RDP-сканирование сосредоточили 21 IP-адрес из Нидерландов

Недавние наблюдения GreyNoise указывают на заметную концентрацию активности RDP-scanning: всего 21 IP-адрес формирует почти половину всего такого трафика в Интернете. По оценке аналитиков, речь идет о типичной для злоумышленников тактике, направленной на выявление незащищенных конечных точек RDP, за которой обычно следуют попытки подбора доступа методом перебора и password cracking.

Основной кластер связан с AS213438

Ключевой массив активности, по данным GreyNoise, связан с автономной системой AS213438, зарегистрированной на ColocaTel Inc. в Маэ, Сейшельские острова. При этом в отчете отмечается, что ранее уже фиксировались высокий объем scanning-активности, исходящей из этого ASN, а также существенные колебания уровня трафика.

Отдельно подчеркивается, что наблюдаемая картина не означает автоматической компрометации реальных систем. GreyNoise напоминает: их сенсоры фиксируют только unwanted traffic patterns, поступающие на датчики, и не подтверждают наличие взломов на целевых инфраструктурах.

Нидерланды резко вышли в лидеры по источникам scanning-трафика

Наиболее заметное изменение произошло в период с начала марта по апрель 2026 года. Глобальное распределение источников RDP-scanning резко сместилось:

• доля Нидерландов выросла с 7,17% до 53,86%;
• доля Румынии снизилась с 29,89% до 15,78%.

Однако аналитики уточняют: это изменение связано не со спадом активности в Румынии, а прежде всего с резким ростом трафика из Нидерландов, особенно со стороны 21 идентифицированного IP-адреса.

Что именно сканировали

Детальный анализ показывает, что источники активности в основном нацелены на стандартный RDP-port 3389, а также на альтернативные порты. По оценке GreyNoise, это указывает на скоординированные действия по scanning, а не на децентрализованную схему, характерную для botnet.

Все 21 IP-адрес, входящий в этот кластер, геолокированы в пределах Нидерландов. Помимо RDP, они демонстрируют таргетинговое поведение и в отношении других сервисов, включая PostgreSQL, что может свидетельствовать о стратегически выстроенной операции scanning.

Историческая связь и неопределенность вокруг оператора

Исторические данные также показывают, что один из IP-адресов, ответственных за значительный объем scanning-сессий в марте, связан с тем же зарегистрированным trade name, что и текущая RDP-активность. Это может указывать либо на продолжение одной и той же операции, либо как минимум на общий ресурс.

При этом GreyNoise не выявила конкретного злоумышленника или группу, стоящую за этой деятельностью. Также не установлено, знают ли операторы ColocaTel Inc. об этих событиях scanning или каким-либо образом к ним причастны.

Контекст: почему это важно

RDP-scanning остается одним из наиболее распространенных способов предварительной разведки перед дальнейшими атаками. Массовое выявление открытых RDP-узлов создает для атакующих удобную базу для последующего подбора учетных данных и закрепления во внутренней сети.

Таким образом, отчет GreyNoise фиксирует не просто рост отдельного типа трафика, а заметную концентрацию вредоносно ориентированной сетевой активности вокруг ограниченного числа IP-адресов и одного ASN, что делает этот кейс особенно значимым для специалистов по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.