Bulletproof Hosting

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”. Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation. ...

Selon une annonce conjointe de l’OFAC (U.S. Department of the Treasury), du DFAT australien et du FCDO britannique, des sanctions coordonnées visent l’écosystème d’hébergement bulletproof (BPH) facilitant des opérations de ransomware et autres cybercrimes. 🚫💻 Les autorités sanctionnent Media Land, un prestataire BPH basé en Russie, pour son rôle dans le soutien à des opérations de ransomware et à d’autres formes de cybercriminalité. L’OFAC désigne également trois membres de la direction de Media Land et trois sociétés sœurs, en coordination avec le FBI. ...

Selon Recorded Future (Insikt Group), ce rapport de cybermenace analyse le rôle du fournisseur allemand aurologic GmbH (AS30823) comme nexus d’infrastructures malveillantes au sein de l’écosystème d’hébergement mondial. L’étude détaille des liens d’upstream récurrents entre aurologic et des « threat activity enablers » (TAE) notables, dont Aeza Group, Railnet LLC, Global-Data System IT Corporation (SWISSNETWORK02) et Femo IT Solutions, mettant en lumière une gestion réactive des abus et une priorité donnée à la conformité légale, perçues par les acteurs à risque comme une garantie de stabilité. ...

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances. • Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données. ...

Selon Krebs on Security, l’UE a sanctionné en mai 2025 des acteurs liés à Stark Industries, un « bulletproof » hébergeur apparu juste avant l’invasion de l’Ukraine et impliqué dans des DDoS massifs, des services proxy/VPN russophones, de la malware et de la désinformation. Les propriétaires moldaves de PQ Hosting, Yuri et Ivan Neculiti, ont été visés pour leur lien avec la guerre hybride de la Russie. Un rapport de Recorded Future indique que, peu avant l’annonce des sanctions, Stark s’est rebrandé en the[.]hosting, sous contrôle de WorkTitans BV (AS209847), le 24 juin 2025. Ayant été avertis par des fuites médiatiques environ 12 jours avant les sanctions, les frères Neculiti ont transféré une partie substantielle de l’espace d’adressage et des ressources vers PQ Hosting Plus S.R.L. en Moldavie, pour obfusquer la propriété et maintenir les services sous de nouvelles entités. ...

L’article de WIRED met en lumière une tendance croissante parmi les cybercriminels qui utilisent des services de proxy résidentiels pour masquer leur activité en ligne. Historiquement, les cybercriminels ont utilisé des services d’hébergement dits “bulletproof” pour maintenir leur infrastructure web de manière anonyme. Cependant, avec l’intensification des efforts des forces de l’ordre pour obtenir des informations sur les clients de ces services, une nouvelle approche a émergé. Aujourd’hui, certains fournisseurs de services proposent des VPN spécialement conçus et d’autres services de proxy pour faire tourner et masquer les adresses IP des clients. Ces infrastructures sont souvent configurées pour ne pas enregistrer le trafic ou pour mélanger le trafic de plusieurs sources, rendant la détection plus difficile. ...