Et ukrainsk nettverk kalt FDN3 er koblet til omfattende brute force-angrep og passordforsøk mot VPN- og RDP-enheter i juni og juli 2025.
Ifølge cybersikkerhetsselskapet Intrinsec er dette en del av et større nettverk av såkalte «bulletproof»-leverandører som også har forbindelser til Russland og Seychellene. Det melder The Hacker News den 2. september.
Angrep mot bedriftsnettverk
Det franske cybersikkerhetsselskapet Intrinsec slår fast at nettverket FDN3 (AS211736), basert i Ukraina, er brukt til å gjennomføre massive kampanjer med brute force og «password spraying» – teknikker som prøver ut store mengder passord mot VPN- og RDP-tjenester. Angrepene nådde en topp mellom 6. og 8. juli.
Slike metoder brukes ofte av løsepengevirus-grupper som Black Basta og RansomHub for å skaffe første adgang til bedriftsnettverk. Angrepene kan vare i opptil tre dager, ifølge rapporten.
Nettverk med felles infrastruktur
FDN3 kobles til to andre ukrainske nettverk (VAIZ-AS og ERISHENNYA-ASN) samt et nettverk på Seychellene (TK-NET). Disse ble alle opprettet i 2021 og bytter ofte IP-adresser seg imellom for å omgå blokkering.
Les også: Ukrainsk-belarusisk hackerangrep lammet russisk flyselskap: Tusenvis av passasjerer rammet
Flere av adressene som nå brukes av FDN3 har tidligere vært registrert hos russiske og amerikanske «bulletproof»-leverandører som SibirInvest og Virtualine. Intrinsec mener dette peker på en felles administrator bak flere skallselskaper som driver med misbrukstrafikk, spam og skadevare.
– Alle disse likhetene – fra konfigurasjon til tidspunkt for opprettelse – gir grunnlag for å anta at nettverkene styres av én aktør innen «bulletproof hosting», heter det i rapporten.
Forbindelser til russiske aktører
Analysen avdekket også koblinger til det russiske selskapet Alex Host LLC, tidligere knyttet til infrastruktur brukt av cybergrupper som Doppelganger. Intrinsec peker på hvordan leverandører på Seychellene, som IP Volume Inc., gir skjulested og teknisk støtte til mindre nettverk som FDN3.
Dette gjør det vanskelig å knytte aktivitetene direkte til de reelle eierne, ettersom selskaper i slike offshore-jurisdiksjoner ofte gir anonymitet.
Samtidige funn
Parallelt meldte analyseselskapet Censys at det har avdekket et styringssystem for PolarEdge-botnettet, aktivt på over 2 400 servere. Systemet fungerer som en «reverse proxy»-plattform for å administrere proxy-noder og kan også brukes av andre nettverk for å skjule trafikk.
