Los investigadores de ciberseguridad han afectado una red IP ucraniana para participar en campañas masivas de forcedura de fuerza bruta y pulverización de contraseñas dirigidas a dispositivos SSL VPN y RDP entre junio y julio de 2025.
La actividad se originó en un sistema autónomo con sede en Ucrania FDN3 (AS211736), según Intrinsec de la Compañía de Seguridad Cibernética francesa.
«Creemos con un detención nivel de confianza que FDN3 es parte de una infraestructura abusiva más amplia compuesta por otras dos redes ucranianas, VAIZ-AS (AS61432) y Erishenya-ASN (AS210950), y un sistema autónomo basado en Seychelles llamado TK-NET (AS210848)», según un mensaje la última semana.
«Todos fueron asignados en agosto de 2021 y a menudo intercambian prefijos IPv4 entre sí para eludir la cinta de bloques y continuar organizando actividades abusivas».
AS61432 anuncia actualmente un prefijo único 185.156.72 (.) 0/24, mientras que AS210950 ha anunciado dos prefijos 45.143.201 (.) 0/20 y
185.193.89 (.) 0/20. Los dos sistemas autónomos se asignaron en mayo y agosto de 2021, respectivamente. Se ha anunciado una gran parte de sus prefijos en AS210848, otro sistema autónomo además asignado en agosto de 2021.
«Esta red comparte todos sus acuerdos de transmisión con IP Volume Inc. – AS202425, una compañía con sede en Seychelles y creada por los propietarios de Ecatel, infame por ejecutar un servicio de alojamiento a prueba de balas ampliamente injusto en los Países Bajos desde 2005», señaló Intrinsec.
La totalidad de los prefijos que se trasladaron de AS61432 y AS210950 ahora son anunciados por redes a prueba de balas y abusivas lideradas por compañías Shell como Universal Internet Solutions LLC (GIR.NETWork), Universal Connectivity Solutions LLP, VeraSel, IP Volume Inc. y Telkom Internet LTD.
Los hallazgos se basan en revelaciones anteriores sobre cómo múltiples redes asignadas en agosto de 2021 y con sede en Ucrania y Seychelles, AS61432, AS210848 y AS210950, se usaron para distribución de spam, ataques de redes y hosting de comando y control de malware. En junio de 2025, algunos de los prefijos IPv4 anunciados por estas redes se trasladaron a FDN3, que se creó en agosto de 2021.
Eso no es todo. Tres de los prefijos anunciados por AS210848, y uno por AS61432, fueron anunciados previamente por otra red rusa, Sibirinvest OOO (AS44446). De los cuatro prefijos IPv4 anunciados por FDN3, uno de ellos (88.210.63 (.) 0/24) se evalúa previamente por una posibilidad de alojamiento a prueba de balas con sede en Estados Unidos emplazamiento Virtualine (AS214940 y AS214943).
Es este rango de prefijo IPv4 el que se ha atribuido a los intentos de pulverización de la fuerza bruta y la contraseña a gran escalera, con la actividad de la actividad a un récord más detención entre el 6 y el 8 de julio de 2025.
Los esfuerzos de pulverización de la fuerza bruta y la contraseña dirigidos a los activos SSL VPN y RDP podrían durar hasta tres días, según IntrinSec. Vale la pena señalar que estas técnicas han sido adoptadas por varios grupos de ransomware como servicio (RAAS) como Black Baste, Universal Group y Ransomhub como un vector de acercamiento original para violar las redes corporativas.
Los otros dos prefijos que FDN3 anunció en junio, 92.63.197 (.) 4/24 y 185.156.73 (.) 0/24, fueron anunciados previamente por AS210848, lo que indica un detención división de superposición operativa. 92.63.197 (.) 0/24, por su parte, tiene lazos con las redes spam búlgaras como ROZA-AS (AS212283).
«Todas esas fuertes similitudes, incluida su configuración, el contenido que alojan y su época de creación, nos llevaron a evaluar con un detención nivel de confianza, los sistemas autónomos mencionados anteriormente serían operados por un administrador de alojamiento a prueba de balas popular», explicó Intrinsec.
Un descomposición posterior de FDN3 ha descubierto lazos con una compañía rusa emplazamiento Alex Host LLC que, en el pasado, se ha relacionado con proveedores de alojamiento a prueba de balas como TNSecurity, que se han utilizado para anfitriones de la infraestructura Doppelganger.
«Esta investigación resalta una vez más un aberración popular de los ISP en entrada mar como IP Volume Inc. que permite redes a prueba de balas más pequeñas a través de acuerdos de pares y el alojamiento de prefijo en caudillo», dijo la compañía. «Gracias a su ubicación offshore, como Seychelles, que proporciona anonimato a los propietarios de esas compañías, las actividades maliciosas perpetradas a través de esas redes no pueden imputarse directamente a ellas».
El mejora se produce cuando Censys descubrió un sistema de papeleo proxy de conexión con conexión asociado con la botnet Polaredge que actualmente se ejecuta en más de 2.400 hosts. El sistema es un servidor RPX que funciona como una puerta de enlace proxy de conexión inversa capaz de dirigir nodos proxy y exponer servicios proxy.
«Este sistema parece ser un servidor admisiblemente diseñado que puede ser una de las muchas herramientas utilizadas para dirigir la botnet Polaredge», dijo el investigador de seguridad Senior Mark Ellzey. «Incluso es posible que este servicio específico no esté completamente relacionado con Polaredge y, en cambio, sea un servicio que Botnet utiliza para saltar entre diferentes relés».
