Новое расследование выявило тесные связи между хостинг-провайдером Alviva Holding Limited, зарегистрированным на Сейшельских островах, и международной киберпреступной деятельностью, включая работу групп ransomware (шифровальщиков) и организацию bulletproof-хостинга (устойчивого к внешним воздействиям). Ключевым элементом расследования стало установление связи между Alviva Holding и черным списком американских регуляторов.
Описание
Расследование началось с анализа обновленных контактов группы Clop Ransomware (также известной как Cl0p), которая в мае 2025 года объявила о новых доменах для коммуникации с жертвами: pubstorm.com и pubstorm.net. Оба домена, зарегистрированные в один день, использовали инфраструктуру Alviva Holding Limited, хотя и размещались на IP-адресах в Германии и Вануату соответственно. Это указало на то, что преступники активно пользуются услугами этого провайдера.
Глубокая проверка активности автономных систем (ASN) Alviva Holding (AS209132 и AS209272) показала их длительную историю связи с вредоносной активностью. Сети провайдера годами используются для развертывания инструментов вроде Cobalt Strike, который злоумышленники применяют для атак, а также для размещения инфраструктуры различных групп: от APT28 (Fancy Bear) до операторов ransomware и поставщиков DDoS-услуг.
Анализ пиринговых связей выявил подключение к другим печально известным сетям: украинскому FOP Gubina Lubov Petrivna и белизской Verdina Ltd. Последняя, согласно исследованию, открыто предлагает услуги bulletproof-хостинга и «DDoS-в-аренду», а ее инфраструктура была замечена в кампаниях по хищению учетных данных Microsoft, распространения BianLian Ransomware и различных троянов.
Настоящий прорыв в расследовании произошел при изучении «Документов Пандоры» (Pandora Papers), масштабной утечки финансовых данных 2021 года. В них была обнаружена регистрационная информация Alviva Holding Limited: адрес в Виктории (Сейшелы) и данные бенефициара. Указанный адрес оказался массово использован для регистрации сотен подставных (shell) компаний, связанных с криптобиржами, инвестиционными платформами и хостинг-провайдерами.
Более того, расследование установило прямую связь между Alviva Holding и компанией Alpha Consulting Limited, которая в марте 2025 года лишилась лицензии и была внесена Комиссией по ценным бумагам и биржам США (SEC) в список PAUSE (Public Alert - Unregistered Soliciting Entities) за мошеннические операции.
Важным аспектом расследования стало объяснение модели работы таких сетей. Shell-компании часто регистрируются в офшорах, Сейшельские острова или Белиз, но используют виртуальные адреса в Великобритании, чтобы воспользоваться лазейками в местном законодательстве. Закон UK освобождает Партнеров с ограниченной ответственностью от обязанности раскрывать информацию о реальных владельцах (persons with significant control), что создает идеальные условия для анонимности и отмывания денег.
Таким образом, Alviva Holding Limited представляет собой не просто хостинг-провайдера, а важный узел в инфраструктуре международной киберпреступности, который пользуется недостатками регулирования в разных юрисдикциях. Эксперты рекомендуют компаниям не игнорировать подобные риски: хотя точечная блокировка целых подсетей может быть неэффективна, интеграция данных об этих ASN в системы мониторинга (SIEM) и использование актуальных threat intelligence-платформ помогут своевременно обнаруживать и предотвращать угрозы, исходящие из таких сетей.
Индикаторы компрометации
IPv4
- 147.45.112.231
- 185.55.242.97
Domains
- pubstorm.com
- pubstorm.net
URLs
- https://147.45.112.231/mail/
- https://185.55.242.97/mail/
- https://pubstorm.com/mail/
- https://pubstorm.net/mail/
- https://srv.pubstorm.com/mail/
- https://srv.pubstorm.net/mail/
ASN
- 209132
- 209272
