kommunikation mit kompromittierten Geräten verwendet. So können Angreifer mehrere kompromittierte Geräte aus der Ferne überwachen, Befehle erteilen, Daten exfiltrieren und Aktionen koordinieren. Neben C2 und anderer Malware untersucht der Censys State of the Internet Report 2025 auch die Nutzung kompromittierter privater Netzwerkgeräte. Angreifer setzen diese ein, um den Angriffsverkehr über einen Proxy zu leiten und unentdeckt zu bleiben.
Für den Forschungsbericht wurden Angriffe und Malware-Instanzen zwischen Dezember 2024 und Mai 2025 untersucht. Während des sechsmonatigen Untersuchungszeitraums wurden durchschnittlich 2.906 Malware-Instanzen für jeden untersuchten Tag entdeckt, mit der höchsten Anzahl von Angriffen Mitte Dezember. Anfang Januar 2025 gab es nach diesem Peak in den erkannten Malware-Angriffen einen Rückgang um 14 %.
Zu den am häufigsten beobachteten Malware-Arten gehören unter anderem Fortra Cobalt Strike, VIPER, Silver und Remcos. Von den beobachteten C2-Infrastrukturen macht Cobalt Strike insgesamt 34 % aus. Die Abnahme an entdeckten Malware-Instanzen im Januar dürfte so auch hauptsächlich auf den Rückgang der Cobalt Strike-Instanzen in diesem Zeitraum zurückzuführen sein.
Censys SotIR – Malware Detections over Time (12/2024 – 05/2025) Bildquelle: Censys
In China und den USA wurden die meisten schädlichen Infrastrukturen beobachtet – zusammen beherbergen beide Länder 55 % der Malware. Insgesamt wurden Malware-Instanzen in 62 Ländern beobachtet, Deutschland liegt in den Top 10 auf Platz sechs mit 123 erkannten Infrastrukturen von Angreifern. Die hohe Konzentration bösartiger Infrastrukturen in China und den USA ist vermutlich unter anderem auf die Verfügbarkeit entsprechender Hosting-Anbieter zurückzuführen. Die größten Konzentrationen an Malware in Netzwerken sind bei zwei in China und einem in den USA ansässigen Anbieter zu beobachten.
Zum Original-Blogeintrag zu SotIR (Englisch)