Passiv OT/ICS-honeypot · aggregerad mätdata

Vad söker internet
efter just nu?

Anonymiserad statistik från ett passivt system som emulerar industriella styrsystem, nätverkskameror, VPN-portaler och DevOps-tjänster.

Uppstart: 2025-08-01 · Senast aggregerat: 2026-05-17 · Källa: passiv HTTP-sensor

35 927

förfrågningar sedan start

Unika IP-adresser 4 576

Aktiva endpoints 2 631

Inloggningsförsök 545

Denna timme

Idag

Inloggn. idag

Portscanning creds

Uppdateras om 30s

Polling · var 30:e sekund

Nyckeltal

Totalt antal förfrågningar

35 927

+2 110 senaste 7 dagarna

Unika IP-adresser

4 576

+436 senaste 7 dagarna

Emulerade tjänster

2 631

aktiva endpoints

Inloggningsförsök

545

+0 senaste 7 dagarna

High-signal events

112

Sofistikerade riktade attacker

Sanerade events

850

XSS, SQLi och path traversal-försök

AI-agentprober

MCP-endpoints sondrade senaste 7 dagarna

Exkl. egna IP-adresser och kända skanningssystem.

Aktivitet & geografisk fördelning

Daglig aktivitet · sista 28 dagarna

Lägre

Högre

Timvis aktivitet · sista 7 dagarna

Lägre aktivitet

Högre aktivitet · Timme (UTC) · senaste 7 dagarna

Geografisk fördelning · top 8

US USA

8 952

SE Sverige

7 368

NL Nederländerna

3 490

DE Tyskland

2 420

GB Storbritannien

2 046

FR Frankrike

1 995

CN Kina

939

IN Indien

611

Kategorier & endpoints

Riktade systemförsök — fördelning per systemkategori

Kommunal dokumentportal

498 1.4%

SCADA & styrsystem

191 0.5%

Fibernät & transmission

154 0.4%

VPN-portal

102 0.3%

Fastighetssystem (BMS)

93 0.3%

OT tidsserie-API

77 0.2%

Övervakningskameror

71 0.2%

Passersystem

34 0.1%

Nätverksövervakning

23 0.1%

VA & fjärrvärme-SCADA

18 0.1%

Civilberedskapsplaner

12 0%

Kommunal dokumentportal

3 0%

intrusion_alarm

2 0%

Reservkraft & generatorer

1 0%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

10.0 CVE-2019-7256 RCE (CVSS 10) — Linear eMerge E3 passersystem

10.0 CVE-2023-20198 Auth bypass (CVSS 10) — Cisco IOS XE webbgränssnitt

9.9 CVE-2023-44373 RCE — Siemens RUGGEDCOM APE1808

9.8 CVE-2024-9003 Auth bypass — Schneider Electric Easergy P5 BMS

9.8 CVE-2021-36260 Command injection — Hikvision IP-kameror

9.8 CVE-2023-27350 Auth bypass & RCE — PaperCut (VA-verk)

Protokollscanning — fördelning per systemkategori

Protokollscanning

13 579 37.8%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

7.5 CVE-2023-27321 DoS — OPC UA Foundation SDK via crafted message

7.4 CVE-2022-44725 Memory corruption — OPC UA SDK (Unified Automation)

Generisk massscanning — fördelning per systemkategori

Generisk webbscanning

19 142 53.3%

Credential-stöld

811 2.3%

DevOps & API-sondning

639 1.8%

none

266 0.7%

unknown

173 0.5%

Kataloggenomgång

23 0.1%

ai_agent

13 0%

civil_readiness

1 0%

ups

1 0%

Kopplade CVE:er — kända sårbarheter i exponerade systemtyper

10.0 CVE-2024-3400 RCE (CVSS 10) — Palo Alto PAN-OS GlobalProtect

8.1 CVE-2024-6387 RCE — OpenSSH regreSSHion

Mest efterfrågade endpoints

ssdp

6 385

ssh_banner

5 278

root_probe

5 165

favicon_ico

1 248

robots_txt

402

raw_file_env

399

sitemap_xml

348

raw_file_git_config

296

telnet

285

hikvision_sdk

252

Senaste aktivitet

LIVE

Tid UTC	Land	Endpoint	Kategori	Metod
3 h sedan	NL	cgi_bin_luci_stok_locale	generic_scan	GET
4 h sedan	SG	root_probe	generic_scan	GET
4 h sedan	SG	root_probe	generic_scan	GET
4 h sedan	KR	root_probe	generic_scan	GET
4 h sedan	DE	root_probe	generic_scan	GET
4 h sedan	NL	login	legacy_portal_ui	GET
4 h sedan	US	root_probe	generic_scan	GET
5 h sedan	NL	raw_file_env	credential	GET

