Flambée du scan RDP dans l'AS213438 : analyse des pics de trafic et déplacements géographiques
La surveillance menée par GreyNoise a révélé une concentration inhabituelle de trafic mondial de scan du protocole RDP sur 21 adresses IP appartenant à l'autosystème AS213438, lié à ColocaTel Inc. aux Pays-Bas. Du 5 au 7 avril 2026, ces adresses ont représenté jusqu'à 67,4 % du volume global, indiquant des opérations centralisées de reconnaissance Internet.
Étendue et dynamique des activités de scan
Entre le 5 et le 7 avril 2026, un groupe de 21 adresses IP relevant de l'AS213438 a généré 1,86 million de sessions RDP Crawler. Ce chiffre représente 49,7 % du trafic mondial total durant cette période, atteignant un pic à 67,4 % le 7 avril. À titre de comparaison, les 3 644 autres sources combinées ont produit un volume similaire.
L’activité était concentrée dans quatre blocs /24, principalement à Amsterdam et Lelystad. Au sein de l’AS213438, le trafic quotidien a bondi de 11 fois — passant de 180 000 à 2 millions de sessions — avant de chuter de 99,9 % le 8 avril pour cesser complètement le 9 avril. Un schéma similaire s’était déjà produit en mars 2026.
Le protocole RDP, utilisé pour accéder à distance aux systèmes Windows, reste une porte d’entrée vulnérable. Le scan permet d’identifier les ports ouverts, souvent suivis de tentatives de piratage par force brute. Une telle concentration augmente les risques pour les réseaux d’entreprise exposés à Internet.
Changements géographiques des sources de menace
Début avril 2026, les Pays-Bas ont brièvement dépassé les autres nations en tant que première source de scans RDP. Leur part est passée de 7,17 % à 53,86 %, tandis que la Roumanie est tombée de 29,89 % à 15,78 %. Bien que le volume roumain soit resté stable, l’infrastructure néerlandaise a dominé en raison d’une forte poussée.
- Blocs d’activité clés : Quatre réseaux /24 au sein de l’AS213438
- Contribution maximale : Jusqu’à 85 % du trafic RDP Crawler, atteignant 88 % en incluant d’autres balises liées au RDP
- Comparaison avec mars : Cycle répétitif de hausse brutale puis de silence
- Contexte mondial : 21 IPs contre 3 644 autres sources
Ce changement illustre la mobilité des infrastructures de scan et le rôle croissant des centres de données européens comme hubs pour les opérations cybernétiques automatisées.
Causes et implications pour la sécurité réseau
Ces pics reflètent l’utilisation de ressources cloud pour sonder massivement les réseaux. ColocaTel Inc., enregistrée aux Pays-Bas, propose des services d’hébergement évolutifs. L’augmentation soudaine du trafic suggère une campagne orchestrée, probablement destinée à cartographier des serveurs RDP vulnérables avant exploitation.
Les conséquences incluent une pression accrue sur les systèmes de sécurité : les pare-feux et systèmes IDS/IPS détectent les anomalies, mais la centralisation facilite le blocage. Pour les entreprises, il s’agit d’un signal clair pour auditer les ports RDP exposés et migrer vers des solutions comme les VPN ou les architectures zero-trust. À long terme, ces tendances accélèrent l’évolution des menaces — de la simple reconnaissance à des attaques ciblées de type ransomware.
Contexte plus large : le RDP figure toujours parmi les 10 vecteurs d’attaque principaux selon MITRE ATT&CK. Le volume mondial de scan dépasse plusieurs milliards de sessions par an, ciblant surtout les anciennes versions de Windows non protégées par une authentification multifacteur (MFA).
Points clés à retenir
- Une concentration de 67,4 % du trafic sur seulement 21 IPs dans l’AS213438 redessine la donne des menaces distribuées
- Le modèle récurrent de « flambée puis effondrement » indique une préparation à de futures attaques
- Le changement de leadership vers les Pays-Bas souligne la nécessité de stratégies de blocage géographique
- 85 à 88 % de l’activité est spécifique au RDP, augmentant les risques pour les réseaux Windows
- Recommandation : désactiver l’accès RDP public et mettre en œuvre l’authentification multifacteur
— Editorial Team
Aucun commentaire pour le moment.