Passiv OT/ICS-honeypot · aggregerad mätdata

Vad söker internet
efter just nu?

Anonymiserad statistik från ett passivt system som emulerar industriella styrsystem, nätverkskameror, VPN-portaler och DevOps-tjänster.

Uppstart: 2025-08-01 · Senast aggregerat: 2026-06-13 · Källa: passiv HTTP-sensor

48 527

förfrågningar sedan start

Unika IP-adresser 5 680

Aktiva endpoints 3 673

Inloggningsförsök 553

Denna timme

718

Idag

Inloggn. idag

Portscanning creds

Uppdateras om 30s

Polling · var 30:e sekund

Nyckeltal

Totalt antal förfrågningar

48 527

+3 173 senaste 7 dagarna

Unika IP-adresser

5 680

+423 senaste 7 dagarna

Emulerade tjänster

3 673

aktiva endpoints

Inloggningsförsök

553

+0 senaste 7 dagarna

High-signal events

112

Sofistikerade riktade attacker

Sanerade events

1 134

XSS, SQLi och path traversal-försök

AI-agentprober

MCP-endpoints sondrade senaste 7 dagarna

Exkl. egna IP-adresser och kända skanningssystem.

Aktivitet & geografisk fördelning

Daglig aktivitet · sista 28 dagarna

Lägre

Högre

Timvis aktivitet · sista 7 dagarna

Lägre aktivitet

Högre aktivitet · Timme (UTC) · senaste 7 dagarna

Geografisk fördelning · top 8

US USA

11 739

SE Sverige

7 413

NL Nederländerna

5 591

DE Tyskland

3 908

GB Storbritannien

2 394

FR Frankrike

2 068

CN Kina

1 111

IN Indien

977

Kategorier & endpoints

Riktade systemförsök — fördelning per systemkategori

Kommunal dokumentportal

747 1.5%

SCADA & styrsystem

191 0.4%

Fibernät & transmission

154 0.3%

VPN-portal

107 0.2%

Fastighetssystem (BMS)

93 0.2%

OT tidsserie-API

89 0.2%

Övervakningskameror

71 0.1%

Passersystem

36 0.1%

Nätverksövervakning

23 0%

VA & fjärrvärme-SCADA

18 0%

Civilberedskapsplaner

12 0%

Kommunal dokumentportal

3 0%

intrusion_alarm

2 0%

Reservkraft & generatorer

1 0%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

10.0 CVE-2019-7256 RCE (CVSS 10) — Linear eMerge E3 passersystem

10.0 CVE-2023-20198 Auth bypass (CVSS 10) — Cisco IOS XE webbgränssnitt

9.9 CVE-2023-44373 RCE — Siemens RUGGEDCOM APE1808

9.8 CVE-2024-9003 Auth bypass — Schneider Electric Easergy P5 BMS

9.8 CVE-2021-36260 Command injection — Hikvision IP-kameror

9.8 CVE-2023-27350 Auth bypass & RCE — PaperCut (VA-verk)

Protokollscanning — fördelning per systemkategori

Protokollscanning

13 579 28%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

7.5 CVE-2023-27321 DoS — OPC UA Foundation SDK via crafted message

7.4 CVE-2022-44725 Memory corruption — OPC UA SDK (Unified Automation)

Generisk massscanning — fördelning per systemkategori

Generisk webbscanning

30 867 63.6%

Credential-stöld

1 268 2.6%

DevOps & API-sondning

750 1.5%

none

266 0.5%

unknown

199 0.4%

ai_agent

26 0.1%

Kataloggenomgång

23 0%

ups

1 0%

civil_readiness

1 0%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

10.0 CVE-2024-3400 RCE (CVSS 10) — Palo Alto PAN-OS GlobalProtect

8.1 CVE-2024-6387 RCE — OpenSSH regreSSHion

Mest efterfrågade endpoints

root_probe

7 038

ssdp

6 385

ssh_banner

5 278

favicon_ico

1 664

sdk_weblanguage

687

raw_file_env

589

robots_txt

449

raw_file_git_config

406

sitemap_xml

391

cgi_bin_luci_stok_locale

342

Senaste aktivitet

LIVE

Tid UTC	Land	Endpoint	Kategori	Metod
2 h sedan	DE	2577eb_2575i_2577sma_http	generic_scan	POST
2 h sedan	JP	root_probe	generic_scan	GET
2 h sedan	BR	sdk_weblanguage	generic_scan	GET
2 h sedan	DE	sse	generic_scan	GET
2 h sedan	DE	root_probe	generic_scan	GET
2 h sedan	DE	root_probe	generic_scan	GET
2 h sedan	DE	favicon_ico	generic_scan	GET
2 h sedan	DE	mcp	ai_agent	POST

