Uso malicioso de la infraestructura de máquinas virtuales

A finales de 2025, los analistas de SophosLabs investigaron varios incidentes de ransomware  WantToCry. En todos los casos, los atacantes utilizaron máquinas virtuales con nombres de host NetBIOS autogenerados derivados de plantillas de Windows proporcionadas por ISPsystem, un proveedor legítimo de plataformas de gestión de infraestructura de TI. Los investigadores de Counter Threat Unit™ (CTU) investigaron la posible magnitud del uso malicioso de estos dispositivos e identificaron múltiples sistemas expuestos a Internet asociados con actividades ciberdelictivas, incluidas operaciones de ransomware y distribución de malware común. Investigaciones posteriores identificaron múltiples nombres de host adicionales derivados de plantillas de máquinas virtuales proporcionadas por ISPsystem, algunos de los cuales también se utilizaron en actividades maliciosas.

Según las observaciones de CTU™ y de terceros, los dos nombres de host utilizados en la actividad del ransomware WantToCry (WIN-J9D866ESIJ2 y WIN-LIVFRVQFMKO) se han utilizado en múltiples incidentes. Esta actividad maliciosa incluye ataques ciberdelictivos con el ransomware LockBit, Qilin y BlackCat (también conocido como ALPHV), y una implementación adicional de NetSupport RAT. A finales de 2021, un usuario llamado «Bentley» (posteriormente identificado como Maksim Galochkin y sancionado por los gobiernos de Estados Unidos y Reino Unido) utilizó un dispositivo con el nombre de host WIN-LIVFRVQFMKO para iniciar sesión en un chat privado de Jabber en el que participaban miembros de GOLD ULRICK, que opera el ransomware Conti, y GOLD BLACKBURN, que opera TrickBot. Estos registros de chat fueron revelados por un supuesto infiltrado en la operación «ContiLeaks» de febrero de 2022. En julio de 2023, un dispositivo con el mismo nombre de host fue utilizado en una campaña de Ursnif dirigida a organizaciones en Italia y en diciembre de 2024, Kaspersky informó sobre su uso en la explotación de una vulnerabilidad de FortiClient EMS.

Sería tentador concluir que cada nombre de host es utilizado por un único actor malicioso que se dedica a una serie de actividades delictivas. Sin embargo, según el motor de búsqueda Shodan, los dos nombres de host estaban asociados a miles de dispositivos conectados a Internet que exponían servicios RDP (puerto TCP 3389) en diciembre de 2025. A fecha de 19 de diciembre, había 3645 hosts activos que exponían el nombre de host WIN-J9D866ESIJ2 y 7937 con el nombre de host WIN-LIVFRVQFMKO. La mayoría de los dispositivos que utilizaban estos nombres de host se encontraban en Rusia y algunos en otros países de la Comunidad de Estados Independientes (CEI), Europa y Estados Unidos (véase la figura 1). Algunos dispositivos con el nombre de host WIN-LIVFRVQFMKO se encontraban en Irán.

Figura 1: ubicaciones de los dispositivos que utilizan estos nombres de host según la dirección IP asociada

Varios proveedores de alojamiento estaban asociados a estos nombres de host, pero los más frecuentes eran Stark Industries Solutions Ltd, Zomro B.V., First Server Limited, Partner Hosting LTD y JSC IOT (véanse las tablas 1 y 2).

Tabla 1: los 5 principales proveedores que alojan máquinas virtuales WIN-J9D866ESIJ2

Tabla 2: los 5 principales proveedores que alojan máquinas virtuales WIN-LIVFRVQFMKO

Aunque es probable que haya alguna actividad legítima que se origine en máquinas virtuales con estos nombres de host de estos proveedores de alojamiento, hay datos adicionales que vinculan a los dos principales proveedores (Stark Industries Solutions Ltd y First Server Limited) con operaciones ciberdelictivas y patrocinadas por el Estado ruso. Los investigadores de la CTU y de terceros han observado que múltiples grupos de amenazas patrocinados por el Estado y ciberdelincuentes utilizan la infraestructura de Stark Industries Solutions Ltd desde su fundación en febrero de 2022, justo antes de la invasión de Ucrania por parte de Rusia. En mayo de 2025, el Consejo Europeo emitió «medidas restrictivas» contra Stark Industries Solutions Ltd y sus operadores por permitir que «varios actores patrocinados y afiliados al Estado ruso llevaran a cabo actividades desestabilizadoras».

Mientras tanto, investigaciones de terceros sugieren que First Server Limited está estrechamente relacionada con Doppelganger, una campaña de desinformación rusa cuyos operadores y entidades asociadas fueron sancionados por el Gobierno del Reino Unido en octubre de 2024. La concentración de estos nombres de host entre un número relativamente pequeño de proveedores de alojamiento y regiones geográficas parece coincidir con el despliegue a gran escala de plantillas de máquinas virtuales preconfiguradas, en lugar de la construcción de infraestructuras independientes por parte de actores maliciosos individuales.

