Siber güvenlik araştırmacıları, Haziran ve Temmuz 2025 yılları arasında SSL VPN ve RDP cihazlarını hedefleyen büyük kaba kuvvet ve şifre püskürtme kampanyaları yapmak için bir Ukrayna IP ağını işaretlediler.
Etkinlik, Fransız siber güvenlik şirketi Intrinsec’e göre Ukrayna merkezli bir otonom sistemden (AS211736) ortaya çıktı.
“FDN3’ün diğer iki Ukrayna ağından oluşan daha geniş bir küfürlü altyapının bir parçası olduğuna inanıyoruz, Vaiz-as (AS61432) ve AS210950 ve AS210848 (AS210848) adlı bir Aycheles tabanlı özerk sistem,”
Diyerek şöyle devam etti: “Bunların hepsi Ağustos 2021’de tahsis edildi ve genellikle blok listesinden kaçınmak ve küfürlü faaliyetlere ev sahipliği yapmaya devam etmek için IPv4 öneklerini değiştirdi.”
AS61432 şu anda tek bir önek 185.156.72[.]0/24, AS210950 iki önek duyurdu 45.143.201[.]0/24 ve
185.193.89[.]0/24. İki özerk sistem sırasıyla Mayıs ve Ağustos 2021’de tahsis edildi. Ön eklerinin büyük bir kısmı, Ağustos 2021’de de tahsis edilen başka bir özerk sistem olan AS210848’de açıklandı.
IntrinSec, “Bu ağ, Seychelles merkezli ve Ecatel’in sahipleri tarafından oluşturulan ve 2005 yılından bu yana Hollanda’da kapsamlı bir küfürlü kurşun geçirmez barındırma hizmeti yürütmekle meşhur olan IP Volume Inc. – AS202425 ile paylaşıyor.”
AS61432 ve AS210950’den taşınan ön eklerin tamamı şimdi Global Internet Solutions LLC (GIR.Network), Global Connectivity Solutions LLP, Verasel, IP Volume Inc. ve Telkom Internet Ltd gibi kabuk şirketleri tarafından ön plana çıkarılan kurşun geçirmez ve küfürlü ağlarla ilan edildi.
Bulgular, Ağustos 2021’de ve Ukrayna ve Seyşeller-AS61432, AS210848 ve AS210950-merkezli birden fazla ağın spam dağılımı, ağ saldırıları ve kötü amaçlı yazılım komut ve kontrol barındırma için nasıl tahsis edildiğine dair önceki açıklamalar üzerine inşa edilmiştir. Haziran 2025’te, bu ağlar tarafından açıklanan bazı IPv4 önekleri, Ağustos 2021’de oluşturulan FDN3’e taşındı.
Hepsi bu değil. AS210848 ve biri AS61432 tarafından ilan edilen öneklerin üçü daha önce başka bir Rus ağı SibirInvest OOO (AS44446) tarafından ilan edildi. FDN3 tarafından ilan edilen dört IPv4 önekinden biri (88.210.63[.]0/24), daha önce Virtualine (AS214940 ve AS214943) adlı ABD tabanlı bir kurşun geçirmez barındırma çözümü tarafından duyurulduğu değerlendirilmiştir.
Büyük ölçekli kaba kuvvet ve şifre püskürtme girişimlerine atfedilen bu IPv4 öneki aralığıdır, etkinlik 6-8 Temmuz 2025 arasında yüksek bir rekor seviyeye yükselir.
SSL VPN ve RDP varlıklarına yönelik kaba kuvvet ve şifre püskürtme çabaları, intrinsec başına üç güne kadar sürebilir. Bu tekniklerin, Black Basta, Global Group ve RansomHub gibi çeşitli fidye yazılımı (RAAS) grupları tarafından kurumsal ağları ihlal etmek için başlangıç erişim vektörü olarak benimsendiğini belirtmek gerekir.
FDN3’ün Haziran 92.63.197’de duyurduğu diğer iki önek[.]0/24 ve 185.156.73[.]0/24, daha önce AS210848 tarafından açıklanmış ve yüksek derecede operasyonel örtüşme göstermiştir. 92.63.197[.]0/24, kendi adına, Roza-AS (AS212283) gibi Bulgar spam ağlarıyla bağları vardır.
Intrins, “Yapılandırmaları, ev sahipliği yaptıkları içerik ve oluşturma tarihleri de dahil olmak üzere tüm bu güçlü benzerlikler, daha önce bahsedilen özerk sistemlerin ortak bir kurşun geçirmez barındırma yöneticisi tarafından işletilecek yüksek düzeyde güvenle değerlendirilmesine yol açtı.”
FDN3’ün daha fazla analizi, Alex Host LLC adlı bir Rus şirketiyle, geçmişte Doppelganger altyapısını barındırmak için kullanılan TNSecurity gibi kurşun geçirmez barındırma sağlayıcılarıyla bağlantılı olan bağları ortaya çıkarmıştır.
Şirket, “Bu soruşturma, IP Volume Inc. gibi açık deniz ISS’lerinin ortak bir olgusunu vurgulamaktadır. Diyerek şöyle devam etti: “Bu şirketlerin sahiplerine anonimlik sağlayan Seychelles gibi açık deniz konumu sayesinde, bu ağlar aracılığıyla yürütülen kötü niyetli faaliyetler doğrudan onlara uygulanamaz.”
Geliştirme, Censys’in şu anda 2.400’den fazla ev sahibi üzerinde çalışan Polaredge BotNet ile ilişkili bir geri dönüş proxy yönetim sistemini ortaya çıkarmasıyla geliyor. Sistem, proxy düğümlerini yönetebilen ve proxy hizmetlerini ortaya çıkarabilen ters bağlantı proxy ağ geçidi olarak çalışan bir RPX sunucusudur.
Üst düzey güvenlik araştırmacısı Mark Ellzey, “Bu sistem, Polaredge Botnet’i yönetmek için kullanılan birçok araçtan biri olabilecek iyi tasarlanmış bir sunucu gibi görünüyor.” Dedi. Diyerek şöyle devam etti: “Bu özel hizmetin Polaredge ile tamamen ilgisiz olması ve bunun yerine Botnet’in farklı röleler arasına atlamak için kullandığı bir hizmet olması da mümkündür.”