Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds.

• Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés.

• Par fournisseur. China Unicom est la première source de C2 (≈9 000–9 100). Alibaba Cloud affiche ~3 300 C2 et 37 sites de phishing (0 répertoires ouverts/IOCs), tandis que Tencent montre un profil plus diversifié avec ~3 300 C2, 2 400 phishing, 122 répertoires ouverts et 26 IOCs. China Telecom présente une activité C2 modérée (~617–620) avec 42 répertoires ouverts. JD.com est bien moindre (385 C2). Les clouds majeurs attirent particulièrement le phishing et les C2 en raison de leur scalabilité et confiance perçue.

• Familles de malware dominantes. Mozi mène largement (9 427 IPs C2), suivi d’ARL (2 878), Cobalt Strike (1 204), Vshell (830) et Mirai (703). La majorité des C2 provient d’un petit nombre de familles/frameworks, confirmant une abus récurrent et industrialisé (framework-driven). Gophish et Acunetix apparaissent aussi, illustrant l’emploi de phishing et de scans de vulnérabilités dans les chaînes d’attaque.

• Diversité par hébergeur. Tencent Cloud Computing (Beijing) héberge 60 familles et près de 2 000 C2 ; Aliyun (Alibaba Cloud) 52 familles et ~1 956 C2 ; APNIC (27 familles) et Huawei Public Cloud Service (20) montrent que quelques grands acteurs supportent une diversité élevée et un volume important d’infra malveillantes.

• Campagnes illustratives. Exemples notables: abus de React2Shell livrant XMRig et Cobalt Strike; exploitation d’un 0‑day Gogs (CVE-2025-8110) menant à du RCE et au déploiement de Supershell C2; activités RAT (NanoCore, AsyncRAT, L3MON), botnets IoT (Mozi, Mirai), phishing à grande échelle (ex. campagnes indiennes via Tencent) et opérations APT (BRONZE HIGHLAND/Evasive Panda, Silver Fox, Gold Eye Dog). L’ensemble illustre la cohabitation de cybercriminalité et APT au sein des mêmes environnements. L’article est une publication de recherche visant à démontrer l’intérêt d’une approche « host‑centric » (Host Radar, HuntSQL) pour révéler des clusters d’infrastructure persistants malgré le churn IP.

• IOCs (extraits) 🧩

  • 45.155.220[.]44 (Cobalt Strike, Starry Network Limited)
  • 160.202.245[.]232 (AsyncRAT, Hubei Feixun Network)
  • 115.190.200[.]230 (vshell, Beijing Volcano Engine Technology)
  • 45.113.192[.]102 (Phishing thématique impôts IN, Baidu Netcom)
  • 185.245.35[.]68 (Mirai, ZhouyiSat Communications)
  • 23.177.185[.]39 (attaques routeurs, ZhouyiSat Communications)
  • 43.247.134[.]215 (React2Shell → XMRig/Cobalt Strike, XNNET LLC)
  • 123.60.143[.]74 (activité suspecte, Huawei Cloud)
  • 124.70.52[.]134 (L3MON RAT, Huawei Cloud)
  • 202.120.234[.]124 ; 202.120.234[.]163 (RondoDox/React2Shell, CERNET)
  • 117.72.242[.]9 (Cobalt Strike Beacon, China Telecom BJ-TJ-HB Big Data Park)
  • 106.126.3[.]56 ; 106.126.3[.]78 (BRONZE HIGHLAND/Evasive Panda – MgBot, Quanzhou)
  • 58.144.143[.]27 (DarkSpectre – extensions navigateur, China Unicom China169)
  • 101.33.78[.]145 ; 43.130.12[.]41 (Phishing e‑challan IN, Tencent)
  • 43.154.170[.]196 (Gold Eye Dog – backdoors signés, campagne cloud)
  • 106.53.108[.]81 (Supershell C2, exploitation Gogs CVE-2025-8110)

• TTPs (extraits) 🛠️

  • Hébergement massif de C2 sur FAI/clouds chinois (China Unicom, Alibaba Cloud, Tencent)
  • Botnets IoT (Mozi, Mirai) et frameworks offensifs (Cobalt Strike, Vshell, ARL)
  • Phishing à grande échelle (SMS/web) hébergé sur clouds de confiance
  • Exploitation de vulnérabilités: React2Shell; Gogs CVE-2025-8110 (RCE via contournement des protections symlink)
  • Post‑exploitation/monétisation: XMRig, Supershell (reverse SSH), L3MON RAT
  • Abus d’infrastructures à forte confiance: backbone télécom (China169), CHINANET, CERNET
  • Usage de clouds légitimes (Alibaba, Tencent, Huawei, AWS S3) pour la livraison/abri des charges

🧠 TTPs et IOCs détectés

TTP

[‘Hébergement massif de C2 sur FAI/clouds chinois (China Unicom, Alibaba Cloud, Tencent)’, ‘Botnets IoT (Mozi, Mirai) et frameworks offensifs (Cobalt Strike, Vshell, ARL)’, ‘Phishing à grande échelle (SMS/web) hébergé sur clouds de confiance’, ‘Exploitation de vulnérabilités: React2Shell; Gogs CVE-2025-8110 (RCE via contournement des protections symlink)’, ‘Post-exploitation/monétisation: XMRig, Supershell (reverse SSH), L3MON RAT’, ‘Abus d’infrastructures à forte confiance: backbone télécom (China169), CHINANET, CERNET’, ‘Usage de clouds légitimes (Alibaba, Tencent, Huawei, AWS S3) pour la livraison/abri des charges’]

IOC

[‘45.155.220.44’, ‘160.202.245.232’, ‘115.190.200.230’, ‘45.113.192.102’, ‘185.245.35.68’, ‘23.177.185.39’, ‘43.247.134.215’, ‘123.60.143.74’, ‘124.70.52.134’, ‘202.120.234.124’, ‘202.120.234.163’, ‘117.72.242.9’, ‘106.126.3.56’, ‘106.126.3.78’, ‘58.144.143.27’, ‘101.33.78.145’, ‘43.130.12.41’, ‘43.154.170.196’, ‘106.53.108.81’]

🔗 Source originale : https://hunt.io/blog/china-hosting-malware-c2-infrastructure