Comment la traque C2 est-elle utilisée dans la défense d'entreprise ?

Trois modes : IoCs directs (IP/domaines bloquables préventivement), contexte dans les alertes SOC (informations sur l'attaquant), threat hunting proactif (patterns de beacon et config déjà observés).

Service · Traque C2 · CobaltStrike · BruteRatel · Havoc

Nous savons où les serveurs des attaquants se cachent.

Fortgale identifie et surveille chaque jour plus de 800 serveurs CobaltStrike actifs dans le monde. Nous extrayons configurations, watermarks et profils — transformant l'infrastructure offensive en intelligence défensive.

Échanger avec l'équipe Les frameworks →

800+C2 actifs/jour

1 000+Nouveaux par trimestre

4Frameworks surveillés

CTI standards

STIX/TAXII 2.1

MITRE ATT&CK

ISO 27001

Tracking techniques

JARM

Malleable C2 Profile

Watermark correlation

Pourquoi traquer les C2

De l'IoC isolé au profil d'attaquant.

Une IP malveillante isolée est une alerte. Une IP corrélée à un watermark, une campagne et un acteur connu est de l'intelligence opérationnelle.

01 ·

Identification par fingerprinting actif

Scanning mondial des ports et certificats SSL avec les caractéristiques connues des Team Servers. Beacon HTTP headers, JARM fingerprint, listener patterns.

02 ·

Watermark = identité de l'attaquant

Pour chaque Team Server : extraction du watermark de licence, type de payload, sleep, jitter, Malleable Profile. Le watermark corrèle différentes campagnes au même opérateur.

03 ·

De l'IoC au profil d'intelligence

Pas seulement des IPs/domaines : un profil structuré de l'attaquant (cluster, groupe, TTPs, chevauchements d'infrastructure) intégré dans les alertes SOC.

Preuve · échelle de la traque

Quatre chiffres qui soutiennent la traque C2.

800+

Serveurs C2 CobaltStrike actifs
traqués chaque jour

1 000+

Nouveaux serveurs identifiés
chaque trimestre

Frameworks surveillés
CobaltStrike · BruteRatel · Havoc · Metasploit

100 %

Configurations extraites
par serveur identifié

Pipeline de profilage

Quatre étapes · du scan mondial à l'intelligence opérationnelle.

01 · Détecter

Identification des serveurs

Scanning mondial avec fingerprinting actif : ports, certificats SSL, JARM, Beacon HTTP headers, listener patterns.

02 · Extraire

Extraction de configuration

Chaque Team Server est interrogé. Extraction du watermark, type de payload, sleep time, jitter, named pipe, DNS beacon, Malleable C2 Profile.

03 · Corréler

Corrélation & attribution

Le watermark est l'empreinte de l'opérateur : même watermark sur différents serveurs → même attaquant. Les chevauchements d'infrastructure émergent.

04 · Opérer

Intelligence opérationnelle

Résultat : IoCs bloquables, profils d'attaquants, contexte pour le SOC, threat hunting sur les patterns déjà observés. Distribué via STIX/TAXII.

beacon_config_extract.jsonCobaltStrike · WM 1580103824

{
  "BeaconType":   "HTTPS",
  "Port":         443,
  "SleepTime":    60000,
  "Jitter":       20,
  "MaxGetSize":   1403644,
  "Watermark":    1580103824,
  "C2Server":     "update-cdn[.]global,/dpixel",
  "HttpPostUri":  "/submit.php",
  "MallProfile":  "amazon",
  "UserAgent":    "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
  "NamedPipe":    "\\pipe\\msagent_*",
  "DnsBeacon":    "",
  "SpawnTo":      "svchost.exe"
  // → Watermark correlated to campaign EU-2025-047
  // → Attribution: ransomware cluster A
}

Autres frameworks C2

Au-delà de CobaltStrike, trois frameworks critiques.

CobaltStrike n'est pas seul. BruteRatel, Havoc et Metasploit progressent chez les criminels et les APTs.

Criminel & APT

BruteRatel C4

Alternative commerciale à CobaltStrike. Adopté par Black Basta + APT. Bypass EDR natif, bypass AMSI, direct syscall, sleep obfuscation.

APT état-nation

Havoc Framework

Open source, en croissance chez les acteurs état-nation. Demon Agent, Reflective DLL, sleep obfuscation, process injection, HTTPS/SMB/DNS.

