03.06.2026
03.06.2026

Die Spur der Phising-Mails: Eine umfassende Analyse von PONYNET (AS53667), FranTech Solutions und BuyVM

daonware 0 Kommentare

Die Spur globaler Phishing-Kampagnen, Ransomeware-Angriffe und krimineller Botnetze führt die IT-Sicherheitsanalysten im Rahmen der digitalen Forensik und Attribuierung immer wieder zu einer hochgradig auffälligen Netzwerkinfrastruktur im autonomen System AS53667, bekannt unter dem Registierungsnamen PONYNET.

Von der Daonware-Redaktion

In Sicherheitslogs, Spam-Filtern und forensischen Berichten taucht dieser Name aufgrund von Tippfehlern, automatischer Texterkennung (OCR) oder fehlerhaft ausgelesen Logdateien auch extrem häufig in der Falschschreibweise PANYNET auf. Für Administratoren ist es daher entscheidend zu wissen: Wer nach „PANYNET“ sucht, landet unweigerlich bei der Infrastruktur von PONYNET. Dieses Netzwerk steht im Zentrum einer tiefgehenden Debatte über die Grenzen von digitaler Meinungsfreiheit, die Definition von „Bulletproof Hosting“ und die nationalen Sicherheitsrisiken durch verdeckte Eigentümerstrukturen. Der folgende Bericht analysiert die Struktur der Betreiberfirmen, deren Historie, die technischen Spezifikationen des Netzwerks sowie die massiven Missbrauchsmuster im Microsoft-Ökosystem und die rechlichen Kosequenzen.

1. Unternehmensprofil und strukturelle Verflechtung: FranTech, BuyVM und PONYNET

Hinter den im Zentrum globaler Phising-Wellen stehenden IP-Adressen verbirgt sich ein eng verflochtenes Geflecht aus Marken und Infrastrukturen, die im Wesentlichen von einer einzigen Entität kontrolliert werden.

FranTech Solution agiert als die übergeordnete Betreibergesellschaft und administrative Hülle der gesamten Infrastruktur. Das Unternehmen wurde am 03. Juli 2007 von Francisco Humberto Dias als registiertes Einzelunternehmen (Sole Proprietorship) in British Columbia, Kanada, gegründet.

Kostenloses Bild von Pixabay (https://pixabay.com/de/photos/tourismus-saum-british-columbia-2650818/)

Um die physische Serverinfrastruktur kommerziell an Endkunden zu vertreiben, gründete Fancisco Dias im Jahr 2010 die Marke BuyVM. Während FranTech die Verträge mit Carriern zeichnet und den IP-Adressraum verwaltet, verkauft BuyVM günstige virtuelle private Server (VPS) auf Basis von KVM- oder OpenVZ-Virtualisierung. PONYNET wiederum ist lediglich der offizielle Registierungsname (Netname) des von FranTech Solutions genutzten autonomen Systems AS53667, über das der gesamte Datenverkehr abgewickelt wird. Es handelt sich folglich um ein und dieselbe physische und logische Infrastruktur.


Entität / Marke		Funktionen im NetzwerkGründungsdatum / RegistierungPrimärer Hauptsitz
FranTech SolutionsMuttergesellschaft & Vertragspartner für IP-Ressourcen03. Juli 2007Victoria, British Columbia, Kanada
BuyVMKommerzielle Vertriebsmarke für VPS und Speicherprodukte2010USA / Kanada
PONYNET (oft falsch als
PANYNET erfasst)		Registierter Netzwerkname des autonomen Systems AS5366719. November 2010Verwaltet via ARIN (USA)
2. Praxis-Fallstudie: Eine typische Phishing-Welle im Labor

Um die Rolle von AS53667 in der Praxis zu verstehen, hilft der Blick auf eine typische Phishing-Kampagne, die wir im Rahmen unserer Sicherheitsanalyse untersucht haben.

Live-Analyse: Wie Betrüger mit verzögerten E-Mails Passwörter fischen

Im Zuge einer standardmäßigen Untersuchung von Spam-Mails stießen wir auf eine täuschend echt gestaltete Benachrichtung über eine angeblich „ausstehende Zahlung“. Der E-Mail angehängt war eine manipulierte Microsoft-Excel-Datei. Bei der dynamischen Analyse in unserer Sandbox-Umgebung sowie der Auswertung der Netzwerkverbindungen über Werkzeuge wie urlscan.io zeigte sich das klassische Muster:

Das Dokument forderte den Anwender auf, Makros zu aktivieren. Sofort nach der Freigabe intiierte der im Hintergrund ablaufende VBA-Code einen direkten HTTP-Download einer Schaddatei von der IP-Adresse 205[.]185[.]118[.]52

Eine einfache Whois- und BGP-Abfrage dieser IP-Adresse fürt uns ohne Umweg zu AS53667 (PONYNET/FranTech).

