SophosLabsが2025年後半に実施したWantToCryのプローブにより、WIN-J9D866ESIJ2やWIN-LIVFRVQFMKOのようなISPsystem由来のホスト名を持つVM上に攻撃者がいることが判明しました。
これらはLockBit、Qilin、BlackCat/ALPHVランサムウェア、NetSupport RAT、Ursnifバンキングトロイの木馬、FortiClient EMSのエクスプロイトにまたがっていました。
特に、WIN-LIVFRVQFMKOは2021年のContiLeaksに関連付けられていました。「Bentley」(Maksim Galochkin、米英の制裁対象)が、GOLD ULRICK(Conti)およびGOLD BLACKBURN(TrickBot)とのJabberチャットでこれを使用していました。
Shodan(2025年12月19日): RDPが公開されたWIN-J9D866ESIJ2が3,645件(大半はロシア)、WIN-LIVFRVQFMKOが7,937件(ロシア/CIS/欧州/米国/イラン)。
play2go.cloudに対するCTUのテストでWIN-J9D866ESIJ2が再現されました。試用版VMmanagerでは、埋め込みテンプレート(Server 2012R2-2025、Win10/11)から静的な名前が生成されました。公開リポジトリによりランダム化がないことが確認され、KMSによる未ライセンスの180日運用を助長していました。
上位4つで、公開されたVMの95%を占め、Sophosのデータではすべて悪性でした(ClickFix/PureRAT/Lumma、Cerberus、RedLine/Lampion、Trickbot/RagnarLocker)。
Stark Industries(ウクライナ侵攻後の国家作戦により2025年5月にEU制裁)、First Server(Doppelgangerとの関係で英国制裁)、Zomroなどにクラスターが見られました。
Telegram/フォーラムではMasterRDPのBPHが宣伝されており、VPS/RDPを提供し、C2/マルウェア/フィッシング/ボットネットに対するテイクダウンを無視します。低コストのVMmanagerは、犯罪と正規ホスティングを混在させています。
ISPsystemは修正しました: 「Windowsテンプレート向けの更新をすでにリリースしました。これにより、新しい仮想マシンがデプロイされるたびに、その名前がランダムに生成されます。」VMmanager 6の変更履歴でもランダム化(2026年1月)が確認されています。
静的テンプレートは、ContiからBlackCatに至るまで世界的な指紋WIN-LIVFRVQFMKOを生み出しましたが、ランダム化により現在はIOCへの依存に課題が生じています。
翻訳元: https://cyberpress.org/bulletproof-hosting-abuses-isps/