Revelan uso malicioso de infraestructura de máquinas virtuales
Según investigaciones de Sophos, proveedores de host están abusando de la infraestructura legítima del sistema ISP para suministrar máquinas virtuales a ciberdelincuentes.
A fines de 2025, analistas de SophosLabs investigaron varios incidentes de Ransomware WantToCry. En todos los casos, los atacantes utilizaron máquinas virtuales con nombres de host autogenerados, derivados de plantillas de Windows proporcionadas por ISPsystem, un proveedor legítimo de plataformas de gestión de infraestructura de TI.
Los investigadores de Counter Threat Unit (CTU) de Sophos indagaron la posible magnitud del uso malicioso de estos dispositivos e identificaron múltiples sistemas expuestos a Internet asociados con actividades ciberdelictivas, incluidas operaciones de Ransomware y distribución de malware común. Investigaciones posteriores identificaron múltiples nombres de host adicionales derivados de plantillas de máquinas virtuales, algunos de los cuales también se utilizaron en actividades maliciosas. Según las observaciones de CTU y de terceros, hubo dos nombres de host utilizados en múltiples incidentes (WIN-J9D866ESIJ2 y WIN-LIVFRVQFMKO).
Sería tentador concluir que cada nombre de host es utilizado por un único actor malicioso. Sin embargo, según el motor de búsqueda Shodan, ambos nombres estaban asociados a miles de dispositivos conectados a Internet que exponían servicios RDP (Protocolo de Escritorio Remoto) en diciembre de 2025.
De hecho, al día 19 de ese mes, había 3.645 hosts activos que exponían WIN-J9D866ESIJ2 y 7937 con el nombre de host WIN-LIVFRVQFMKO. La mayoría de los dispositivos que utilizaban estos nombres se encontraban en Rusia y algunos en otros países de la Comunidad de Estados Independientes (CEI), Europa y Estados Unidos, mientas que algunos dispositivos con el otro nombre se encontraban en Irán.
Varios proveedores de host estaban asociados a estos nombres, pero los más frecuentes eran cinco (Stark Industries Solutions Ltd, Zomro B.V., First Server Limited, Partner Hosting LTD y JSC IOT).
Patrocinio del Estado ruso
Aunque es probable que haya alguna actividad legítima que se origine en máquinas virtuales con estos nombres de host, hay datos adicionales que vinculan a los dos principales proveedores (Stark Industries Solutions Ltd y First Server Limited) con operaciones ciberdelictivas y patrocinadas por el Estado ruso.
Tanto investigadores de CTU de Sophos como terceros han observado que múltiples grupos de amenazas patrocinados por el Estado y ciberdelincuentes utilizan la infraestructura de Stark Industries Solutions Ltd desde su fundación en febrero de 2022, justo antes de la invasión de Ucrania por parte de Rusia. En mayo de 2025, el Consejo Europeo emitió «medidas restrictivas» contra Stark Industries Solutions Ltd y sus operadores por permitir que «varios actores patrocinados y afiliados al Estado ruso llevaran a cabo actividades desestabilizadoras».
Mientras tanto, investigaciones de terceros sugieren que First Server Limited está estrechamente relacionada con Doppelganger, una campaña de desinformación rusa cuyos operadores y entidades asociadas fueron sancionados por el Gobierno del Reino Unido en octubre de 2024. La concentración de estos nombres de host entre un número relativamente pequeño de proveedores de alojamiento y regiones geográficas parece coincidir con el despliegue a gran escala de plantillas de máquinas virtuales preconfiguradas, en lugar de la construcción de infraestructuras independientes por parte de actores maliciosos individuales.
Abuso de plataformas legítimas
Una investigación más detallada reveló que estos nombres de host proceden de imágenes de Windows Server ampliamente reutilizadas y distribuidas a través del panel de control de la plataforma legítima de gestión de virtualización ISPsystem VMmanager.
Los cuatro nombres de host más prevalentes representan más del 95% del número total de máquinas virtuales ISPsystem conectadas a Internet. No es de extrañar que las dos imágenes más populares (WIN-LIVFRVQFMKO y WIN-BS656MOF35Q) sean variantes habilitadas para el Servicio de administración de claves (KMS), lo que permite que el sistema operativo Windows funcione de forma gratuita durante un período de gracia de 180 días sin necesidad de licencias individuales.
Los investigadores de CTU buscaron estos nombres de host en foros clandestinos y plataformas de comunicación como Telegram y descubrieron anuncios de proveedores de alojamiento a prueba de balas (BPH). Los operadores de los servicios BPH permiten a sabiendas el alojamiento de contenido ilícito, al tiempo que mantienen una infraestructura en la que los actores maliciosos pueden confiar para seguir operando ante las denuncias de abuso, las solicitudes de retirada y las medidas policiales.
La infraestructura suele dar soporte a servidores de comando y control (C2) de ransomware, distribución de malware, campañas de phishing, gestión de botnets y preparación de la exfiltración de datos.
Adicionalmente, los investigadores de CTU identificaron numerosas referencias a un proveedor llamado MasterRDP en conjuntos de datos asociados a sistemas que exponían nombres de host derivados de ISPsystem. Las publicaciones en foros clandestinos y la actividad pública en Telegram anuncian BPH, acceso a servidores privados virtuales (VPS) y servicios RDP bajo esta marca.
Conclusión
Es muy probable que MasterRDP sea uno de los muchos proveedores de BPH dentro del ecosistema ciberdelictivo que alquilan máquinas virtuales de ISPsystem alojadas en una infraestructura tolerante al abuso a clientes con intenciones maliciosas, incluidos los que se dedican a operaciones de ransomware y distribución de malware. ISPsystem VMmanager es una plataforma de gestión de virtualización comercial legítima muy utilizada en el sector del alojamiento web, y el software en sí no es malicioso. Sin embargo, su bajo coste, su fácil acceso y sus capacidades de implementación llave en mano lo hacen atractivo para los ciberdelincuentes, mientras que su uso legítimo generalizado proporciona cobertura operativa entre miles de implementaciones que cumplen con la normativa.