01 ·
Identifikation durch aktives Fingerprinting
Globales Scanning von Ports und SSL-Zertifikaten mit bekannten Team-Server-Merkmalen. Beacon-HTTP-Header, JARM-Fingerprint, Listener-Patterns.
Wir wissen, wo die Server der Angreifer sich verstecken.
Fortgale identifiziert und überwacht täglich über 800 aktive CobaltStrike-Server weltweit. Wir extrahieren Konfigurationen, Watermarks und Profile — und verwandeln offensive Infrastruktur in defensive Intelligence.
CTI-Standards
STIX/TAXII 2.1
MITRE ATT&CK
ISO 27001
Tracking-Techniken
JARM
Malleable C2 Profile
Watermark-Korrelation
Warum C2s tracken
Vom isolierten IoC zum Angreifer-Profil.
Eine isolierte bösartige IP ist ein Alert. Eine IP, die mit einer Watermark, einer Kampagne und einem bekannten Akteur korreliert ist, ist operative Intelligence.
02 ·
Watermark = Angreifer-Identität
Für jeden Team Server: Extraktion von Lizenz-Watermark, Payload-Typ, Sleep, Jitter, Malleable Profile. Die Watermark korreliert verschiedene Kampagnen mit demselben Operator.
03 ·
Vom IoC zum Intelligence-Profil
Nicht nur IPs/Domains: ein strukturiertes Profil des Angreifers (Cluster, Gruppe, TTPs, Infrastruktur-Überschneidungen), integriert in SOC-Alerts.
Proof · Tracking-Skalierung
Vier Zahlen, die das C2-Tracking tragen.
800+
Aktive CobaltStrike-C2-Server
täglich getrackt
täglich getrackt
1.000+
Neu identifizierte Server
pro Quartal
pro Quartal
4
Überwachte Frameworks
CobaltStrike · BruteRatel · Havoc · Metasploit
CobaltStrike · BruteRatel · Havoc · Metasploit
100 %
Extrahierte Konfigurationen
pro identifiziertem Server
pro identifiziertem Server
Profiling-Pipeline
Vier Schritte · vom globalen Scan zur operativen Intelligence.
01 · Detect
Server-Identifikation
Globales Scanning mit aktivem Fingerprinting: Ports, SSL-Zertifikate, JARM, Beacon-HTTP-Header, Listener-Patterns.
02 · Extract
Konfigurations-Extraktion
Jeder Team Server wird abgefragt. Extraktion von Watermark, Payload-Typ, Sleep-Time, Jitter, Named Pipe, DNS-Beacon, Malleable-C2-Profile.
03 · Correlate
Korrelation & Attribution
Die Watermark ist der Fingerabdruck des Operators: gleiche Watermark auf verschiedenen Servern → derselbe Angreifer. Infrastruktur-Überschneidungen werden sichtbar.
04 · Operate
Operative Intelligence
Output: blockierbare IoCs, Angreifer-Profile, Kontext für das SOC, Threat Hunting auf bereits beobachteten Patterns. Verteilung über STIX/TAXII.
beacon_config_extract.jsonCobaltStrike · WM 1580103824
{
"BeaconType": "HTTPS",
"Port": 443,
"SleepTime": 60000,
"Jitter": 20,
"MaxGetSize": 1403644,
"Watermark": 1580103824,
"C2Server": "update-cdn[.]global,/dpixel",
"HttpPostUri": "/submit.php",
"MallProfile": "amazon",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
"NamedPipe": "\\pipe\\msagent_*",
"DnsBeacon": "",
"SpawnTo": "svchost.exe"
// → Watermark correlated to campaign EU-2025-047
// → Attribution: ransomware cluster A
}Weitere C2-Frameworks
Über CobaltStrike hinaus: drei kritische Frameworks.
CobaltStrike ist nicht allein. BruteRatel, Havoc und Metasploit wachsen bei Kriminellen und APTs.
Criminal & APT
BruteRatel C4
Kommerzielle CobaltStrike-Alternative. Eingesetzt von Black Basta + APT. Native EDR-Umgehung, AMSI-Bypass, Direct Syscall, Sleep Obfuscation.
Nation-state APT
Havoc Framework
Open Source, wachsend unter staatlichen Akteuren. Demon Agent, Reflective DLL, Sleep Obfuscation, Process Injection, HTTPS/SMB/DNS.
Criminal / opportunistisch
Metasploit
Pen-Test-Framework. Wird von kriminellen Operatoren für Post-Exploitation verwendet. Meterpreter, Reverse Shell, Staged Payload, Post-Exploitation-Module.
Defensive Anwendung
Sechs Wege, wie C2-Tracking Sie schützt.
