.svg?branch=dev&width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?branch=dev&width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Fin 2025, les analystes de SophosLabs ont investigué plusieurs incidents impliquant des ransomwares distants liés à WantToCry. Dans chaque cas, les attaquants ont utilisé des machines virtuelles avec des noms d'hôte NetBIOS générés automatiquement à partir de modèles Windows fournis par ISPsystem, un fournisseur légitime de plateformes de gestion d'infrastructures IT. Les experts de la CTU (Counter Threat Unit™) ont investigué l'ampleur potentielle de l'utilisation malveillante de ces appareils et ont identifié de multiples systèmes accessibles depuis Internet associés à une activité cybercriminelle, notamment des opérations de ransomware et la diffusion de malwares courants. Des investigations complémentaires ont permis d'identifier plusieurs autres noms d'hôte issus de modèles de machines virtuelles fournis par ISPsystem, dont certains ont également été utilisés dans des activités malveillantes.
D’après les observations de la CTU™ et de tiers, les deux noms d’hôte utilisés dans l’activité du ransomware WantToCry (WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO) ont été utilisés dans de multiples incidents. Cette activité malveillante comprend des attaques cybercriminelles impliquant les ransomwares LockBit, Qilin et BlackCat (également connu sous le nom d'ALPHV), ainsi qu'un déploiement supplémentaire de RAT NetSupport. Fin 2021, un utilisateur appelé « Bentley » (identifié plus tard comme Maksim Galochkin et sanctionné par les gouvernements américain et britannique) a utilisé un appareil avec le nom d'hôte WIN-LIVFRVQFMKO pour se connecter à une conversation privée Jabber impliquant des membres de GOLD ULRICK, qui exploite le ransomware Conti, et de GOLD BLACKBURN, qui exploite TrickBot. Ces logs de discussion ont été révélés par un informateur présumé lors de l'opération ContiLeaks en février 2022. En juillet 2023, un appareil portant le même nom d'hôte a été utilisé dans une campagne Ursnif ciblant des organisations en Italie, et en décembre 2024, Kaspersky a signalé son utilisation dans l'exploitation d'une vulnérabilité de FortiClient EMS.
Il serait tentant de conclure que chaque nom d'hôte est utilisé par un seul acteur malveillant se livrant à toute une gamme d'activités cybercriminelles. Cependant, selon le moteur de recherche Shodan, les deux noms d'hôte étaient associés à des milliers d'appareils connectés à Internet et exposant ainsi des services RDP (port TCP 3389) en décembre 2025. Au 19 décembre, il y avait 3 645 hôtes actifs exposant le nom d'hôte WIN-J9D866ESIJ2 et 7 937 avec le nom d'hôte WIN-LIVFRVQFMKO. La plupart des appareils utilisant ces noms d'hôte se trouvaient en Russie, certains dans d'autres pays de la CIS (Commonwealth of Independent States), en Europe et aux États-Unis (voir figure 1). Quelques appareils portant le nom d'hôte WIN-LIVFRVQFMKO se trouvaient en Iran.
Figure 1: Localisation des appareils utilisant ces noms d'hôte en fonction de l'adresse IP associée
Plusieurs fournisseurs d'hébergement étaient associés à ces noms d'hôte, mais les plus répandus étaient Stark Industries Solutions Ltd, Zomro B.V., First Server Limited, Partner Hosting LTD et JSC IOT (voir tableaux 1 et 2).
| Fournisseurs d'hébergement WIN-J9D866ESIJ2 | Nombre d'hôtes |
|---|---|
| First Server Limited | 592 |
| Stark Industries Solutions Ltd | 576 |
| Zomro B.V. | 308 |
| Global Connectivity Solutions LLP | 189 |
| Kontel LLC | 148 |
Tableau 1 : Les 5 principaux fournisseurs hébergeant des machines virtuelles WIN-J9D866ESIJ2
| Fournisseurs d'hébergement WIN-LIVFRVQFMKO | Nombre d'hôtes |
| Stark Industries Solutions Ltd | 634 |
| Zomro B.V. | 455 |
| First Server Limited | 414 |
| Partner Hosting LTD | 356 |
| JSC IOT | 355 |
Tableau 2 : Les 5 principaux fournisseurs hébergeant des machines virtuelles WIN-LIVFRVQFMKO
Bien qu'il soit probable qu'une certaine activité légitime provienne de machines virtuelles portant ces noms d'hôte chez ces fournisseurs d'hébergement, des données supplémentaires lient les deux principaux fournisseurs (Stark Industries Solutions Ltd et First Server Limited) à des opérations cybercriminelles et à des activités parrainées par l'État russe. Des chercheurs de la CTU et des experts tiers ont observé que plusieurs groupes malveillants parrainés par des États et cybercriminels utilisaient l'infrastructure de Stark Industries Solutions Ltd depuis sa fondation en février 2022, juste avant l'invasion de l'Ukraine par la Russie. En mai 2025, le Conseil européen a émis des « mesures restrictives » à l’encontre de Stark Industries Solutions Ltd et de ses opérateurs pour avoir permis à « divers acteurs parrainés par l’État russe et affiliés à celui-ci de mener des activités déstabilisatrices ». Par ailleurs, des recherches menées par des tiers suggèrent que First Server Limited est étroitement liée à Doppelganger, une campagne de désinformation russe dont les opérateurs et les entités associées ont été sanctionnés par le gouvernement britannique en octobre 2024. La concentration de ces noms d'hôte parmi un nombre relativement restreint de fournisseurs d'hébergement et de régions géographiques semble correspondre à un déploiement à grande échelle de modèles de machines virtuelles préconfigurés, plutôt qu'à la mise en place indépendante d'infrastructures par des acteurs malveillants isolés.
