Selon Recorded Future (Insikt Group), ce rapport de cybermenace analyse le rôle du fournisseur allemand aurologic GmbH (AS30823) comme nexus d’infrastructures malveillantes au sein de l’écosystème d’hébergement mondial. L’étude détaille des liens d’upstream récurrents entre aurologic et des « threat activity enablers » (TAE) notables, dont Aeza Group, Railnet LLC, Global-Data System IT Corporation (SWISSNETWORK02) et Femo IT Solutions, mettant en lumière une gestion réactive des abus et une priorité donnée à la conformité légale, perçues par les acteurs à risque comme une garantie de stabilité.

  • Aurologic, né de la transition de Combahton/fastpipe[.]io, opère depuis le Tornado Datacenter (Langen, Allemagne) et offre transit IP, hébergement et protection DDoS. Insikt Group souligne un schéma où la neutralité affichée et la faible perception de risque d’application en Europe attirent des réseaux à fortes concentrations d’activité malveillante. Le fournisseur apparaît comme upstream commun à de multiples AS répétés dans la télémétrie Recorded Future.

  • Cas Aeza Group: environ 50% des préfixes d’Aeza International Ltd (AS210644) sont routés via aurologic. Malgré l’arrestation des cofondateurs en Russie (avril 2025) et les sanctions OFAC/NCA (juillet 2025, puis Royaume‑Uni en septembre 2025), Aeza a restructuré rapidement ses ressources (ex. Smart Digital Ideas DOO en Serbie, Hypercore Ltd au Royaume‑Uni) pour préserver la continuité. L’infrastructure Aeza a soutenu des familles telles que BianLian, Lumma, Meduza, RedLine et des C2 pour DDoSia (7,5% des C2 de niveau 1 sur la période observée). D’autres AS en downstream d’aurologic ajoutent encore ~6% des C2 observés, et ~13,5% des IP C2 DDoSia étaient annoncées soit par aurologic, soit par ses downstreams.

  • Autres TAEs clés:

    • Femo IT Solutions (AS214351), exclusivement via aurologic, héberge de nombreux C2 (Cobalt Strike, DcRat, Rhadamanthys, etc.) et présente des liens opérationnels avec le bulletproof host Defhost. Une partie de son adressage provient d’allocations IROST (Iran) et Farahoosh Dena PLC.
    • Global-Data System IT Corporation / SWISSNETWORK02 (AS42624), issu d’un transfert depuis Simple Carrier, montre une densité élevée d’activité malveillante (Cobalt Strike, Sliver, QuasarRAT, Remcos, Latrodectus, stealer…) et serait lié à PrivateAlps; tous ses préfixes actifs sont routés uniquement via aurologic.
    • Metaspinner net GmbH (AS209800), annoncé via aurologic, affiche un large spectre malveillant et des sub‑allocations via MGN Teknoloji (TR), avec indices d’usurpation/repurposing et de connexions à Virtualine Technologies. En octobre 2025, ses 12 préfixes IPv4 passent à Lanedo Datacenter (lanedo[.]net), tandis que des domaines connexes (proxio[.]net, antired[.]net, lanedo[.]net) partagent de l’infrastructure liée à Virtualine. Un cas annexe d’usurpation d’AS via VSVK Onderhoud B.V. (AS213511) est également signalé.
    • Railnet LLC (AS214943) dépend majoritairement d’aurologic et sous‑tend plusieurs bulletproof hosters (Virtualine, DripHosting/DiorHost, RetryHost), avec >30 familles de malware observées. Railnet sert de colonne dorsale à des opérations anonymisées via préfixes loués et LIRs multiples; l’arrivée des préfixes ex‑Metaspinner chez Lanedo/Railnet a coïncidé avec >80 C2 validés.

  • Neutralité vs négligence: le rapport souligne la posture publique d’aurologic (déclarations de son CEO, Joseph Hofmann) invoquant la neutralité et une réponse conditionnée par la loi et les notifications valides d’abus (cadre DSA/DDG). Des échanges publics (Spamhaus, Correctiv, forums) illustrent une gestion surtout réactive (ex. null‑routing au cas par cas), alors que l’upstream à Aeza International Ltd persiste malgré sanctions et volumétrie malveillante.

