كشف باحثون في مجال الأمن السيبراني عن نشاط خبيث واسع النطاق تقوده شبكة أوكرانية تحمل اسم FDN3 (AS211736)، حيث شنت بين يونيو ويوليو 2025 هجمات مكثفة بأسلوب brute-force ورش كلمات المرور (password spraying) استهدفت أجهزة SSL VPN وRDP.
ووفقاً لشركة الأمن الفرنسية Intrinsec، فإن هذه الشبكة جزء من بنية تحتية خبيثة أكبر تضم شبكات أوكرانية أخرى هي VAIZ-AS (AS61432) وERISHENNYA-ASN (AS210950)، إضافة إلى شبكة مستقلة مقرها سيشيل تعرف باسم TK-NET (AS210848).
علاقات مع استضافة محمية “Bulletproof Hosting”
تشير التحقيقات إلى أن هذه الشبكات، التي خصصت في أغسطس 2021، تتبادل عناوين IPv4 فيما بينها للتهرب من القوائم السوداء ومواصلة أنشطتها الخبيثة. وقد تبيّن أن معظم هذه العناوين تُعلن الآن عبر مزوّدين يُعرفون بتقديم خدمات الاستضافة المحمية (Bulletproof Hosting)، مثل شركات Global Internet Solutions وIP Volume Inc. وTelkom Internet LTD، وهي كيانات غالباً ما تُدار عبر شركات واجهة (shell companies) لتوفير غطاء قانوني وإخفاء هويات القائمين عليها.
Intrinsec أوضحت أن IP Volume Inc.، ومقرها سيشيل، مرتبطة بمالكي شركة Ecatel الهولندية سيئة السمعة، التي اشتهرت منذ 2005 بتقديم استضافة محمية لمجرمي الإنترنت.
هجمات لكسر كلمات المرور وارتباط برانسوموير
من بين العناوين التي استخدمتها شبكة FDN3، برز عنوان 88.210.63[.]0/24 الذي سبق أن ارتبط بخدمة استضافة محمية أمريكية تُعرف باسم Virtualine. وقد نُسبت إلى هذا النطاق محاولات مكثفة لكسر كلمات المرور بين 6 و8 يوليو 2025، وبلغت ذروتها خلال ثلاثة أيام متواصلة.
هذه الأساليب (brute-force وpassword spraying) تُستخدم عادة من قبل مجموعات برمجيات الفدية كخدمة (RaaS) مثل Black Basta وRansomHub وGLOBAL GROUP كنقطة دخول أولية لاختراق الشبكات المؤسسية قبل نشر البرمجيات الخبيثة.
صلات بروسيا وشبكات إجرامية أوسع
التحقيقات أظهرت أيضاً أن بعض العناوين المعلنة من FDN3 كانت في السابق مرتبطة بشبكات روسية مثل SibirInvest OOO (AS44446)، وأخرى ببلوغاريا مثل ROZA-AS. كما كُشفت روابط مع شركة روسية تُدعى Alex Host LLC، التي ارتبطت سابقاً بمزودين خبيثين مثل TNSECURITY المستخدمين لاستضافة بنية تحتية لعمليات تضليل رقمية مثل Doppelganger.
Intrinsec خلصت إلى أن هذا النمط يعكس ظاهرة متكررة، حيث تستغل مزودات الإنترنت الخارجية في أماكن مثل سيشيل لتوفير غطاء قانوني يُتيح لهذه الشبكات الخبيثة الاستمرار دون ملاحقة مباشرة.
ارتباط مع شبكة بوت نت PolarEdge
بالتوازي، كشفت شركة Censys عن نظام لإدارة الوكلاء العكسيين (connect-back proxy) يُعتقد أنه مرتبط بشبكة PolarEdge botnet، ويعمل حالياً على أكثر من 2,400 جهاز. هذا النظام، المعروف باسم RPX server، يُستخدم كبوابة لإدارة العقد الوكيلة (proxy nodes) وتقديم خدمات الوكيل، ما يعزز قدرات البوت نت على التوسع والاختفاء داخل البنية التحتية العالمية.
