A infraestrutura de ciberataques frequentemente sobrevive por mais tempo do que domínios e endereços IP individuais. Um novo relatório da Hunt.io demonstra a densa concentração desses nós na Europa Oriental. Entre 12 de março e 12 de junho de 2026, especialistas analisaram a infraestrutura em 10 países da região, identificando mais de 3.900 servidores C2 ativos em 302 provedores. Servidores C2 atuam como pontos de controle para malware, permitindo que operadores enviem comandos para sistemas infectados, recebam dados roubados e mantenham campanhas ativas. O estudo abrangeu provedores da Bielorrússia, Bulgária, República Tcheca, Hungria, Polônia, Moldávia, Romênia, Rússia, Eslováquia e Ucrânia.
A maior concentração foi encontrada na provedora búlgara Friendhosting LTD, com 2.100 servidores C2 em sua infraestrutura, representando aproximadamente 53,5% de todos os nós identificados na amostra. Essa disparidade é difícil de detectar ao monitorar domínios e IPs isoladamente, mas se torna evidente ao analisar o nível de hospedagem. No total, o Host Radar registrou 4.331 objetos maliciosos, incluindo 3.923 servidores C2, diretórios abertos com conteúdo malicioso, sites de phishing e indicadores de comprometimento publicamente conhecidos. A infraestrutura C2 representou cerca de 90,6% de todas as descobertas, evidenciando o principal uso do hosting regional.
O relatório lista campanhas reais associadas aos nós identificados. A infraestrutura do Cloud Atlas foi encontrada em vários provedores do Leste Europeu. Também foram identificados nós ligados a phishing, infostealers, botnets e abuso de ferramentas legítimas de administração remota. Em termos de famílias de infraestrutura maliciosa, Keitaro lidera com 1.277 IPs C2 únicos, seguido por Tactical RMM e Acunetix. Cobalt Strike, Sliver, Gophish, Mirai, Mozi e Hajime foram mencionados separadamente. Essa diversidade de ferramentas indica que as mesmas plataformas de provedores atendem tanto a campanhas criminosas em massa quanto a operações mais complexas após um comprometimento inicial. Os autores do relatório enfatizam que a defesa não deve se basear apenas em IPs e domínios que mudam rapidamente. Equipes de segurança são aconselhadas a considerar o risco de ASNs e provedores específicos, rastrear conexões de infraestrutura recorrentes e verificar se fontes de atividade suspeita já apareceram em campanhas anteriores.
