Una red sofisticada de sistemas autónomos con sede en Ucrania se ha convertido en una importante amenaza de ciberseguridad, orquestando ataques a gran escala bruta y ataques a plazo de contraseña contra la infraestructura SSL VPN y RDP.
Entre junio y julio de 2025, estas redes maliciosas lanzaron cientos de miles de ataques coordinados durante períodos que duraron hasta tres días, apuntando a sistemas críticos de acceso remoto empresarial.
La campaña involucra una red compleja de redes interconectadas, centradas principalmente en tres sistemas autónomos ucranianos: FDN3 (AS211736), Vaiz-AS (AS61432) y Erishennya-ASN (AS210950), junto con una red de red basada en Seychelles (AS210848).
Estas redes se asignaron estratégicamente en agosto de 2021 y desde entonces se han dedicado a la manipulación sistemática de infraestructura, intercambiando con frecuencia los prefijos IPv4 para evadir los esfuerzos de bloqueo de bloqueo y mantener la continuidad operativa.
Los investigadores de Intrinsec identificaron esta infraestructura de amenazas a través de un monitoreo extenso de las redes de honeypot, revelando patrones de ataque que alcanzaron su punto máximo en más de 1.3 millones de intentos individuales durante un período de tres días en julio de 2025.
Los atacantes demostraron una coordinación sofisticada, con múltiples direcciones IP que lanzaron simultáneamente patrones de ataque idénticos contra puntos finales VPN expuestos y servicios de protocolo de escritorio remoto.
La infraestructura criminal funciona a través de asociaciones con proveedores de alojamiento a prueba de balas establecidos, especialmente IP Volume Inc. (AS202425), una compañía frontal con sede en Seychelles creada por los operadores de Ecatel.
Este acuerdo proporciona a las redes ucranianas anonimato y resiliencia, lo que les permite mantener las operaciones a pesar de la atención de la policía y los esfuerzos de bloqueo de la industria.
Infraestructura de red y mecánica de ataque
La arquitectura técnica de estos ataques revela una planificación cuidadosa y asignación de recursos. El vector de ataque primario utiliza rangos IP coordinados, con el prefijo 88.210.63.0/24 que sirve como punto focal para las campañas más intensivas.
Diseño resumiendo los enlaces compartidos entre las entidades mencionadas anteriormente (Fuente-Intrinsec)
El análisis de los registros de ataque muestra patrones de activación sincronizados con precisión, con direcciones IP individuales que generan entre 108,000 y 113,000 intentos de ataque cada uno durante las operaciones máximas.
Los atacantes emplean técnicas de pulverización de contraseñas en lugar de métodos tradicionales de fuerza bruta, intentando contraseñas comunes en grandes volúmenes de cuentas para evitar mecanismos de bloqueo de cuentas.
Este enfoque resulta particularmente efectivo contra las organizaciones con políticas de contraseña débiles o una limitación de tasas inadecuadas en los puntos finales de autenticación.
Las campañas se dirigen específicamente a los electrodomésticos Fortinet, Palo Alto y Cisco VPN, con el objetivo de establecer puntos de acceso iniciales de alto privilegio que puedan evitar las soluciones tradicionales de detección y respuesta de punto final.
El análisis de tráfico de red revela que la infraestructura mantiene comunicaciones persistentes de comando y control a través de paneles de malware amadey alojados en los mismos sistemas autónomos.
Varios servidores C2 permanecen activos, incluyendo 185.156.72.96 con 126 conexiones BOT activas y 185.156.72.97 manteniendo 122 puntos finales comprometidos, lo que indica actividades exitosas posteriores a la explotación más allá de los intentos de acceso iniciales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
