La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro (OFAC) de los Estados Unidos ha impulsado las sanciones contra el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia AEZA Group para ayudar a los actores de amenazas en sus actividades maliciosas y atacar a las víctimas en el país y en todo el mundo.
Las sanciones también se extienden a sus subsidiarias AEZA International Ltd., la sucursal del Reino Unido de AEZA Group, así como AEZA Logistic LLC, Cloud Solutions LLC y cuatro personas vinculadas a la compañía –
- Arsenii Aleksandrovich Penzev, CEO y 33% propietario de AEZA Group
- Yurii Meruzhanovich Bozoyan, Director General y 33% propietario de AEZA Group
- Vladimir Vyacheslavovich Gast, director técnico que trabaja en estrecha colaboración con Penzev y Bozoyan
- Igor Anatolyevich Knyazev, 33% propietario de AEZA Group que administra las operaciones en ausencia de Penzev y Bozoyan
Vale la pena señalar que Penzev fue arrestado a principios de abril de 2025 por cargos de liderar una organización criminal y permitir el tráfico de drogas a gran escala al organizar Blacksprutun mercado de drogas ilícitas en la web oscura. Bozoyan y otros dos empleados de AEZA, Maxim Orel y Tatyana Zubova, también fueron detenidos.
«Los ciberdelincuentes continúan dependiendo en gran medida de los proveedores de servicios de BPH como Aeza Group para facilitar los ataques de ransomware disruptivos, robar tecnología estadounidense y vender drogas en el mercado negro», dijo la actuación bajo el Secretario del Tesoro por el terrorismo e inteligencia financiera Bradley T. Smith.
«El Tesoro, en estrecha coordinación con el Reino Unido y nuestros otros socios internacionales, sigue decidido a exponer los nodos críticos, la infraestructura y las personas que sustentan este ecosistema criminal».
Los servicios de BPH han sido daños a los actores de amenazas, ya que se sabe que ignoran deliberadamente los informes de abuso y las solicitudes de eliminación de la ley, a menudo operando en países con una aplicación débil o estándares legales intencionalmente vagos. Esto los convierte en una opción resistente para que los atacantes organicen su infraestructura maliciosa, incluidos los sitios de phishing y los servidores de comando y control (C2), sin interrupciones ni consecuencias.
Con sede en San Petersburgo, AEZA Group está acusado de arrendar sus servicios a diversas familias de ransomware e robo de información, como Bianlian, Redline, Meduza y Lumma, algunas de las cuales se han utilizado para atacar a las compañías industriales y de tecnología de defensa de la defensa estadounidense y otras víctimas en todo el mundo.
Además, un informe publicado por el correctiv y el Corio en julio pasado detalló el uso de la infraestructura de Aeza por la operación de influencia pro-rusa denominada Doppelganger. Otro actor de amenaza que ha aprovechado los servicios de Aeza es el nulo Rabisu, el actor de amenazas alineado en Rusia detrás de Romcom Com Rat.
Según Chainalysis, una dirección de criptomoneda de Tron asociada con AEZA Group ha recibido más de $ 350,000 en criptografía y ha cobrado en varias direcciones de depósito en diferentes intercambios. Estas direcciones de depósito también han recibido fondos de un proveedor de DarkNet que vende un malware de robador, Garantex y un servicio de depósito utilizado para vender artículos en una plataforma de juego popular.
«La dirección designada parece funcionar como una billetera administrativa, manejando los efectivo del procesador de pagos, reenviar fondos a varios intercambios y ocasionalmente recibiendo pagos directos por los servicios de AEZA», dijo la compañía.
El desarrollo se produce casi cinco meses después de que el Tesoro sancionó a otro proveedor de servicios de BPH con sede en Rusia llamado Zservers para facilitar los ataques de ransomware, como los orquestados por el grupo Lockbit.
La semana pasada, el Corio también vinculó un proveedor de alojamiento web ruso y proxy llamado Biterika con los ataques distribuidos de denegación de servicio (DDoS) contra dos medios de comunicación rusos y verstka.
Estas sanciones forman parte de un esfuerzo más amplio para desmantelar la cadena de suministro de ransomware al dirigirse a los facilitadores críticos como el alojamiento malicioso, los servidores C2 e infraestructura web oscura. A medida que los actores de amenaza cambian de táctica, el monitoreo de las entidades sancionadas, los puntajes de reputación de IP y las redes resistentes al abuso se están volviendo centrales para las operaciones modernas de inteligencia de amenazas.