Criminel / opportuniste

Metasploit

Framework pen-test. Utilisé pour la post-exploitation par les opérateurs criminels. Meterpreter, reverse shell, staged payload, modules post-exploitation.

Application défensive

Six façons dont la traque C2 vous protège.

IoCs directement applicables

IPs, domaines, certificats des C2 actifs distribués via STIX/TAXII au SIEM/EDR/pare-feu du client. Bloquables préventivement avant une attaque.

Contexte dans les alertes SOC

Quand une alerte corrèle une IP à un C2 connu, le SOC reçoit le profil de l'attaquant : groupe, secteur cible typique, TTPs, chevauchements.

Threat hunting proactif

Les patterns beacon, sleep, jitter, named pipe déjà observés deviennent des requêtes de hunting. Hunting actif sur l'infrastructure du client.

Early warning de campagne

Quand un nouveau cluster C2 émerge contre un secteur, les clients de ce secteur reçoivent un advisory dédié.

Rapports sur les threat actors

Profils techniques des acteurs utilisant le framework : watermark, infrastructure, TTPs mappés sur MITRE, secteurs cibles, attribution.

Incident Response accéléré

Pendant l'IR : identifier le framework C2 et le watermark accélère l'attribution et le confinement.

Défense intégrée

La traque C2 alimente tout le stack.

Opérationnel

Intelligence Feed

34 000+ IoCs par semaine, ~16k issus de la traque C2 et malware. Distribués via STIX/TAXII au SIEM/EDR.

Découvrir le Feed →

Stratégique

Cyber Threat Intelligence

Profils structurés de 180+ adversaires avec watermark, infrastructure et chevauchements observés.

Découvrir CTI →

Opérationnel · SOC

Managed Detection & Response

Les règles de détection du SOC sont alimentées par les C2 traqués. Triage en <15 min, confinement ~11 min.

Découvrir MDR →

FAQ

Tout savoir avant de parler à l'équipe.

Comment Fortgale identifie-t-il les serveurs CobaltStrike ?

Fingerprinting actif : scan des ports et certificats SSL avec les traits connus des Team Servers, Beacon HTTP headers, JARM, Malleable C2 Profile. Chaque serveur identifié est interrogé pour extraire la configuration complète.

Qu'est-ce que le profilage d'attaquant via config C2 ?

Le Beacon CobaltStrike contient un watermark unique associé à la licence achetée. Corréler des watermarks identiques sur différents serveurs et campagnes → attribution au même opérateur. Les chevauchements d'infrastructure entre groupes deviennent observables.

Pourquoi BruteRatel est-il plus dangereux que CobaltStrike ?

Conçu pour bypasser les EDR modernes (Defender, CrowdStrike, SentinelOne). Direct syscall, bypass AMSI, sleep obfuscation. Adopté par Black Basta et les groupes ransomware avancés.

Quels frameworks C2 au-delà de CobaltStrike ?

BruteRatel C4, Havoc (open source, état-nation), Metasploit (post-exploitation criminelle), Sliver, Nighthawk, Deimos, implants personnalisés émergents.

Comment la traque C2 est-elle utilisée en défense d'entreprise ?

Trois modes : IoCs directs (IPs/domaines bloquables préventivement), contexte dans les alertes SOC (info attaquant), threat hunting proactif (patterns beacon/config déjà observés).

Recherche · infrastructures C2

Nous cartographions les infrastructures C2 des threat actors actifs.

Domaines, IPs, certificats TLS, fingerprints réseau : recherche continue sur les infrastructures C2 observées dans nos incidents réels. Operation Storming Tide et d'autres rapports détaillent les infrastructures que nous interceptons avant qu'elles ne frappent.

Defence15 avr. 2026

Phishing Kits Bypass MFA and Hijack companies's accounts in minutes

Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…

Lire l'article →

Featured8 avr. 2026

Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds

In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…

Lire l'article →

Defence13 mars 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…

Lire l'article →

Featured4 sept. 2024

Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365

UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…

Lire l'article →

Featured18 déc. 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…

Lire l'article →

Featured6 déc. 2023

Nebula Broker: offensive operations made in Italy

Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…

Lire l'article →

Parler avec le centre de défense

Un rendez-vous. Un NDA. Une conversation avec nos analystes.

Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.