Selon Disclosing Observer, une fuite (28 mars 2025) des bases internes de l’hébergeur « bulletproof » Media Land — plus tard sanctionné par le Royaume-Uni, les États‑Unis et l’Australie (19 nov. 2025) — a permis de reconstruire, de façon data‑driven, le fonctionnement de sa plateforme (comptes, abonnements, VM, allocation d’IP) et d’illustrer comment ces données internes peuvent éclairer la chaîne d’approvisionnement du ransomware.

📊 L’étude reconstitue le schéma des tables couvrant trois couches : clients/facturation, compute/services et réseau. Les identifiants stables (user_id, clés SSH, paiements) permettent de pivoter de l’identité client aux abonnements, des abonnements aux VM, puis aux historiques d’assignation IP. L’infrastructure s’appuie sur des composants modernes (VXLAN, KVM, Ceph, IPMI) avec une orchestration automatisée centrée sur les événements de cycle de vie des VM et une traçabilité fine des mouvements d’adresses.

🗺️ Côté réseau, Media Land a alloué des adresses issues d’un ensemble restreint de préfixes IPv4/IPv6, annoncés via AS206728 (et AS215376), avec un pool partagé entre de multiples clients. Certaines plages ont des particularités (ex. 91.240.242.0/24 ensuite réallouée à sevencloud.ru ; 77.221.134.0/24 notée « NL Subnet », rattachée à ML Cloud Ltd). L’analyse comportementale distingue des profils d’« allocateurs », d’utilisateurs intensifs de pool partagé et de clients typiques.

🧩 Les profils consolidés (emails, hachages de mots de passe, clés SSH, paiements BTC, historique IP) révèlent des indices de revente et d’automatisation : réutilisation de clés SSH (344 clés uniques, 4 clés regroupant plusieurs comptes), recours massif aux emails jetables, un cas de réutilisation de mot de passe, un compte aux allures de « Mister Reseller » et des paiements en BTC (ex. ~34,08 BTC sur 12 transactions en 2022 pour un cluster de comptes), ainsi qu’une rotation élevée de VM/IP (ex. un cluster totalisant 8 661 attributions IP sur deux ans).

🕵️ Recoupée avec les indicateurs publics liés à Black Basta (période sept. 2023 – sept. 2024, source VirusTotal), l’historique interne d’assignation IP fait ressortir 74 comptes Media Land ayant géré, à un moment donné, des IPs mentionnées dans la fuite Black Basta (sans chevauchements d’assignation simultanée dans les données). Un compte à la posture de revendeur se démarque nettement en volume. L’auteur souligne que ces recoupements n’attribuent pas d’individus mais dévoilent une couche “supply chain” derrière les opérations de ransomware.

IOCs mentionnés:

  • Préfixes IPv4: 45.141.84.0/24, 45.141.85.0/24, 45.141.86.0/24, 45.141.87.0/24, 91.220.163.0/24, 91.240.242.0/24 (réallouée à sevencloud.ru), 194.26.29.0/24, 194.26.69.0/24, 77.221.134.0/24 (NL Subnet/ML Cloud Ltd)
  • Préfixes IPv6: 2a0b:7ec0:1320::/48, 2a0b:7ec0:533::/48
  • ASNs: AS206728, AS215376

TTPs observés:

  • Usage d’hébergement bulletproof pour des VM dédiées avec IPs routées et rotation fréquente de ressources
  • Revente/courtage d’accès via des comptes multi‑abonnements et patterns de paiement cryptomonnaie (adresses BTC différentes à chaque règlement)
  • Réutilisation de clés SSH et d’emails jetables; indices d’automatisation et de panel reselling
  • Corrélation comptes ↔ abonnements ↔ VM ↔ IP exploitée pour la pivotisation TI (threat intel)

Conclusion: publication de recherche visant à reconstruire l’architecture et les flux opérationnels d’un hébergeur « bulletproof », et à montrer comment des données internes croisées avec des IOCs publics peuvent révéler la couche d’intermédiation des opérations de ransomware.

🧠 TTPs et IOCs détectés

TTP

[‘Usage d’hébergement bulletproof pour des VM dédiées avec IPs routées et rotation fréquente de ressources’, ‘Revente/courtage d’accès via des comptes multi-abonnements et patterns de paiement cryptomonnaie’, ‘Réutilisation de clés SSH et d’emails jetables’, ‘Indices d’automatisation et de panel reselling’, ‘Corrélation comptes ↔ abonnements ↔ VM ↔ IP exploitée pour la pivotisation TI’]

IOC

{‘ipv4_prefixes’: [‘45.141.84.0/24’, ‘45.141.85.0/24’, ‘45.141.86.0/24’, ‘45.141.87.0/24’, ‘91.220.163.0/24’, ‘91.240.242.0/24’, ‘194.26.29.0/24’, ‘194.26.69.0/24’, ‘77.221.134.0/24’], ‘ipv6_prefixes’: [‘2a0b:7ec0:1320::/48’, ‘2a0b:7ec0:533::/48’], ‘asns’: [‘AS206728’, ‘AS215376’]}

🔗 Source originale : https://disclosing.observer/2025/11/24/bulletproof-hoster-anatomy-data-driven-reconstruction.html