Des investigations plus poussées ont révélé que ces noms d'hôte proviennent d'images Windows Server largement réutilisées et distribuées via le panneau de contrôle de la plateforme légitime de gestion de la virtualisation ISPsystem VMmanager. Les chercheurs de la CTU ont émis l'hypothèse que le déploiement d'une image attribuerait le même nom d'hôte et le même sujet de certificat auto-signé, ce qui pourrait créer l'apparence d'une infrastructure partagée entre des acteurs malveillants autrement indépendants. Pour valider cette hypothèse, les chercheurs de la CTU se sont procurés un serveur virtuel auprès de play2go.cloud, un fournisseur d'hébergement qui utilise ISPsystem VMmanager, et ont déployé une machine virtuelle Windows dans des conditions client standard. Le système résultant a automatiquement généré le nom d'hôte WIN-J9D866ESIJ2, conformément au modèle observé sur l'ensemble des infrastructures accessibles depuis Internet.
Les chercheurs de la CTU ont mis en œuvre de manière indépendante un environnement de test contrôlé à l'aide d'une installation d'essai de VMmanager, permettant le déploiement direct de machines virtuelles Windows. Les systèmes provisionnés à partir des modèles Windows par défaut de VMmanager généraient systématiquement les mêmes noms d'hôte statiques. Ces tests ont conduit les chercheurs de la CTU à identifier et à analyser un référentiel accessible au public composé d'images de système d'exploitation préconfigurées utilisées par VMmanager pour le déploiement de machines virtuelles basé sur des modèles.
Ce dépôt comprend plusieurs modèles Windows Server couvrant Windows Server 2012 R2 à Windows Server 2025, ainsi que des variantes desktop de Windows 10 et Windows 11. L'analyse de ces images et de leurs scripts de déploiement associés a confirmé que le nom d'hôte et les identifiants système associés sont intégrés dans chaque modèle et ne sont pas randomisés lors de la mise en service. Les chercheurs de la CTU ont utilisé Shodan pour investiguer la prévalence de ces noms d’hôte sur Internet (voir tableau 3).
| Nom d’hôte | Version OS | Nombre total d'hôtes | Pays concernés | Hébergeurs concernés |
|---|---|---|---|---|
| WIN-LIVFRVQFMKO | Windows Server 2019 (KMS) | 7,937 | Russie | Stark Industries Solutions Ltd |
| WIN-BS656MOF35Q | Windows Server 2022 (KMS) | 7,825 | Allemagne | Stark Industries Solutions Ltd |
| WIN-344VU98D3RU | Windows Server 2012 R2 | 7,437 | Pays-Bas | Zomro B.V. |
| WIN-J9D866ESIJ2 | Windows Server 2016 | 3,645 | Russie | First Server Limited |
| WIN-9C3K8L5M5Q7 | Windows Server 2022 (GPT) | 541 | Russie | Stark Industries Solutions Ltd |
| DESKTOP-7VBH2AA | Windows 11 (Dec 2025) | 177 | États-Unis | Stark Industries Solutions Ltd |
| WIN-E9VUEDVSAHR | Windows Server 2019 (Russian GPT) | 170 | Russie | JSC IOT |
| WIN-3R1Q4OEL7SH | Windows Server 2019 Datacenter | 152 | Russie | Stark Industries Solutions Ltd |
| WIN-EGR0637MAEG | Windows Server 2019 (GPT) | 100 | États-Unis | Stark Industries Solutions Ltd |
| WIN-5BIER8OOA6N | Windows Server 2025 | 66 | Tchéquie | SmartApe OU |
| WIN-67KRP38M7IH | Windows Server Core 2019 | 4 | Pays-Bas | Stark Industries Solutions Ltd |
| WIN-98FDM29KPEE | Windows 10 | 0 | N/A | N/A |
| WIN-QLUI838SCU0 | Windows 10 (Russian) | 0 | N/A | N/A |
| WIN-P7Q737OF0AM | Windows 11 (Aug 2024) | 0 | N/A | N/A |
Tableau 3 : Noms d'hôte des machines virtuelles ISPsystem et leur prévalence sur Internet au 19 décembre 2025
Les quatre noms d'hôte les plus répandus représentent plus de 95% du nombre total de machines virtuelles ISPsystem accessibles depuis Internet. Il n'est pas surprenant que les deux images les plus populaires (WIN-LIVFRVQFMKO et WIN-BS656MOF35Q) soient des variantes compatibles avec KMS (Key Management Service), permettant au système d'exploitation Windows de fonctionner gratuitement pendant une période de grâce de 180 jours sans licence individuelle.
