Punto ciego en la protección de datos: cómo una empresa búlgara presta servicio a la mitad de los sistemas maliciosos de Europa del Este
Un proveedor de servicios corriente se convirtió en una base fiable para los coordinadores de extorsionadores cibernéticos.
La infraestructura de ciberataques a menudo sobrevive más que los dominios y las direcciones IP individuales, y el nuevo informe de Hunt.io muestra hasta qué punto esos nodos se han concentrado en Europa del Este. Entre el 12 de marzo y el 12 de junio de 2026, los especialistas estudiaron la infraestructura en 10 países de la región y detectaron más de 3900 servidores C2 activos pertenecientes a 302 proveedores.
Los servidores C2 sirven como puntos de control de software malicioso. A través de esos nodos, los operadores envían comandos a sistemas infectados, reciben datos robados y mantienen las campañas en funcionamiento. En el estudio participaron proveedores de Bielorrusia, Bulgaria, Chequia, Hungría, Polonia, Moldavia, Rumanía, Rusia, Eslovaquia y Ucrania.
La principal concentración se encontró en la empresa búlgara Friendhosting LTD. En la infraestructura de la compañía se localizaron 2100 servidores C2, es decir, alrededor del 53,5% de todos esos nodos en la muestra. Ese sesgo es difícil de detectar al rastrear dominios e IP individuales, pero se hace evidente al analizar el nivel de alojamiento.
En total, Host Radar señaló 4331 objetos maliciosos. Además de 3923 servidores C2, en la muestra se encontraron directorios abiertos con contenido malicioso, sitios de phishing e indicadores de compromiso conocidos públicamente. La infraestructura C2 representó alrededor del 90,6% de todas las detecciones, lo que muestra la principal forma de uso del alojamiento regional.
El informe enumera campañas reales relacionadas con los nodos detectados. La infraestructura de Cloud Atlas se encontró en varios proveedores de Europa del Este. También se detectaron nodos relacionados con phishing, robadores de información, botnets y el abuso de herramientas legítimas de administración remota.
Por familias de infraestructura maliciosa lidera Keitaro con 1277 direcciones IP C2 únicas. Le siguen Tactical RMM y Acunetix. Se mencionan por separado Cobalt Strike, Sliver, Gophish, Mirai, Mozi y Hajime. Ese conjunto muestra que las mismas plataformas de los proveedores dan servicio tanto a campañas criminales masivas como a operaciones más complejas posteriores a una intrusión inicial.
Los autores del informe consideran que la defensa no debe apoyarse únicamente en direcciones IP y dominios que cambian rápidamente. Se recomienda a los equipos de seguridad que tengan en cuenta el riesgo de ASN y proveedores concretos, que rastreen las conexiones infraestructurales recurrentes y que verifiquen si las fuentes de actividad sospechosa han aparecido en campañas anteriores.