01
Direkt anwendbare IoCs
IPs, Domains, Zertifikate aktiver C2s, verteilt über STIX/TAXII an SIEM/EDR/Firewall des Kunden. Präventiv blockierbar, bevor ein Angriff erfolgt.
02
Kontext in SOC-Alerts
Wenn ein Alert eine IP mit einem bekannten C2 korreliert, erhält das SOC das Angreifer-Profil: Gruppe, typischer Zielsektor, TTPs, Überschneidungen.
03
Proaktives Threat Hunting
Bereits beobachtete Beacon-, Sleep-, Jitter-, Named-Pipe-Patterns werden zu Hunting-Queries. Aktives Hunting auf Kunden-Infrastruktur.
04
Kampagnen-Early-Warning
Wenn ein neuer C2-Cluster gegen einen Sektor auftaucht, erhalten die Kunden in diesem Sektor eine dedizierte Advisory.
05
Threat-Actor-Reports
Technische Profile der Akteure, die das Framework nutzen: Watermark, Infrastruktur, MITRE-gemappte TTPs, Zielsektoren, Attribution.
06
Schnellere Incident Response
Während IR: Die Identifikation des C2-Frameworks und der Watermark beschleunigt Attribution und Eindämmung.
Integrierte Verteidigung
C2-Tracking speist den gesamten Stack.
Operativ
Intelligence Feed
34k+ IoCs pro Woche, ~16k aus C2- und Malware-Tracking. Verteilung über STIX/TAXII an SIEM/EDR.
Feed entdecken →Strategisch
Cyber Threat Intelligence
Strukturierte Profile von 180+ Akteuren mit Watermark, Infrastruktur und beobachteten Überlappungen.
CTI entdecken →Operativ · SOC
Managed Detection & Response
Die Detection-Regeln des SOC werden durch getrackte C2-Server gespeist. Triage in <15 Min., Eindämmung ~11 Min.
MDR entdecken →FAQ
Alles, was Sie wissen müssen, bevor Sie mit dem Team sprechen.
Wie identifiziert Fortgale CobaltStrike-Server?
Active Fingerprinting: Scanning von Ports und SSL-Zertifikaten mit bekannten Team-Server-Merkmalen, Beacon-HTTP-Headern, JARM, Malleable-C2-Profil. Jeder identifizierte Server wird abgefragt, um die vollständige Config zu extrahieren.
Was ist Attacker Profiling über C2-Config?
Der CobaltStrike-Beacon enthält ein eindeutiges Watermark, das an die erworbene Lizenz gebunden ist. Die Korrelation identischer Watermarks über verschiedene Server und Kampagnen hinweg → Zuordnung zum selben Operator. Infrastruktur-Überlappungen zwischen Gruppen werden beobachtbar.
Warum ist BruteRatel gefährlicher als CobaltStrike?
Entwickelt, um moderne EDRs zu umgehen (Defender, CrowdStrike, SentinelOne). Direct Syscalls, AMSI-Bypass, Sleep-Obfuscation. Übernommen von Black Basta und fortgeschrittenen Ransomware-Gruppen.
Welche C2-Frameworks außer CobaltStrike?
BruteRatel C4, Havoc (Open Source, Nation-State), Metasploit (kriminelle Post-Exploitation), Sliver, Nighthawk, Deimos, neue Custom-Implants.
Wie wird C2-Tracking in der Enterprise-Verteidigung genutzt?
Drei Modi: direkte IoCs (IPs/Domains präventiv blockierbar), Kontext in SOC-Alerts (Angreifer-Info), proaktives Threat Hunting (bereits beobachtete Beacon-/Config-Pattern).
Recherche · C2-Infrastruktur
Wir kartieren die C2-Infrastruktur aktiver Threat Actors.
Domains, IPs, TLS-Zertifikate, Netzwerk-Fingerprints: kontinuierliche Recherche zur C2-Infrastruktur, beobachtet in unseren realen Vorfällen. Operation Storming Tide und andere Berichte detaillieren die Infrastruktur, die wir abfangen, bevor sie zuschlägt.
Phishing Kits Bypass MFA and Hijack companies's accounts in minutes
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Artikel lesen →
Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Artikel lesen →
Operation Storming Tide: A massive multi-stage intrusion campaign
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Artikel lesen →
Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Artikel lesen →
Espionage activities targeting European businesses
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Artikel lesen →
Nebula Broker: offensive operations made in Italy
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Artikel lesen →
C2 Tracking · Operational Intelligence
Der nächste CobaltStrike-Server wird bereits vorbereitet.
Fortgale identifiziert ihn, bevor er in einem Angriff verwendet wird. Konfigurationen, Watermark, Attacker-Profil — alles verfügbar als Operational Intelligence für Ihr Security-Team.