(https://i.imgur.com/Tf0tK1i.png)
Los investigadores de ciberseguridad han identificado una red IP con sede en Ucrania como responsable de campañas masivas de fuerza bruta y pulverización de contraseñas contra servicios críticos como SSL VPN y RDP, en un periodo que abarcó entre junio y julio de 2025. La actividad fue rastreada al sistema autónomo FDN3 (AS211736), de acuerdo con un informe publicado por la empresa francesa de ciberseguridad Intrinsec.
Este descubrimiento refuerza las preocupaciones sobre cómo las infraestructuras abusivas y a prueba de balas alimentan las operaciones de grupos de ciberdelincuentes, incluidos ransomware-as-a-service (RaaS), que utilizan estas tácticas como vectores de acceso inicial en ataques dirigidos a redes corporativas.
El papel de FDN3 y sus redes asociadasIntrinsec señaló que el sistema autónomo FDN3 no opera de forma aislada. Según el análisis, forma parte de una infraestructura más amplia que incluye otras dos redes ucranianas, VAIZ-AS (AS61432) y ERISHENNYA-ASN (AS210950), así como un sistema autónomo en Seychelles conocido como TK-NET (AS210848).
Todas estas redes, asignadas en 2021, intercambian frecuentemente prefijos IPv4 entre sí para evadir bloqueos de seguridad y mantener actividades maliciosas en funcionamiento. Esta práctica les permite sortear listas negras y reconfigurar sus operaciones rápidamente cuando alguna de sus direcciones IP es bloqueada por proveedores de seguridad.
Actualmente, AS61432 anuncia el prefijo 185.156.72[.]0/24, mientras que AS210950 gestiona dos prefijos: 45.143.201[.]0/24 y 185.193.89[.]0/24. Una parte de estas direcciones también se anuncia a través de AS210848, reforzando la teoría de un ecosistema interconectado diseñado para actividades abusivas.
Conexiones con alojamientos a prueba de balasEl informe de Intrinsec destaca que estas redes comparten acuerdos de peering con IP Volume Inc. (AS202425), una empresa registrada en Seychelles. IP Volume Inc. fue creada por los propietarios de Ecatel, compañía infame por ofrecer servicios de alojamiento a prueba de balas en Países Bajos desde 2005.
Los prefijos trasladados de AS61432 y AS210950 actualmente son anunciados por redes sospechosas operadas por empresas ficticias como:
- Global Internet Solutions LLC (gir.network)
- Global Connectivity Solutions LLP
- Verasel
- IP Volume Inc.
- Telkom Internet LTD
Este patrón revela un ecosistema de operadores que enmascaran su infraestructura bajo empresas pantalla, lo que dificulta las acciones legales en su contra.
Vínculos internacionales y superposición operativaEl análisis de Intrinsec también encontró que algunos de los prefijos anunciados por estas redes ucranianas y de Seychelles habían sido utilizados previamente por una red rusa, SibirInvest OOO (AS44446), y por un servicio de alojamiento a prueba de balas con sede en EE. UU. llamado Virtualine.
Uno de estos rangos, 88.210.63[.]0/24, está directamente vinculado a los ataques masivos de fuerza bruta y pulverización de contraseñas que alcanzaron su punto máximo entre el 6 y el 8 de julio de 2025.
Los intentos de intrusión identificados se prolongaron hasta tres días, enfocándose principalmente en SSL VPN y RDP, servicios críticos para el acceso remoto a redes corporativas. Estas técnicas son frecuentemente utilizadas por grupos de ransomware como Black Basta, GLOBAL GROUP y RansomHub, que las emplean para obtener acceso inicial antes de desplegar sus cargas maliciosas.
Conexiones con Rusia y BulgariaOtros dos prefijos anunciados por FDN3 en junio de 2025, 92.63.197[.]0/24 y 185.156.73[.]0/24, estaban previamente bajo la gestión de AS210848, lo que confirma un alto grado de superposición operativa.
El prefijo 92.63.197[.]0/24 además muestra vínculos con redes de spam búlgaras como ROZA-AS (AS212283), reforzando la hipótesis de una infraestructura internacional que conecta redes de spam, distribución de malware y ataques de fuerza bruta bajo un mismo paraguas.
Posible operador común detrás de la infraestructuraIntrinsec sostiene que las similitudes entre estas redes —incluyendo su configuración, el contenido alojado y las fechas de creación— apuntan a que están gestionadas por un administrador de alojamiento a prueba de balas común.
Un análisis más detallado incluso descubrió conexiones con la empresa rusa Alex Host LLC, que en el pasado estuvo relacionada con servicios abusivos como TNSECURITY, utilizados para alojar la infraestructura del grupo de amenazas Doppelganger.
El rol de los ISP y el anonimato en el extranjeroEl caso pone en evidencia cómo los proveedores de servicios de Internet (ISP) con sede en países que ofrecen protección de anonimato, como Seychelles, permiten que redes más pequeñas y abusivas prosperen gracias a acuerdos de peering y al alojamiento de prefijos IPv4.
Esto crea un vacío legal que dificulta responsabilizar directamente a los propietarios de dichas infraestructuras, incluso cuando se demuestra su rol en actividades delictivas como el spam, los ataques de red y el alojamiento de malware de comando y control (C2).
PolarEdge: la amenaza en paraleloEl informe de Intrinsec se publicó en paralelo con los hallazgos de Censys, que identificó un sistema de administración de proxies asociado a la botnet PolarEdge, actualmente activo en más de 2.400 hosts.
Este sistema, identificado como un servidor RPX, funciona como una puerta de enlace proxy inversa capaz de administrar nodos proxy y exponer servicios de conexión. Aunque su relación directa con PolarEdge aún no está confirmada, los investigadores advierten que podría tratarse de una infraestructura complementaria para gestionar redes de bots a gran escala.
Una amenaza persistente y en evoluciónLa atribución de los ataques de fuerza bruta y pulverización de contraseñas a redes IP ucranianas y de Seychelles confirma la existencia de un ecosistema internacional de infraestructuras abusivas que alimenta campañas de ransomware, spam y distribución de malware.
El caso FDN3 refleja que la seguridad corporativa ya no depende solo de la protección interna, sino de la capacidad de detectar y bloquear rápidamente tráfico malicioso proveniente de sistemas autónomos conocidos por sus abusos.
El llamado de Intrinsec es claro: las empresas deben reforzar sus defensas en torno a VPN, SSL y RDP, aplicar autenticación multifactor y mantener una vigilancia constante frente a intentos de intrusión que pueden escalar hacia ataques de ransomware devastadores.
Fuente: https://thehackernews.com/