🔍 Contexte
Publié le 20 avril 2026 par Netcraft (Harry Freeborough), cet article présente une investigation approfondie sur Fibergrid, un hébergeur bulletproof actif depuis au moins 2018, identifié comme infrastructure centrale d’une criminalité en ligne à grande échelle.
🏗️ Infrastructure et adresses IP volées
Netcraft a identifié 16 700 faux shops actifs hébergés sur l’infrastructure liée à Fibergrid. L’une des caractéristiques distinctives de Fibergrid est la possession de trois plages d’adresses IPv4 issues de l’AFRINIC, représentant 1 million d’adresses IP (valeur estimée : 20 à 25 millions USD), obtenues dans le cadre du scandale dit du « Great African IP Address Heist » (2019) impliquant un ex-dirigeant de l’AFRINIC :
196.196.0.0/14196.56.0.0/14196.240.0.0/13
Bien que Fibergrid se revendique basé aux Seychelles, des tests de multilatération réalisés par Netcraft révèlent que les serveurs sont physiquement localisés en dehors de l’Afrique :
| Pays | Adresses IP identifiées |
|---|---|
| États-Unis | 1 122 |
| Royaume-Uni | 606 |
| Pays-Bas | 544 |
| Canada | 349 |
| Suède | 116 |
| Estonie | 65 |
| Pologne | 7 |
Des infrastructures ont été localisées dans des datacenters Equinix (Toronto TR2, Los Angeles, Atlanta, Londres, Amsterdam, Stockholm, Varsovie).
🕸️ Réseau de sociétés écrans
Fibergrid opère via un réseau complexe d’ASN et de sociétés écrans pour compliquer l’attribution et les tentatives de démantèlement. Les ASN identifiés sont :
- AS37518 – Fiber Grid INC
- AS41564 – Orion Network Limited
- AS46805 – Angelnet Limited
- AS48950 – Global Custom Data Limited
- AS57858 – Angelnet Limited
- AS58065 – Orion Network Limited
- AS60485 – Angelnet Limited
- AS63119 – Angelnet Limited
- AS205056 – DIAHOSTING LIMITED
Les sociétés associées incluent : Inter Connects Inc, Global Colocation Limited, Packet Exchange Limited, Webexxpurts Limited, Vihu Limited, Hostcool Limited, Global Offshore Host Limited, Global IP Exchange Limited, Green Bei Limited. La majorité est enregistrée au Royaume-Uni et en Estonie, juridictions exploitées pour leur faible coût d’incorporation et leur vérification minimale. Une entité américaine, Digitas LLC (Delaware), est également impliquée en tant que directeur corporatif de six sociétés du cluster.
🛒 Activité principale : faux shops
Les faux shops représentent près de 70 % des attaques hébergées sur l’infrastructure Fibergrid disrupted au cours des 12 derniers mois. Ces boutiques imitent des e-commerces légitimes pour voler l’argent ou les données des victimes. Des exemples de domaines enregistrés en moins de 24 heures ciblant des marques connues (Brooks, Timberland, BRATZ, Air Up, Pink Palm Puff, Ultimate Ears) sont documentés.
🎯 Points de pression identifiés
Netcraft identifie quatre vecteurs d’intervention : intervention des fournisseurs transit upstream, action au niveau des RIR (notamment AFRINIC), action au niveau des registraires de domaines, et partage d’IOCs avec navigateurs, opérateurs DNS et antivirus.
📄 Nature de l’article
Il s’agit d’une publication de recherche à visée CTI, produite par Netcraft, dont l’objectif principal est d’exposer publiquement l’infrastructure, les mécanismes d’évasion et les points de vulnérabilité de Fibergrid pour faciliter les actions de démantèlement par les parties prenantes compétentes.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Fibergrid (cybercriminal) —
TTP
- T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1584.004 — Compromise Infrastructure: Server (Resource Development)
- T1608.005 — Stage Capabilities: Link Target (Resource Development)
- T1036 — Masquerading (Defense Evasion)
- T1591 — Gather Victim Org Information (Reconnaissance)
IOC
- Domaines :
zapatilasbrookar.com— VT · URLhaus · ThreatFox - Domaines :
timberlandsromania.cc— VT · URLhaus · ThreatFox - Domaines :
bratziezpuertorico.com— VT · URLhaus · ThreatFox - Domaines :
airupfranceshop.fr— VT · URLhaus · ThreatFox - Domaines :
airuppullosuomi.com— VT · URLhaus · ThreatFox - Domaines :
air-upsuomi.fi— VT · URLhaus · ThreatFox - Domaines :
airupsweden.com— VT · URLhaus · ThreatFox - Domaines :
pinkpalmpuffnetherland.com— VT · URLhaus · ThreatFox - Domaines :
ultimateearsindia.com— VT · URLhaus · ThreatFox
🟢 Indice de vérification factuelle : 70/100 (haute)
- ⬜ netcraft.com — source non référencée (0pts)
- ✅ 15024 chars — texte complet (fulltext extrait) (15pts)
- ✅ 9 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 3/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Fibergrid (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
zapatilasbrookar.com(domain) → VT (17/94 détections)timberlandsromania.cc(domain) → VT (8/94 détections)bratziezpuertorico.com(domain) → VT (9/94 détections)
🔗 Source originale : https://www.netcraft.com/blog/fibergrid-inside-the-bulletproof-host?utm_source=substack&utm_medium=email