Rede ucraniana FDN3 lança ataques massivos de força bruta contra dispositivos SSL VPN e RDP

Pesquisadores de segurança cibernética identificaram uma rede de IP ucraniana realizando campanhas massivas de força bruta e password spraying contra dispositivos SSL VPN e RDP entre junho e julho de 2025.

A atividade originou-se do sistema autônomo FDN3 (AS211736) baseado na Ucrânia, de acordo com a empresa francesa de segurança cibernética Intrinsec. A rede FDN3 faz parte de uma infraestrutura abusiva mais ampla composta por outras duas redes ucranianas (AS61432 e AS210950) e um sistema autônomo baseado nas Seychelles chamado TK-NET (AS210848).

Essas redes foram alocadas em agosto de 2021 e frequentemente trocam prefixos IPv4 entre si para evadir bloqueios e continuar hospedando atividades abusivas. A investigação revelou que os prefixos foram movidos para redes bulletproof frontadas por empresas de fachada.

Um prefixo IPv4 específico (88.210.63[.]0/24) foi atribuído a tentativas em larga escala de força bruta e password spraying, com atividade atingindo pico recorde entre 6 e 8 de julho de 2025. Esses esforços contra ativos SSL VPN e RDP podem durar até três dias.

Técnicas semelhantes têm sido adotadas por grupos ransomware-as-a-service (RaaS) como Black Basta, GLOBAL GROUP e RansomHub como vetor de acesso inicial para violar redes corporativas.

A análise também descobriu vínculos com uma empresa russa chamada Alex Host LLC, anteriormente ligada a provedores de hospedagem bulletproof. O fenômeno destaca como ISPs offshore permitem redes bulletproof menores através de acordos de peering e hospedagem de prefixos.