  • Perspective et mitigations: Insikt Group estime qu’aurologic restera probablement un hub pour des TAEs, tant que les lacunes d’application et de responsabilité persisteront. Le rapport fournit des mesures de mitigation (activation des listes de risque Recorded Future, blocage ciblé par ASNs). L’article est une analyse de menace qui cartographie méthodiquement les dépendances d’upstream, les réallocations de ressources et les schémas d’opérations « bulletproof ».

IoCs (extraits) 🔎

  • AS/Organisations:
    • AS210644 — Aeza International Ltd (UK)
    • AS214943 — Railnet LLC (US)
    • AS42624 — Global-Data System IT Corporation / SWISSNETWORK02 (CH)
    • AS214351 — Femo IT Solutions Limited (UK)
    • AS209800 — metaspinner net GmbH (DE)
    • AS213511 — VSVK Onderhoud B.V. (NL, usurpation, historique)
    • AS215829 — Smart Digital Ideas DOO (RS)
    • MGN Teknoloji Anonim Sirketi (TR, LIR de référence)
  • Domaines / marques:
    • metaspinner[.]net, preispiraten[.]de, pricepirates[.]com
    • virtualine[.]net, virtualine[.]org, vonie[.]net
    • proxio[.]net, proxio[.]cc (Proxio), antired[.]net / antired[.]host (Anti‑Red Hosting)
    • lanedo[.]net, lanedo[.]com; driphost[.]net, dior[.]host
    • Defhost, PrivateAlps, DripHosting/DiorHost, RetryHost, Hypercore Ltd, Smart Digital Ideas DOO
    • IROST (Iran), Farahoosh Dena PLC, New Way LLC

TTPs (observées) 🧩

  • Bulletproof hosting, dépendance d’upstream pour la résilience, et ré‑allocation rapide de ressources post‑sanctions
  • Impersonation/repurposing d’AS, re‑branding, usage de LIRs tiers et préfixes loués pour évasion/rotation
  • No‑KYC, DMCA‑ignored et infrastructures Tor‑friendly (politique d’hébergement permissive)
  • Hébergement de C2 et d’outils post‑exploitation (Cobalt Strike, Sliver) et d’un large éventail de stealers/RATs
  • Gestion réactive des abus alignée sur DSA/DDG, avec neutralité revendiquée et actions limitées après notification

Malwares/outils mentionnés 🚨

  • Ransomware/stealers/RATs/chargers: BianLian, Lumma, Meduza, RedLine, Rhadamanthys, Amadey, Stealc, SystemBC, SvcStealer, AsyncRAT, njRAT, QuasarRAT, REMCOS, Dark Crystal RAT, Moobot, TinyLoader, SmokeLoader, DcRat, Latrodectus, CastleLoader/CastleRAT
  • Post‑exploitation/C2: Cobalt Strike, Sliver, DDoSia (C2 Tier 1), Socks5Systemz

Type d’article: Analyse de menace centrée sur l’infrastructure et les relations d’upstream dans l’écosystème d’hébergement.

🧠 TTPs et IOCs détectés

TTP

Bulletproof hosting, dépendance d’upstream pour la résilience, ré‑allocation rapide de ressources post‑sanctions, Impersonation/repurposing d’AS, re‑branding, usage de LIRs tiers et préfixes loués pour évasion/rotation, No‑KYC, DMCA‑ignored et infrastructures Tor‑friendly, Hébergement de C2 et d’outils post‑exploitation (Cobalt Strike, Sliver) et d’un large éventail de stealers/RATs, Gestion réactive des abus alignée sur DSA/DDG, avec neutralité revendiquée et actions limitées après notification

IOC

AS210644, AS214943, AS42624, AS214351, AS209800, AS213511, AS215829, metaspinner[.]net, preispiraten[.]de, pricepirates[.]com, virtualine[.]net, virtualine[.]org, vonie[.]net, proxio[.]net, proxio[.]cc, antired[.]net, antired[.]host, lanedo[.]net, lanedo[.]com, driphost[.]net, dior[.]host, Defhost, PrivateAlps, DripHosting/DiorHost, RetryHost, Hypercore Ltd, Smart Digital Ideas DOO, IROST, Farahoosh Dena PLC, New Way LLC

🔗 Source originale : https://www.recordedfuture.com/research/malicious-infrastructure-finds-stability-with-aurologic-gmbh