🌐 Contexte

Source : ellio.tech, publiée le 27 mai 2026. L’article présente une analyse technique d’un réseau d’hébergement bulletproof d’origine russe qui a maintenu ses activités malgré des sanctions et des saisies, en ciblant l’Union Européenne.

🏗️ Infrastructure identifiée

L’analyse documente quatre ASN distincts constituant ce réseau :

ASN Organisation Rôle
AS44477 Pq Hosting Plus S.r.l. Réseau Stark originel, rebaptisé PQ après sanctions
AS209847 WorkTitans B.V. THE.Hosting — infrastructure principale post-sanctions
AS213999 WorkTitans B.V. THE.Hosting — infrastructure secondaire
AS33993 UFO Hosting LLC (Moscou) Canal latéral stable, 100 % basé en Russie

📅 Chronologie d’activité

  • AS44477 (Stark / PQ) : actif avant janvier 2025, dernière activité en octobre 2025, inactif sur les 90 derniers jours
  • AS209847 (THE.Hosting) : apparu le 5 août 2025, actif jusqu’au 26 mai 2026, avec environ 107 IPs distinctes sur les 90 derniers jours
  • AS213999 (THE.Hosting) : apparu le 29 mars 2026, dernière activité le 25 avril 2026, dormant
  • AS33993 (UFO, Moscou) : apparu le 16 avril 2025, dernière activité le 24 mai 2026, activité faible

🔍 Observations clés

  • Le réseau a survécu aux sanctions en se relabellisant (Stark → PQ Hosting) et en migrant vers de nouvelles entités juridiques (WorkTitans B.V.)
  • AS209847 constitue l’infrastructure principale active avec une présence soutenue (~107 IPs distinctes récentes)
  • AS33993 (UFO Hosting, Moscou) représente un canal secondaire entièrement basé en Russie, maintenu en parallèle
  • La structure multi-ASN sous différentes entités légales illustre une stratégie de résilience face aux mesures de démantèlement

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par Ellio Tech, visant à documenter la persistance et l’évolution d’une infrastructure d’hébergement bulletproof russe ciblant l’UE, à des fins de threat intelligence et de suivi d’infrastructure malveillante.

🧠 TTPs et IOCs détectés

TTP

  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)

🔴 Indice de vérification factuelle : 28/100 (basse)

  • ⬜ ellio.tech — source non référencée (0pts)
  • ✅ 1271 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 1 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://ellio.tech/en/blog/sanctioned-seized-still-scanning-inside-a-russian-bulletproof-hosting-network-targeting-the-eu/