Metod · User-agent · Svarskod

HTTP-metod

GET

18 583

CONNECT

13 579

POST

2 622

HEAD

460

OPTIONS

PUT

TRACE

KEAN

SUQF

VUEA

UGNB

DSLW

IRSZ

Topp User-Agents

browser

13 436

curl

2 833

security_scanner

1 758

l9explore/1.2.2

1 400

no_agent

884

go_http

760

HTTP-svarskod

200 OK

22 255

13 579

404 Not Found

Credential-försök · inloggningsförsök per system och användarnamn

Mest provade användarnamn

root

117

admin

ZAP (scanner)

Poot

user

Pdmin

operator (OT)

test

default

guest

administrator

vstarcam2015

Inloggningsförsök per honeypot-tjänst

Passersystem

102

Fibernät & nätverks…

Process-SCADA (Siemen…

VPN-gateway (Ivanti)

Oklassificerat

Driftportal

IP-kameror (Hikvision…

Fastighetsautomation …

Säkerhetsaccess

Civilberedskapsportal

Angriparmönster · återkommande aktörer och multi-endpoint-försök

4 747

Unika externa IP:er

Återkommande aktörer · >1 besök

Riktade aktörer · 2+ distinkta endpoints

#	Förfrågningar	Endpoint-grupper	Tjänstetyper	OT-fokus
1	280	5	4	OT-riktad
2	170	4	4	OT-riktad
3	40	4	4	OT-riktad
4	1 727	3	3	OT-riktad
5	1 425	3	3	OT-riktad
6	1 182	3	3	OT-riktad
7	990	3	3	OT-riktad
8	641	3	3	OT-riktad
9	611	3	3	OT-riktad
10	549	3	3	OT-riktad
11	288	3	3	OT-riktad
12	273	3	3	OT-riktad

Exponeringstid · hur lång tid det tog innan varje tjänst hittades

Tid till första scan · per exponerad tjänst sedan 2026-03-08

VPN-gateway (Ivanti) +18h 5min

Passersystem +18h 47min

DevOps / CI-API +1 dagar

Credential-stöld +1 dagar

Fibernät & nätverkshårdvara +4 dagar

Säkerhetsaccess +5 dagar

ai_agent +69 dagar

Tid efter att portarna öppnades tills första extern förfrågan registrerades per tjänstetyp

Vill du veta mer?

Detaljerad analys �� angriparprofiler, ISP-data, credential-trender — finns på begäran för säkerhetsforskare och branschkollegor.

Kontakta oss ›

Geografisk tidslinje · daglig aktivitet per ursprungsland · senaste 7 dagarna

Datum	DE Tyskland	NL Nederländerna	US USA	AD AD	SG Singapore	BE Belgien	Totalt
2026-05-19	7	25	30	3	5	4	91
2026-05-18	215	77	80	9	5	3	432
2026-05-17	59	34	47	9	6	8	186
2026-05-16	156	101	43	3	2	1	340
2026-05-15	193	64	53	4	6	2	357
2026-05-14	5	91	72	8	2	9	207
2026-05-13	120	28	61	6	8	1	244
2026-05-12	138	9	25	3	5	1	188

Enbart extern trafik. Mörk cell = hög aktivitet från landet. Egna IP-adresser exkluderade.