Metod · User-agent · Svarskod

HTTP-metod

GET

30 914

CONNECT

13 579

POST

2 797

HEAD

508

OPTIONS

PUT

PROPFIND

TRACE

VQYU

GKNX

APVL

PWGB

ZHNZ

RNLI

WTFI

IRSZ

DSLW

UGNB

VUEA

SUQF

KEAN

Topp User-Agents

browser

21 460

curl

2 907

security_scanner

2 506

go_http

1 630

l9explore/1.2.2

1 500

no_agent

1 474

HTTP-svarskod

200 OK

34 801

13 579

404 Not Found

147

Credential-försök · inloggningsförsök per system och användarnamn

Mest provade användarnamn

root

117

admin

ZAP (scanner)

Poot

user

Pdmin

operator (OT)

test

default

guest

administrator

vstarcam2015

Inloggningsförsök per honeypot-tjänst

Passersystem

110

Fibernät & nätverks…

Process-SCADA (Siemen…

VPN-gateway (Ivanti)

Oklassificerat

Driftportal

IP-kameror (Hikvision…

Fastighetsautomation …

Säkerhetsaccess

Civilberedskapsportal

Angriparmönster · återkommande aktörer och multi-endpoint-försök

5 848

Unika externa IP:er

Återkommande aktörer · >1 besök

Riktade aktörer · 2+ distinkta endpoints

#	Förfrågningar	Endpoint-grupper	Tjänstetyper	OT-fokus
1	436	5	4	OT-riktad
2	76	5	4	OT-riktad
3	170	4	4	OT-riktad
4	40	4	4	OT-riktad
5	1 727	3	3	OT-riktad
6	1 425	3	3	OT-riktad
7	1 413	3	3	OT-riktad
8	1 222	3	3	OT-riktad
9	1 182	3	3	OT-riktad
10	793	3	3	OT-riktad
11	641	3	3	OT-riktad
12	569	3	3	OT-riktad

Exponeringstid · hur lång tid det tog innan varje tjänst hittades

Tid till första scan · per exponerad tjänst sedan 2026-03-08

VPN-gateway (Ivanti) +18h 5min

Passersystem +18h 47min

DevOps / CI-API +1 dagar

Credential-stöld +1 dagar

Fibernät & nätverkshårdvara +4 dagar

Säkerhetsaccess +5 dagar

ai_agent +69 dagar

Tid efter att portarna öppnades tills första extern förfrågan registrerades per tjänstetyp

Vill du veta mer?

Detaljerad analys �� angriparprofiler, ISP-data, credential-trender — finns på begäran för säkerhetsforskare och branschkollegor.

Kontakta oss ›

Geografisk tidslinje · daglig aktivitet per ursprungsland · senaste 7 dagarna

Datum	US USA	NL Nederländerna	DE Tyskland	BE Belgien	SG Singapore	IT Italien	Totalt
2026-06-15	66	33	16	175	·	·	396
2026-06-14	254	57	4	3	2	·	411
2026-06-13	95	72	5	10	2	2	245
2026-06-12	68	121	9	1	2	156	451
2026-06-11	58	117	5	4	4	·	214
2026-06-10	51	117	6	10	1	1	246
2026-06-09	52	94	26	2	11	·	263
2026-06-08	55	43	174	1	156	·	448

Enbart extern trafik. Mörk cell = hög aktivitet från landet. Egna IP-adresser exkluderade.

