Los investigadores de ciberseguridad han marcado una red IP ucraniana para participar en campañas masivas de forcedura de fuerza bruta y pulverización de contraseñas dirigidas a dispositivos SSL VPN y RDP entre junio y julio de 2025.
La actividad se originó en un sistema autónomo con sede en Ucrania FDN3 (AS211736), según la empresa de ciberseguridad francesa Intrinsec.
«Creemos con un alto nivel de confianza que FDN3 es parte de una infraestructura abusiva más amplia compuesta por otras dos redes ucranianas, Vaiz-AS (AS61432) y Erishenya-asn (AS210950), y un sistema autónomo basado en Seychelles llamado TK-Net (AS210848), «Según un informe publicado la semana pasada.
«Todos fueron asignados en agosto de 2021 y a menudo intercambian prefijos IPv4 entre sí para evadir la lista de bloques y continuar organizando actividades abusivas».
AS61432 anuncia actualmente un prefijo único 185.156.72 (.) 0/24, mientras que AS210950 ha anunciado dos prefijos 45.143.201 (.) 0/20 y
185.193.89 (.) 0/20. Los dos sistemas autónomos se asignaron en mayo y agosto de 2021, respectivamente. Se ha anunciado una gran parte de sus prefijos en AS210848, otro sistema autónomo también asignado en agosto de 2021.
«Esta red comparte todos sus acuerdos de pares con IP Volume Inc. – AS202425una compañía con sede en Seychelles y creada por los propietarios de Ecatel, infame por administrar un servicio de alojamiento a prueba de balas extensamente abusivo en los Países Bajos desde 2005 «, señaló Intrinsec.
La totalidad de los prefijos que se trasladaron de AS61432 y AS210950 ahora son anunciados por redes a prueba de balas y abusivas lideradas por compañías de shell como Global Internet Solutions LLC (gir.network), Global Connectivity Solutions LLPVerasel, IP Volume Inc. y Telkom Internet Ltd.
Los hallazgos se basan en revelaciones anteriores sobre cómo múltiples redes asignadas en agosto de 2021 y con sede en Ucrania y Seychelles, AS61432, AS210848 y AS210950, se usaron para distribución de spam, ataques de redes y hosting de comando y control de malware. En junio de 2025, algunos de los prefijos IPv4 anunciados por estas redes se trasladaron a FDN3, que se creó en agosto de 2021.
Eso no es todo. Tres de los prefijos anunciados por AS210848, y uno por AS61432, fueron anunciados previamente por otra red rusa, Sibirinvest OOO (AS444446). De los cuatro prefijos IPv4 anunciados por FDN3, se evalúa que uno de ellos (88.210.63 (.) 0/24) ha sido anunciado previamente por una solución de alojamiento a prueba de balas con sede en Estados Unidos llamada Virtualine (AS214940 y AS214943).
Es este rango de prefijo IPv4 el que se ha atribuido a los intentos de pulverización de la fuerza bruta y la contraseña a gran escala, con la actividad de la actividad a un récord más alto entre el 6 y el 8 de julio de 2025.
Los esfuerzos de pulverización de la fuerza bruta y la contraseña dirigidos a los activos SSL VPN y RDP podrían durar hasta tres días, según IntrinSec. Vale la pena señalar que estas técnicas han sido adoptadas por varios grupos de ransomware como servicio (RAAS) como Basta negra, Grupo globaly Ransomhub Como vector de acceso inicial para violar las redes corporativas.
Los otros dos prefijos que FDN3 anunció en junio, 92.63.197 (.) 4/24 y 185.156.73 (.) 0/24, fueron anunciados previamente por AS210848, lo que indica un alto grado de superposición operativa. 92.63.197 (.) 0/24, por su parte, tiene lazos con las redes de spam búlgaras como Roza-AS (AS212283).
«Todas esas fuertes similitudes, incluida su configuración, el contenido que alojan y su fecha de creación, nos llevaron a evaluar con un alto nivel de confianza, los sistemas autónomos mencionados anteriormente serían operados por un administrador de alojamiento a prueba de balas común», explicó Intrinsec.
Un análisis posterior de FDN3 ha descubierto lazos con una compañía rusa llamada Alex Host LLC que, en el pasado, se ha vinculado a proveedores de alojamiento a prueba de balas como TNSecurity, que se han utilizado para anfitriones Infraestructura de doppelganger.
«Esta investigación resalta una vez más un fenómeno común de los ISP en alta mar como IP Volume Inc. que permite redes a prueba de balas más pequeñas a través de acuerdos de pares y el alojamiento de prefijo en general», dijo la compañía. «Gracias a su ubicación offshore, como Seychelles, que proporciona anonimato a los propietarios de esas compañías, las actividades maliciosas perpetradas a través de esas redes no pueden imputarse directamente a ellas».
El desarrollo se produce cuando Censys descubrió un sistema de gestión de proxy de conexión con la devolución asociada con el Polaredge Botnet que actualmente se ejecuta en más de 2.400 hosts. El sistema es un Servidor RPX Eso opera como una puerta de enlace proxy de conexión inversa capaz de administrar nodos proxy y exponer los servicios proxy.
«Este sistema parece ser un servidor bien diseñado que puede ser una de las muchas herramientas utilizadas para administrar la botnet de Polaredge», el investigador de seguridad senior Mark Ellzey dicho. «También es posible que este servicio específico no esté completamente relacionado con Polaredge y, en cambio, sea un servicio que Botnet utiliza para saltar entre diferentes relés».