محققان امنیت سایبری جزئیات فعالیت اسکن هماهنگ مبتنی بر ابر را فاش کردند که در ماه گذشته ۷۵ “نقطه آسیب‌پذیری” مختلف را هدف قرار داد. این فعالیت که توسط GreyNoise در ۸ مه ۲۰۲۵ مشاهده شد، شامل ۲۵۱ آدرس IP مخرب بود که همگی در ژاپن واقع شده و توسط آمازون میزبانی می‌شدند. این آدرس‌های IP تنها در یک روز فعال بودند و قبل و بعد از آن بی‌صدا بودند که نشان‌دهنده اجاره موقت زیرساخت برای یک عملیات واحد است.

اسکن‌ها طیف گسترده‌ای از فناوری‌ها از جمله Adobe ColdFusion، Apache Struts، Apache Tomcat، Drupal، Elasticsearch و Oracle WebLogic را هدف قرار دادند. این عملیات فرصت‌طلبانه شامل تلاش‌های بهره‌برداری از آسیب‌پذیری‌های شناخته شده مانند CVE-2018-15961، CVE-2017-5638، CVE-2022-26134، Shellshock و CVE-2015-1427 بود. سطح بالای همپوشانی بین آدرس‌های IP (۲۶۲ IP بین ColdFusion و Struts و ۲۵۱ IP در هر سه اسکن آسیب‌پذیری) نشان‌دهنده یک اپراتور واحد یا مجموعه ابزار مستقر در بسیاری از IP‌های موقت است.