L’enquête détaille comment ALVIVA HOLDING, un fournisseur d’hébergement réputé auprès des cybercriminels, est lié à une société-écran basée aux Seychelles et associée à des activités criminelles mondiales telles que la cybercriminalité, le blanchiment d’argent et le trafic de stupéfiants. Les infrastructures d’ALVIVA sont connues pour servir au ransomware, DDoS, infostealer et principalement au « bulletproof hosting », soit l’hébergement conçu pour échapper aux autorités.
Le rapport s’appuie sur une analyse technique des nouveaux domaines Email utilisés par le groupe Clop ransomware (ex. support@pubstorm.com et pubstorm.net), dont les IPs (185.55.242.97 en Allemagne et 147.45.112.231 au Vanuatu) sont toutes rattachées à ALVIVA HOLDING. La société fournit aussi l’infrastructure pour les échanges P2P et torrents utilisée par Clop, soulignant une dépendance stratégique aux services d’ALVIVA.
Les ASNs d’ALVIVA ont d’ailleurs servi largement à des fins malveillantes depuis des années, incluant Cobalt Strike (outil de Red Team), hameçonnages (Storm-1575), hébergement d’attaques de malware (Magecart, BianLian), et services DDoS de Verdina Ltd (Belize)[attached_file:2]. Des liens directs existent entre ALVIVA et d’autres entités suspectes via des peers en Ukraine et Belize, documentant la nature collaborative du crime organisé en ligne.
Le schéma est renforcé par la découverte, via les Pandora Papers, que de multiples shell companies (Adresse : Sound & Vision House, Victoria, Mahé, Seychelles) sont utilisées pour masquer la propriété réelle, connectée au russe Denis Nachaev — lui-même impliqué dans Alpha Consulting, une société consultante blacklistée ayant perdu sa licence en mars 2025[attached_file:2]. L’exploitation de failles dans la régulation britannique permet en outre d’assurer l’anonymat des bénéficiaires, notamment pour des sociétés offshore non soumises à la déclaration de contrôle effectif.
Les Indicateurs de Compromission (IOCs) techniques à surveiller incluent les IP 147.45.112.231 et 185.55.242.97, ainsi que les domaines pubstorm.net et pubstorm.com — tous liés à infrastructure malveillante de Clop. Pour les défenseurs, le rapport recommande de placer ces réseaux sur une « grey list » SIEM, d’investiguer toute trace sur ces ASNs et de ne pas se limiter au blocage d’IP mais à une évaluation continue et multicanale du risque d’infection et des mouvements de l’infrastructure criminelle.
Conclusion: il s’agit d’un article d’enquête visant à documenter et exposer des liens entre infrastructure d’hébergement malveillante et entités offshore.
🔗 Source originale : https://theravenfile.com/2025/09/08/uncovering-alviva-holding-links-to-russian-shell-companies-and-cybercrime/