Una investigación más detallada reveló que estos nombres de host proceden de imágenes de Windows Server ampliamente reutilizadas y distribuidas a través del panel de control de la plataforma legítima de gestión de virtualización ISPsystem VMmanager. Los investigadores de la CTU plantearon la hipótesis de que el despliegue de una imagen asignaría el mismo nombre de host y el mismo sujeto de certificado autofirmado, lo que podría crear la apariencia de una infraestructura compartida entre actores maliciosos que, por lo demás, no estarían relacionados entre sí. Para validar esta hipótesis, los investigadores de la CTU adquirieron un servidor virtual de play2go.cloud, un proveedor de alojamiento que utiliza ISPsystem VMmanager, e implementaron una máquina virtual Windows en condiciones estándar para los clientes. El sistema resultante generó automáticamente el nombre de host WIN-J9D866ESIJ2, en consonancia con el patrón observado en la infraestructura expuesta a Internet.

Los investigadores de la CTU implementaron de forma independiente un entorno de prueba controlado utilizando una instalación de prueba de VMmanager, lo que permitió la implementación directa de máquinas virtuales Windows. Los sistemas aprovisionados a partir de las plantillas predeterminadas de Windows de VMmanager generaron de forma sistemática los mismos nombres de host estáticos. Esta prueba llevó a los investigadores de la CTU a identificar y analizar un repositorio de acceso público de imágenes de sistemas operativos preconstruidas utilizadas por VMmanager para la implementación de máquinas virtuales basadas en plantillas.

Este repositorio incluye múltiples plantillas de Windows Server que abarcan desde Windows Server 2012 R2 hasta Windows Server 2025, así como variantes de escritorio de Windows 10 y Windows 11. El análisis de estas imágenes y sus scripts de implementación asociados confirmó que el nombre de host y los identificadores de sistema relacionados están incrustados en cada plantilla y no se aleatorizan durante el aprovisionamiento. Los investigadores de CTU utilizaron Shodan para analizar la prevalencia de estos nombres de host en Internet (véase la tabla 3).

Tabla 3: nombres de host de máquinas virtuales ISPsystem y su prevalencia en Internet a 19 de diciembre de 2025

Los cuatro nombres de host más prevalentes representan más del 95 % del número total de máquinas virtuales ISPsystem conectadas a Internet. No es de extrañar que las dos imágenes más populares (WIN-LIVFRVQFMKO y WIN-BS656MOF35Q) sean variantes habilitadas para el Servicio de administración de claves (KMS), lo que permite que el sistema operativo Windows funcione de forma gratuita durante un período de gracia de 180 días sin necesidad de licencias individuales.

Los investigadores de la CTU investigaron todos los nombres de host en busca de pruebas de actividad maliciosa. El análisis reveló que estos cuatro nombres de host más frecuentes, que incluyen los dos observados por los analistas de SophosLabs en los ataques WantToCry, se utilizaron en actividades ciberdelictivas (véase la tabla 4). Todos ellos se observaron en los datos de detección de clientes de Sophos o en la telemetría de alguna forma.

Tabla 4: nombres de host y conexiones a actividades maliciosas

Los investigadores de la CTU buscaron estos nombres de host en foros clandestinos y plataformas de comunicación como Telegram y descubrieron anuncios de proveedores de alojamiento a prueba de balas (BPH). Los operadores de los servicios BPH permiten a sabiendas el alojamiento de contenido ilícito, al tiempo que mantienen una infraestructura en la que los actores maliciosos pueden confiar para seguir operando ante las denuncias de abuso, las solicitudes de retirada y las medidas policiales. 

La infraestructura suele dar soporte a servidores de comando y control (C2) de ransomware, distribución de malware, campañas de phishing, gestión de botnets y preparación de la exfiltración de datos.

Los investigadores de CTU identificaron numerosas referencias a un proveedor llamado MasterRDP en conjuntos de datos asociados a sistemas que exponían nombres de host derivados de ISPsystem. Las publicaciones en foros clandestinos y la actividad pública en Telegram anuncian BPH, acceso a servidores privados virtuales (VPS) y servicios RDP bajo esta marca.

Es muy probable que MasterRDP sea uno de los muchos proveedores de BPH dentro del ecosistema ciberdelictivo que alquilan máquinas virtuales de ISPsystem alojadas en una infraestructura tolerante al abuso a clientes con intenciones maliciosas, incluidos los que se dedican a operaciones de ransomware y distribución de malware. ISPsystem VMmanager es una plataforma de gestión de virtualización comercial legítima muy utilizada en el sector del alojamiento web, y el software en sí no es malicioso. Sin embargo, su bajo coste, su fácil acceso y sus capacidades de implementación llave en mano lo hacen atractivo para los ciberdelincuentes, mientras que su uso legítimo generalizado proporciona cobertura operativa entre miles de implementaciones que cumplen con la normativa.