Les chercheurs de la CTU ont investigué tous les noms d'hôte à la recherche de preuves d'activités malveillantes. L'analyse a révélé que les quatre noms d'hôte les plus répandus, qui incluent les deux noms observés par les analystes SophosLabs dans les attaques WantToCry, ont été utilisés dans des activités cybercriminelles (voir tableau 4). Tous ces éléments ont été observés, d'une manière ou d'une autre, dans les données de détection ou de télémétrie des clients de Sophos.
| Noms d'hôte | Version OS | Activité malveillante observée |
|---|---|---|
| WIN-LIVFRVQFMKO | Windows Server 2019 | LockBit Conti Qilin WantToCry BlackCat (ALPHV) Conti chat logs (referenced by "Bentley" on Jabber) FortiClient EMS vulnerability exploitation Ursnif |
| WIN-BS656MOF35Q | Windows Server 2022 | ClickFix, PureRAT, and Lumma stealer campaign Cerberus Team malware campaigns |
| WIN-344VU98D3RU | Windows Server 2012 R2 | RedLine infostealer Lampion infostealer |
| WIN-J9D866ESIJ2 | Windows Server 2016 | WantToCry NetSupport RAT |
Tableau 4 : Noms d'hôte et connexions à des activités malveillantes
Les experts de la CTU ont recherché ces noms d'hôte sur des forums underground et des plateformes de communication telles que Telegram et ont découvert des publicités pour des fournisseurs d'hébergement Bulletproof (BPH). Les opérateurs des services BPH autorisent sciemment l'hébergement de contenus illicites tout en maintenant une infrastructure sur laquelle les acteurs malveillants peuvent compter pour rester opérationnels malgré les signalements d'abus, les demandes de démantèlement et les actions des forces de l'ordre. L'infrastructure prend généralement en charge les serveurs command & control (C2) des ransomwares, la diffusion de malwares, les campagnes de phishing, la gestion des botnets et la préparation de l'exfiltration de données.
Les chercheurs de la CTU ont identifié de nombreuses références à un fournisseur nommé MasterRDP, qui opère également sous la marque rdp.monster, dans des ensembles de données associés à des systèmes exposant des noms d'hôte dérivés de systèmes FAI. Des messages sur des forums underground et une activité publique sur Telegram font la promotion des BPH, de l’accès à des VPS (Virtual Private Server) et à des services RDP sous cette marque. Les tarifs de ces offres de serveurs dédiés, de l'activité des serveurs en rack et du déploiement de l'infrastructure physique varient en fonction de la puissance de calcul (voir figure 2). Cette activité indique que MasterRDP contrôle directement l'infrastructure d'hébergement utilisée pour fournir ces services, plutôt que d'agir en tant que revendeur.
Figure 2: Services de machines virtuelles proposés par rdp.monster (également connu sous le nom de MasterRDP)
Il est fort probable que MasterRDP soit l'un des nombreux fournisseurs BPH de l'écosystème cybercriminel qui louent des machines virtuelles ISPsystem hébergées sur une infrastructure tolérante aux abus à des clients aux intentions malveillantes, notamment ceux impliqués dans des opérations de ransomware et la diffusion de malwares. ISPsystem VMmanager est une plateforme de gestion de virtualisation commerciale légitime, largement utilisée dans le secteur de l'hébergement, et le logiciel lui-même n'est pas malveillant. Cependant, son faible coût, sa facilité d'accès et ses capacités de déploiement clés en main le rendent attrayant pour les cybercriminels, tandis que son utilisation légitime généralisée assure une couverture opérationnelle parmi des milliers de déploiements conformes.
Billet inspiré de Malicious use of virtual machine infrastructure, sur le Blog Sophos.