Protokollscanning

OT-protokoll rankade per träffräkning

#	Protokoll	Totalt	Andel	Idag
1	SSDP/UPnP :1900	6 385	47%	—
2	SSH Banner :2222	5 278	38.9%	—
3	Telnet :23	285	2.1%	—
4	Hikvision SDK :8000	252	1.9%	—
5	OPC-UA :4840	141	1%	—
6	Siemens S7comm :10102	138	1%	—
7	Niagara Fox :1911	135	1%	—
8	DNP3 :20000	112	0.8%	—
9	Modbus TCP :15502	105	0.8%	—
10	EtherNet/IP :44818	101	0.7%	—
11	iec104	91	0.7%	—
12	SIP :5060	90	0.7%	—
13	Dahua TCP :37777	86	0.6%	—
14	SNMP :161	78	0.6%	—
15	RTSP :554	76	0.6%	—
16	MQTT :1883	74	0.5%	—
17	GE SRTP :18245	58	0.4%	—
18	MELSEC SLMP :5007	52	0.4%	—
19	bacnet	41	0.3%	—
20	FTP :21	1	0%	—

Alla träffar sedan start. "Idag" = antal förfrågningar innevarande dag UTC. Egna IP-adresser exkluderade.

Angreppstyper förklarade

Vad händer egentligen

Credential stuffing

0 unika IP:n / 7 d

Automatiserade Telnet-anslutningar som systematiskt provar inloggningsuppgifter från läckta databaser. Målet är att ta över routrar och IoT-enheter för att bygga ut botnät.

CVE-riktad scanning

0 distinkta protokoll

Förfrågningar som matchar kända CVE-signaturer — angriparen söker efter en specifik sårbarhet i industriella styrsystem, kameror eller nätverksutrustning.

Kamouflerad trafik

0 förfrågningar

OT-protokollförfrågningar med webbläsar-useragent (Mozilla/Chrome/Safari). Avsikten är att undgå signatursbaserade detekteringssystem som filtrerar bort tydlig scanneridentitet.

Räkningar avser observationer i honeypot-data. Siffrorna speglar angriparmönster, inte faktiska intrång.

Trender

Requests per dag de senaste 30 och 90 dagarna

Senaste 30 dagarna

Senaste 90 dagarna

Kvartalstrender

Nyckel-KPI:er per kvartal — eskalering över tid

Kvartal	Requests	Unika IP	High-signal	Credential-försök	Residential IP
2026-Q1	18 256	2 551	112	470	—

127 fiber_targeted — requests specifikt riktade mot fibernätsinfrastruktur och transmissionsutrustning

Kvartal med noll requests exkluderas. Δ = förändring mot föregående kvartal i tabellen.

Angreppsdjup · resursmål, beteendesignaturer och ursprung

Vad angriparna söker

32 974

Protokoll (TCP/UDP raw)

1 326

Inloggningssidor

882

Dokumentfiler

630

API-endpoints

92

Okänt

23

Katalogstrukturer

Beteendesignaturer

13 729

Kataloggissning

10 014

Mänskligt webbläsarbeteende

6 334

Automatiserad scanning

5 435

Sårbarhetsskanning

4 593

Konfigurationssökning

2 328

Massscanning

1 305

API-sondning

884

Ingen User-Agent

379

OT-riktad

287

known_scanner

286

Credential-försök

262

Backupsökning

Angriparnas nätoperatörer

2 249

Digitalocean, LLC

1 908

Secure Internet LLC uk

1 489

FBW NETWORKS SAS

1 394

Censys, Inc.

Säkerhetsforskare

929

TECHOFF SRV LIMITED

882

Feo Prest SRL

773

Pfcloud UG

584

Google LLC

569

ONYPHE SAS

Hotintelligensskanner

469

Linode

Inga IP-adresser visas. ASN-data via passiv geo-enrichning.

Vad söker internet efter just nu?

Nyckeltal

Aktivitet & geografisk fördelning

Kategorier & endpoints

Senaste aktivitet

Metod · User-agent · Svarskod

Credential-försök · inloggningsförsök per system och användarnamn

Angriparmönster · återkommande aktörer och multi-endpoint-försök

Exponeringstid · hur lång tid det tog innan varje tjänst hittades

Geografisk tidslinje · daglig aktivitet per ursprungsland · senaste 7 dagarna

Protokollscanning

Angreppstyper förklarade

Trender

Kvartalstrender

Angreppsdjup · resursmål, beteendesignaturer och ursprung

AI-agentscanning · MCP-protokollsondring och kända aktörer

Vad söker internet
efter just nu?