Infraestrutura maliciosa distribuída em 165 provedores de hospedagem comerciais
Pesquisadores de segurança cibernética descobriram uma grande e organizada rede de infraestrutura maliciosa operando silenciosamente dentro do ecossistema de hospedagem comercial da Rússia. Em uma janela de três meses, de 1 de janeiro a 1 de abril de 2026, mais de 1.250 servidores de comando e controle (C2) ativos foram detectados em 165 provedores de infraestrutura russos, abrangendo plataformas de hospedagem compartilhada, ambientes de servidor virtual e redes de telecomunicações. Um servidor de comando e controle é a espinha dorsal da maioria dos ataques cibernéticos — o sistema que os atacantes usam para enviar instruções a máquinas infectadas e recuperar dados roubados.
Detalhamento da infraestrutura mapeada pela Hunt.io
Encontrar mais de 1.250 desses servidores ativos ao mesmo tempo, todos alojados em provedores de hospedagem russos, mostra o quão profundamente a infraestrutura maliciosa se incorporou em redes comerciais legítimas. Os servidores não estão concentrados em um ou dois cantos obscuros da internet; eles estão distribuídos em 165 provedores separados, tornando-os mais difíceis de bloquear e mais fáceis de manter sem chamar a atenção. Analistas e pesquisadores da Hunt.io identificaram esses padrões usando o Host Radar, um módulo de inteligência central construído para correlacionar servidores C2, infraestrutura de phishing, diretórios maliciosos abertos e indicadores públicos de comprometimento de volta aos provedores de hospedagem que os sustentam.
A análise revelou padrões repetíveis de como a infraestrutura maliciosa é distribuída e reutilizada em ambientes de hospedagem russos, fornecendo visibilidade em nível de provedor que separa inteligência acionável de uma corrente de endereços IP descartáveis. No conjunto de dados completo, o Host Radar registrou aproximadamente 1.290 artefatos maliciosos durante o período de observação. A infraestrutura C2 domina, representando cerca de 88,6% de toda a atividade detectada, com 1.252 servidores confirmados.
Famílias de malware e campanhas ativas identificadas
Usando o HuntSQL, os analistas consultaram a telemetria nas redes russas para identificar quais famílias de malware estavam hospedando a maior parte da infraestrutura C2. O Keitaro, um sistema de distribuição de tráfego frequentemente abusado para redirecionar vítimas para malware, lidera o conjunto de dados com 587 endereços IP C2 exclusivos — a maior concentração observada. O Hajime, uma botnet focada em IoT, segue com 191 servidores C2, enquanto Mozi e Mirai refletem o abuso contínuo de roteiros e dispositivos incorporados comprometidos.
Frameworks de segurança ofensivos incluindo Tactical RMM (87 endpoints), variantes do Cobalt Strike (55 combinados), Sliver e Ligolo-ng também foram encontrados, todos repurposados para uso malicioso. Ferramentas de varredura e phishing como Acunetix, Interactsh e Gophish foram detectadas também, confirmando que esta infraestrutura suporta reconhecimento e roubo de credenciais junto com intrusões diretas.
Implicações para inteligência de ameaças e defesa
Campanhas ativas vinculadas a esta infraestrutura reforçam a gravidade dessas descobertas. Uma campanha no JSC TIMEWEB usou uma técnica de CAPTCHA falso chamada ClickFix para enganar usuários na execução de um comando PowerShell que baixou o malware Latrodectus v2.3. A infraestrutura hospedada no REG.RU foi vinculada a uma operação de Lumma Stealer abusando de redirecionadores do Google Groups. A infraestrutura da Hosting Technology LTD entregou o Remcos RAT através de prompts de CAPTCHA falso.
As equipes de segurança devem tratar o monitoramento em nível de provedor como uma prioridade defensiva central. Aplicar controles contra os provedores de maior volume — especialmente TimeWeb, REG.RU, WebHost1, VDSina e PROSPERO OOO — pode reduzir significativamente a exposição. As organizações devem monitorar conexões de saída para ASNs russos com atividade C2 elevada, aplicar inteligência de ameaças cobrindo indicadores em nível de infraestrutura além de hashes de arquivo, restringir cadeias curl-to-PowerShell vulneráveis a iscas estilo ClickFix e manter visibilidade em dispositivos IoT e de borda dada a atividade contínua das botnets Hajime, Mozi e Mirai.