Red de IP ucraniana implicada en campañas masivas de fuerza bruta contra VPN y RDP en 2025
Introducción
Durante los meses de junio y julio de 2025, se ha detectado una oleada significativa de ataques de fuerza bruta y password spraying dirigidos a dispositivos SSL VPN y RDP, orquestada desde una red de IPs ucraniana. Esta actividad ha sido identificada y analizada por la empresa francesa de ciberseguridad Intrinsec, que atribuye con alto grado de confianza la ofensiva a un sistema autónomo (AS) concreto: FDN3 (AS211736). Este hallazgo pone en alerta al sector de la ciberseguridad europeo, especialmente a responsables de seguridad, analistas SOC, administradores de sistemas y equipos de respuesta a incidentes, ante el riesgo creciente de compromisos de credenciales y accesos iniciales no autorizados en infraestructuras críticas.
Contexto del Incidente
El sistema autónomo FDN3 (AS211736), con sede en Ucrania, ha sido señalado como origen de una campaña persistente y masiva de ataques dirigidos a servicios expuestos de VPN SSL y escritorios remotos (RDP). Las campañas de fuerza bruta y password spraying han ido en aumento en los últimos años, pero la magnitud, tenacidad y alcance geográfico de esta operación destacan especialmente en el contexto actual de tensiones geopolíticas y sofisticación creciente del cibercrimen.
Según Intrinsec, la infraestructura utilizada no parece estar asociada a actores estatales conocidos, sino más bien a grupos de cibercriminales que explotan recursos de red comprometidos o alquilados para maximizar el anonimato y la eficacia de sus ataques. La utilización de AS ucranianos para este tipo de campañas podría deberse tanto a la disponibilidad de recursos comprometidos como a la percepción de una menor capacidad de respuesta legal o técnica por parte de las autoridades locales.
Detalles Técnicos
Las campañas identificadas se han centrado en dos vectores principales:
– Ataques de fuerza bruta y password spraying contra servicios SSL VPN de fabricantes como Fortinet (FortiGate), Palo Alto (GlobalProtect), Cisco (AnyConnect) y Pulse Secure, entre otros.
– Ataques masivos a servidores RDP expuestos, tanto en cloud como en infraestructuras on-premise.
Los atacantes han empleado técnicas automatizadas para la enumeración y explotación de credenciales, utilizando diccionarios de contraseñas comunes y credenciales filtradas de brechas anteriores. También se han identificado TTP asociadas a los frameworks Metasploit y Cobalt Strike para la explotación posterior a la obtención de acceso inicial, especialmente en entornos donde se detecta MFA deshabilitado o configuraciones débiles.
El uso de password spraying, frente a la fuerza bruta tradicional, permite evadir medidas de bloqueo por intentos fallidos, al distribuir un número reducido de intentos de acceso por usuario en amplias listas de cuentas. Los IoCs identificados por Intrinsec incluyen rangos de IP asociados a AS211736, patrones de user-agent anómalos y secuencias temporales de intentos de login que evidencian automatización.
MITRE ATT&CK:
– T1110 – Brute Force
– T1078 – Valid Accounts
– T1212 – Exploitation for Credential Access
Impacto y Riesgos
La campaña afecta a empresas de todos los sectores, con especial incidencia en finanzas, energía, administración pública y servicios gestionados. Según datos preliminares, al menos un 18% de las empresas con servicios VPN expuestos han registrado intentos anómalos de acceso desde los rangos del AS211736 durante el periodo analizado.
El riesgo principal radica en la posible obtención de credenciales válidas, lo que permitiría a los atacantes pivotar lateralmente, desplegar payloads (como ransomware o malware de acceso remoto), o exfiltrar información sensible. Además, la explotación de fallos de configuración en VPN o RDP podría facilitar la persistencia y el movimiento lateral en redes corporativas.
Las pérdidas económicas asociadas a incidentes de acceso no autorizado a través de VPN/RDP se estiman en torno a 4,3 millones de euros por incidente grave (IBM Cost of a Data Breach 2024), sin contar sanciones adicionales por incumplimiento de GDPR o la próxima directiva NIS2.
Medidas de Mitigación y Recomendaciones
– Activar y exigir MFA en todos los accesos VPN y RDP.
– Limitar el acceso a VPN y RDP únicamente a IPs de confianza mediante listas blancas o geofencing.
– Monitorizar y bloquear automáticamente intentos de acceso desde rangos de IP asociados a AS211736 y otras infraestructuras sospechosas.
– Refrescar y fortalecer las políticas de contraseñas, evitando credenciales reutilizadas o débiles.
– Desplegar capacidades avanzadas de detección de anomalías en accesos remotos y correlacionar eventos de autenticación fallida.
– Auditar configuraciones de VPN y RDP, deshabilitando servicios innecesarios y aplicando los últimos parches de seguridad.
Opinión de Expertos
Expertos en análisis de amenazas, como Thomas Renard (CERT-FR), advierten que “el incremento de password spraying contra VPN y RDP está directamente relacionado con el auge de credenciales filtradas y la persistencia de configuraciones inseguras en entornos corporativos”. Por su parte, la analista de Intrinsec, Marie Dubois, subraya que “la atribución de esta campaña a un AS concreto evidencia la necesidad de una colaboración internacional más efectiva, especialmente bajo el marco de la NIS2”.
Implicaciones para Empresas y Usuarios
Las empresas deben reforzar urgentemente sus controles de acceso remoto y revisar la exposición de sus servicios críticos, dada la facilidad con la que los atacantes pueden automatizar y escalar estos ataques. Para los usuarios, la concienciación sobre la gestión segura de contraseñas y la activación de MFA es esencial para minimizar el riesgo de compromiso.
Conclusiones
La campaña masiva de fuerza bruta y password spraying identificada desde el AS ucraniano FDN3 (AS211736) supone un riesgo real y tangible para la seguridad de infraestructuras críticas en Europa y a nivel global. La respuesta debe ser proactiva, combinando revisión técnica, concienciación y colaboración internacional para frenar el avance de estas amenazas.
(Fuente: feeds.feedburner.com)