A Hunt.io friss elemzése szerint Kelet-Európa 2026 tavaszán is meghatározó bázisa maradt a rosszindulatú digitális infrastruktúrának. A vizsgált három hónapban több mint 3900 aktív C2-szervert azonosítottak, 302 különböző szolgáltató környezetében. A kép azonban nem csak a mennyiség miatt figyelemre méltó, hanem azért is, mert az aktivitás rendkívül erősen koncentrálódik. Egyetlen bolgár szolgáltató önmagában a teljes régiós C2-állomány több mint felét adta.
Az egyik legfontosabb állítás, hogy a hagyományos indikátorok, mint például az IP címek vagy domainek gyorsan cserélődnek, miközben a mögöttes hostingréteg megmarad. Ezért a Hunt.io elsősorban nem egyedi IOC-k, hanem szolgáltatói, országos és infrastruktúra-szintű mintázatok felől közelítette meg a kérdést, és tíz kelet-európai ország (Belarusz, Bulgária, Csehország, Magyarország, Lengyelország, Moldova, Románia, Oroszország, Szlovákia és Ukrajna) környezetét vizsgálta 2026. március 12. és június 12. között.
A rosszindulatú infrastruktúra eloszlása nem egyenletes. A 4331 összesített detekcióból 3923 volt C2-szerver, vagyis az észlelt aktivitás körülbelül 90,6 százalékát ez a kategória tette ki, míg a fennmaradó részt nyitott könyvtárak, phishing oldalak és nyilvánosan riportált IOC-k alkották. Ez azt jelenti, hogy a régió hostingkörnyezeteit a megfigyelt időszakban döntően nem alkalmi visszaélésekre vagy adathalász oldalak kiszolgálására használták, hanem vezérlési és műveleti háttérrétegként. A legkirívóbb példa a bolgár Friendhosting LTD, amely egymaga 2100 C2-szervert hostolt a vizsgált időszakban. Ez nagyjából 53,5 százalékos arányt jelent a teljes kelet-európai C2-készletből.
A malware családok szerinti bontásban a Keitaro emelkedett ki 1277 egyedi C2 IP-vel. A cikk ezt a forgalomelosztó rendszerek visszaélésszerű használatával kapcsolja össze, különösen malvertising, redirect, phishing és exploit kit műveletek esetében. A második helyen a Tactical RMM szerepelt 232 C2-észleléssel, míg az Acunetix 173, a Gophish pedig 122 kapcsolódó IP-vel jelent meg az adathalmazban.
Továbbra is aktívak a régióban az IoT botnetek is, köztük a Hajime, a Mozi és a Mirai. Emellett a Cobalt Strike és a Sliver jelenléte arra utal, hogy ugyanabban az infrastruktúra-rétegben jelen lehet a tömeges kiberbűnözés és a kifinomultabb, post-exploitation fókuszú műveleti háttér is.
A funkcionális bontás érdekes eredményt hozott. A „Management” kategória 1496 egyedi IP-vel vezetett, jóval megelőzve a hagyományosan „C2”-nek címkézett rendszereket, amelyekből 428-at találtak. A „Red Team Tools” kategória 234, a „Phishing” 124, a „Team Server” pedig 12 IP-vel szerepelt az összesítésben. Ez a megoszlás arra utal, hogy a támadói infrastruktúra valójában egy többrétegű szolgáltatási ökoszisztéma. A klasszikus vezérlőszerverek mellett jelentős szerepet kapnak a menedzsmenteszközök, adminisztrációs panelek és támadástámogató komponensek, vagyis az a háttérréteg, amely a műveletek fenntartását és skálázását teszi lehetővé.
Országszinten Oroszország végzett az első helyen 929 egyedi, malware-hez kapcsolt C2 IP-vel. A cikk ezt azzal magyarázza, hogy az adathalmazban több mint 150 orosz ASN jelent meg, vagyis a volumen itt inkább széles szolgáltatói bázisról, mintsem egyetlen kiugró szereplőről árulkodik. A második helyen Lengyelország állt 438 IP-vel, ami azért figyelemre méltó, mert a top szolgáltatók között nem jelent meg ugyanilyen domináns lengyel szereplő. Ebből arra lehet következtetni, hogy a lengyel footprint sok kisebb és közepes provider között oszlik meg, vagyis a kitettség nem koncentrált, hanem széttagolt formában jelentkezik. Bulgária 298, Románia 199, Ukrajna pedig 170 IP-vel szerepelt a felső mezőnyben. Szolgáltatói oldalon a Friendhosting mellett a JSC TIMEWEB, a PQ Hosting Plus, a Neterra és az AlexHost tűnt ki, ami jól mutatja, hogy a régiós képben egyszerre vannak jelen nagyobb telekommunikációs vagy cloud szereplők és magas toleranciájú, bulletproof jellegű szolgáltatók.
A Hunt.io példákat is hoz Cloud Atlas APT-hez kötött infrastruktúrára, FreePBX toll-fraud kampányokra, rosszindulatú npm-csomaggal terjesztett minirat műveletre, Nemesys ransomware-hez kapcsolódó aktivitásra, Black Basta affiliate kampányra, valamint Gremlin Stealer exfiltrációs szerverre is. Külön figyelmet kapott a Proton66 OOO-hoz kötött 176.120.22[.]24 IP-cím, amelyet a cikk az Oracle PeopleSoft Enterprise PeopleTools 8.61 és 8.62 verzióit érintő CVE-2026-35273 sérülékenység aktív kihasználásához kapcsol. A forrás a kampányt a Horizon3.ai a ShinyHunters csoportnak tulajdonította, és a művelet 2026. május 27. és június 9. között körülbelül 300 PeopleSoft példányt érintett több mint 100 szervezetnél, köztük egyetemeknél is.
A kelet-európai adatbázis alapján tehát nem egyszerűen arról van szó, hogy sok a rosszindulatú szerver a régióban. A hangsúly inkább azon van, hogy ezek jelentős része jól felismerhető szolgáltatói és országos mintázatok köré szerveződik, ami a védelem számára skálázhatóbb és tartósabb fókuszpontot adhat.

