Pesquisadores de cybersecurity identificaram uma rede IP ucraniana envolvida em campanhas massivas de brute-force e password spraying direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025.
A atividade teve origem no sistema autônomo (AS) ucraniano FDN3 (AS211736), segundo a empresa francesa de cybersecurity Intrinsec.
“Acreditamos com alto nível de confiança que o FDN3 faz parte de uma infraestrutura abusiva maior composta por outras duas redes ucranianas, VAIZ-AS (AS61432) e ERISHENNYA-ASN (AS210950), e um sistema autônomo sediado nas Seychelles chamado TK-NET (AS210848)”, afirma o relatório publicado na semana passada.
“Todas essas redes foram alocadas em agosto de 2021 e frequentemente trocam prefixos IPv4 entre si para evadir blocklisting e continuar hospedando atividades abusivas.”
Atualmente, o AS61432 anuncia um único prefixo 185.156.72[.]0/24, enquanto o AS210950 anuncia dois prefixos: 45.143.201[.]0/24 e 185.193.89[.]0/24.
Esses dois sistemas autônomos foram alocados em maio e agosto de 2021, respectivamente.
Uma parte significativa de seus prefixos está anunciada pelo AS210848, outro sistema alocado em agosto de 2021.
“Essa rede compartilha todos os seus acordos de peering com a IP Volume Inc.
– AS202425, uma empresa sediada nas Seychelles e criada pelos proprietários da Ecatel, infame por operar um serviço bulletproof hosting amplamente abusivo na Holanda desde 2005”, destacou a Intrinsec.
Todos os prefixos que foram movidos do AS61432 e AS210950 agora são anunciados por redes bulletproof e abusivas, administradas por empresas de fachada como Global Internet Solutions LLC (gir.network), Global Connectivity Solutions LLP, Verasel, IP Volume Inc.e Telkom Internet LTD.
As descobertas reforçam reportagens anteriores sobre como múltiplas redes alocadas em agosto de 2021 e baseadas na Ucrânia e nas Seychelles – AS61432, AS210848 e AS210950 – foram usadas para distribuição de spam, ataques em redes e hospedagem de command-and-control de malwares.
Em junho de 2025, alguns dos prefixos IPv4 anunciados por essas redes foram transferidos para o FDN3, criado em agosto de 2021.
E não para por aí.
Três dos prefixos anunciados pelo AS210848, e um pelo AS61432, já foram anteriormente anunciados por outra rede russa, a SibirInvest OOO (AS44446).
Entre os quatro prefixos IPv4 anunciados pelo FDN3, um deles (88.210.63[.]0/24) provavelmente já foi anunciado por uma solução bulletproof hosting dos EUA chamada Virtualine (AS214940 e AS214943).
Esse intervalo de prefixos IPv4 é atribuído às tentativas em larga escala de brute-force e password spraying, com as atividades atingindo um pico recorde entre 6 e 8 de julho de 2025.
Os ataques de brute-force e password spraying contra ativos SSL VPN e RDP podem durar até três dias, segundo a Intrinsec.
É importante destacar que essas técnicas vêm sendo adotadas por diversos grupos de ransomware-as-a-service (RaaS), como Black Basta, GLOBAL GROUP e RansomHub, como vetores de acesso inicial para invasão de redes corporativas.
Os outros dois prefixos anunciados pelo FDN3 em junho, 92.63.197[.]0/24 e 185.156.73[.]0/24, já haviam sido anunciados pelo AS210848, indicando forte sobreposição operacional.
O prefixo 92.63.197[.]0/24, por sua vez, tem vínculos com redes de spam búlgaras como ROZA-AS (AS212283).
“Todas essas fortes semelhanças, incluindo sua configuração, o conteúdo hospedado e a data de criação, nos levam a avaliar com alto nível de confiança que os sistemas autônomos mencionados anteriormente são operados por um mesmo administrador de bulletproof hosting”, explicou a Intrinsec.
Análises adicionais do FDN3 revelaram ligações com uma empresa russa chamada Alex Host LLC, que anteriormente foi associada a provedores de bulletproof hosting como TNSECURITY, usados para hospedar infraestrutura do tipo Doppelganger.
“Essa investigação mais uma vez evidencia um fenômeno comum: ISPs offshore como a IP Volume Inc.viabilizando redes bulletproof menores por meio de acordos de peering e hospedagem de prefixos de forma geral”, declarou a empresa.
Graças à sua localização offshore, como nas Seychelles, que oferece anonimato aos proprietários dessas companhias, as atividades maliciosas perpetradas por meio dessas redes não podem ser diretamente atribuídas a eles.
Esse desenvolvimento acontece no momento em que a Censys descobriu um sistema de gerenciamento connect-back proxy associado ao botnet PolarEdge, que atualmente opera em mais de 2.400 hosts.
O sistema é um servidor RPX que funciona como um gateway de proxy reverse-connect, capaz de gerenciar nós proxy e expor serviços proxy.
“Esse sistema parece ser um servidor bem projetado que pode ser uma das várias ferramentas usadas para gerenciamento do botnet PolarEdge”, afirmou o pesquisador sênior de segurança Mark Ellzey.
Também é possível que esse serviço específico seja completamente independente do PolarEdge e, em vez disso, seja um sistema utilizado pelo botnet para transitar entre diferentes relays.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...