Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”.
Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation.
🧩 D’un point de vue technique, CTU montre que ces hostnames proviennent d’images Windows Server largement réutilisées, distribuées via ISPsystem VMmanager. Des déploiements contrôlés (ex. chez play2go.cloud et via une installation d’essai VMmanager) ont confirmé que les identifiants système et hostnames statiques sont intégrés dans les templates et ne sont pas randomisés au provisionnement; les sujets de certificats autosignés sont également identiques. Un dépôt public contenant ces images (Windows Server 2012 R2 → 2025, Windows 10/11) a été identifié. Les variantes KMS (ex. WIN-LIVFRVQFMKO, WIN-BS656MOF35Q) dominent, profitant d’une période de grâce de 180 jours sans licence, ce qui explique leur prévalence (>95% des hôtes VMmanager exposés concentrés sur 4 hostnames principaux).
🖥️ Côté écosystème, des annonces sur forums/Telegram relient ces VMs à des offres BPH (bulletproof hosting) opérées par MasterRDP / rdp.monster, qui propose VPS/RDP et serveurs dédiés, avec des tarifs indexés sur la puissance. Les éléments partagés (prix, rack, contrôle de l’infrastructure) indiquent une exploitation directe de l’infrastructure d’hébergement. Il est hautement probable que MasterRDP fasse partie d’un ensemble de BPH louant des VMs ISPsystem hébergées sur des infrastructures tolérantes aux abus pour des usages malveillants (C2, distribution de malwares, phishing, botnets, exfiltration, ransomware).
IOC et TTPs
- IOCs (hostnames VMmanager récurrents)
- WIN-LIVFRVQFMKO (Windows Server 2019 KMS)
- WIN-BS656MOF35Q (Windows Server 2022 KMS)
- WIN-344VU98D3RU (Windows Server 2012 R2)
- WIN-J9D866ESIJ2 (Windows Server 2016)
- Infrastructures/Prestataires cités: Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD, JSC IOT, Global Connectivity Solutions LLP, Kontel LLC, SmartApe OU; marque MasterRDP / rdp.monster; play2go.cloud (test CTU).
- TTPs observés
- Abus d’une plateforme légitime (ISPsystem VMmanager) via templates Windows à hostnames/certificats statiques
- Exposition RDP (TCP 3389) à grande échelle; usage de KMS pour opérer Windows sans licence pendant 180 jours
- BPH pour résilience face aux signalements et actions d’application de la loi; usages: C2, distribution de malwares, phishing, gestion de botnets, staging d’exfiltration
- Outils/campagnes associés (selon observations): LockBit, Conti, Qilin, WantToCry, BlackCat (ALPHV), TrickBot, Ursnif, NetSupport RAT, ClickFix/PureRAT/Lumma, Cerberus Team, RagnarLocker, RedLine, Lampion, et exploitation FortiClient EMS.
Type: analyse de menace visant à documenter l’abus à grande échelle de templates VMmanager par des acteurs malveillants et l’industrialisation de cette infrastructure via des hébergeurs bulletproof.
🧠 TTPs et IOCs détectés
TTP
[‘Abus d’une plateforme légitime (ISPsystem VMmanager) via templates Windows à hostnames/certificats statiques’, ‘Exposition RDP (TCP 3389) à grande échelle’, ‘Usage de KMS pour opérer Windows sans licence pendant 180 jours’, ‘Utilisation de Bulletproof Hosting (BPH) pour résilience face aux signalements et actions d’application de la loi’, ‘C2, distribution de malwares, phishing, gestion de botnets, staging d’exfiltration’]
IOC
[‘WIN-LIVFRVQFMKO’, ‘WIN-BS656MOF35Q’, ‘WIN-344VU98D3RU’, ‘WIN-J9D866ESIJ2’]
🔗 Source originale : https://www.sophos.com/en-gb/blog/malicious-use-of-virtual-machine-infrastructure