Protokollscanning

OT-protokoll rankade per träffräkning

#	Protokoll	Totalt	Andel	Idag
1	SSDP/UPnP :1900	6 385	47%	—
2	SSH Banner :2222	5 278	38.9%	—
3	Telnet :23	285	2.1%	—
4	Hikvision SDK :8000	252	1.9%	—
5	OPC-UA :4840	141	1%	—
6	Siemens S7comm :10102	138	1%	—
7	Niagara Fox :1911	135	1%	—
8	DNP3 :20000	112	0.8%	—
9	Modbus TCP :15502	105	0.8%	—
10	EtherNet/IP :44818	101	0.7%	—
11	iec104	91	0.7%	—
12	SIP :5060	90	0.7%	—
13	Dahua TCP :37777	86	0.6%	—
14	SNMP :161	78	0.6%	—
15	RTSP :554	76	0.6%	—
16	MQTT :1883	74	0.5%	—
17	GE SRTP :18245	58	0.4%	—
18	MELSEC SLMP :5007	52	0.4%	—
19	bacnet	41	0.3%	—
20	FTP :21	1	0%	—

Alla träffar sedan start. "Idag" = antal förfrågningar innevarande dag UTC. Egna IP-adresser exkluderade.

Angreppstyper förklarade

Vad händer egentligen

Credential stuffing

0 unika IP:n / 7 d

Automatiserade Telnet-anslutningar som systematiskt provar inloggningsuppgifter från läckta databaser. Målet är att ta över routrar och IoT-enheter för att bygga ut botnät.

CVE-riktad scanning

0 distinkta protokoll

Förfrågningar som matchar kända CVE-signaturer — angriparen söker efter en specifik sårbarhet i industriella styrsystem, kameror eller nätverksutrustning.

Kamouflerad trafik

0 förfrågningar

OT-protokollförfrågningar med webbläsar-useragent (Mozilla/Chrome/Safari). Avsikten är att undgå signatursbaserade detekteringssystem som filtrerar bort tydlig scanneridentitet.

Räkningar avser observationer i honeypot-data. Siffrorna speglar angriparmönster, inte faktiska intrång.

Trender

Requests per dag de senaste 30 och 90 dagarna

Senaste 30 dagarna

Senaste 90 dagarna

Kvartalstrender

Nyckel-KPI:er per kvartal — eskalering över tid

Kvartal	Requests	Unika IP	High-signal	Credential-försök	Residential IP
2026-Q1	18 256	2 551	112	470	—

127 fiber_targeted — requests specifikt riktade mot fibernätsinfrastruktur och transmissionsutrustning

Kvartal med noll requests exkluderas. Δ = förändring mot föregående kvartal i tabellen.

Angreppsdjup · resursmål, beteendesignaturer och ursprung

Vad angriparna söker

44 699

Protokoll (TCP/UDP raw)

1 594

Inloggningssidor

1 321

Dokumentfiler

744

API-endpoints

146

Okänt

23

Katalogstrukturer

Beteendesignaturer

24 154

Kataloggissning

15 033

Mänskligt webbläsarbeteende

10 341

Sårbarhetsskanning

9 287

Konfigurationssökning

8 763

Automatiserad scanning

3 136

Massscanning

2 017

API-sondning

1 474

Ingen User-Agent

874

Backupsökning

401

OT-riktad

374

known_scanner

286

Credential-försök

Angriparnas nätoperatörer

2 800

Digitalocean, LLC

2 383

Google LLC

2 290

Secure Internet LLC uk

1 903

Censys, Inc.

Säkerhetsforskare

1 881

TECHOFF SRV LIMITED

1 489

FBW NETWORKS SAS

1 305

Feo Prest SRL

1 117

Pfcloud UG

780

Microsoft Corporation

768

DEDIK SERVICES LIMITED

Inga IP-adresser visas. ASN-data via passiv geo-enrichning.

Vad söker internet efter just nu?

Nyckeltal

Aktivitet & geografisk fördelning

Kategorier & endpoints

Senaste aktivitet

Metod · User-agent · Svarskod

Credential-försök · inloggningsförsök per system och användarnamn

Angriparmönster · återkommande aktörer och multi-endpoint-försök

Exponeringstid · hur lång tid det tog innan varje tjänst hittades

Geografisk tidslinje · daglig aktivitet per ursprungsland · senaste 7 dagarna

Protokollscanning

Angreppstyper förklarade

Trender

Kvartalstrender

Angreppsdjup · resursmål, beteendesignaturer och ursprung

AI-agentscanning · MCP-protokollsondring och kända aktörer

Vad söker internet
efter just nu?