"Sophos continue de surveiller les scans de vulnérabilités de Log4j. Dans le passé, nous avons constaté des pics importants, puis des baisses significatives lorsqu’il était question de scans de vulnérabilités et de tentatives d’exploit. Dans le cas de Log4j, nous n’avons pas constaté de baisse, mais plutôt des scans et des tentatives provenant d’une infrastructure mondialement distribuée, et ce quotidiennement. Nous nous attendons à ce que ce haut niveau d’activité se poursuive, en raison de la nature multiforme de la vulnérabilité et de l’ampleur des correctifs nécessaires.

Comme indiqué dans cet article, dans certains cas, une adresse IP située dans une région géographique envoie une demande comportant des URL pour Log4j qui se connectent à des serveurs situés ailleurs, voire parfois à plusieurs serveurs différents. Si certains de ces tests ou "recherches" sont bénins et réalisés par des testeurs d’intrusion et autres chercheurs en sécurité, une grande partie est malveillante.

Par exemple, la télémétrie de Sophos montre que 59% des tentatives d’exploit essaient d’établir un contact entre Log4j et des adresses Internet en Inde. Plus de 40 % des tentatives d’exploit essaient de contacter Log4j avec des adresses Internet aux États-Unis.

Toutefois, la provenance de ces tentatives se situe principalement en Chine et en Russie, la majorité de ces tentatives étant liées à la cybercriminalité. Un serveur en Russie, connecté à Kinsing, un botnet de minage de cryptomonnaie, est responsable de plus de 10 % des tentatives d’exploit que Sophos a observées, soit plus de 33 % du trafic provenant de ce pays."