Copyright fromsalih (https://pixabay.com/de/photos/trojanisches-pferd-skulptur-monument-6665057/)

Auf der Zielseite wurde im Hintergrund ein BitRAT-Trojaner nachgeladen, der in der Lager ist, Passwörter abzugreifen und Mikrofonaufnahmen anzufertigen. Da im Makro-Code direkt die IP-Adresse statt einer Domain hartcodiert war, liefen gängige DNS-basierte Schutzfilter vollständig ins Leere.

3. Das Geschäftsmodell: Funktionsweise des „Bulletproof Hosting“

In der Sicherheitsgemeinschaft werden FanTech Solutions und BuyVM standardmäßig als sogenannten „Bulletproof Hosting“-Anbieter eingestuft. Unter diesem Begriff versteht man Web- und Serverhoster, die ihre Kunden eine außergewöhnlich weitreichende Nachsicht bezüglich der auf ihren Server abgelegten Inhalten und durchgeführten Aktivitäten gewähren.

Mechanismen des Bulletproof Hostings bei FranTech

Während reguläre Hyperscaler wie Microsoft Azure oder AWS bei Missbrauchsmeldungen (Abuse-Meldungen) Konten innerhalb kürzester Zeit sperren, zeichnet sich die Geschäftsstrategie von FanTech durch folgende Taktiken aus:

Ignorieren von Takedown-Anfragen:

Das Unternehmen reagiert auf Standard-Abuse-Meldungen, DMCA-Urheberrechtsbeschwerden oder Warnungen von IT-Sicherheitsfirmen extrem verzögert oder gar nicht. Die Missbrauchs-E-Mails und Telefonnummern laufen laut Administratorberichten faktisch ins Leere.

Keine Identitätsprüfung (Anonymitätsgarantie):

FranTech und das angeschlossene Ökosystem verlangen beim Kauf von Servern keine Identitätsnachweise (Know-Your-Customer/KYC). Kunden können sich anonym registieren und Dienstleistungen ausschließlich über schwer rückverfolgbare Kryptowährungen wie Bitcon, Monero oder Zcash zahlen.

Rechtliche Grauzonen-Nutzung:

Das Unternehmen erlaubt explizit den Betrieb von Anonymisierungsdiensten wie Tor-Exit-Nodes. Zwar fordern die Nutzungsbedingungen, das Tor-Exit-Nodes den Port 22 blockieren müssen, um SSH-Angriffe zu erschweren, doch die generelle Duldung führt zu einer massiven Konzentration von bösartigem Hintergrundrauschen im Netzwerk.

Das offizielle Dienstleistungsportfolio

BuyVM vermarket dedizierte KVM-Virtual-Server zu Preisen, die weit unter dem Marktdurchschnitt liegen, gepaart mit unbegrenztem Datenverkehr (Unmetered Bandwidth), Anycast-Routing und dem hauseigenen Administrationspanel „Stallion“. Nach der Übernahme durch Cloudzy AI im Jahr 2025 wurde das Portfolio drastisch in den High-Performance-Bereich ausgeweitet. Nun werden auch GPU- beschleunigtes KI-Rendering, AI-optimierte VPS mit vorinstallierten Machine-Learning-Stacks sowie spezialisierte Remote-Desktop-Umgebungen (RDP) für automatisierte Bots und Devisenhandel (Forex) angeboten.

KriteriumStandard-Hoster (z.B. AWS, OVH)FranTech / BuyVM (Bulletproof-Modell)
Identitätsprüfung (KYC)Streng, of Kreditkarten- oder AusweisvorlageKeine Prüfung, E-Mail-Adresse ausreichend
ZahlungsmethodenKreditkarte, Bankeinzug, PayPalKreditkarte, PayPal, anonyme Kryptowährungen (Monero, Bitcoin, Zcash)
Reaktion auf Abuse-MeldungSchnelle Kontosperrung bei Malware-VerdachtIgnorieren oder minimale administrative Reaktion
Inhaltliche ToleranzStrikte Einhaltung von Urheberrechten & Sicherheitsregeln„Law of the Land“ – Grauzonen und Tor-Exit-Nodes geduldet
4. Chronologie: Gründung und der Beginn der negativen Auffälligkeiten

2007 – 2010

Die Gründungsphase

Nachdem Francisco Dias das Unternehmen FranTech Solutions 2007 in Kanada angemeldet hatte, lag der Fokus zunächst auf dem Aufbau günstiger Virtualisierungsinfrastruktur. Mit dem offiziellen Start von BuyVM und der Zuweisung des autonomen Systems AS53667 am 19. November 2010 begann die weltweite Vermarktung.

Ab 2016

Der Eintritt in den kriminellen Fokus

Die erste signifikante, wenn auch verdeckte Rolle im cyberkriminellen Untergrund spielte FanTech um das Jahr 2016. Während der Hochphase des Mirai-Botnetzes wurde Fancisco Dias direkt von dem legendären Mirai-Entwickler unter den Pseudonymen „OG_Richard_Stallman“ und „jorgenmichaels“ kontaktiert und die Infrastuktur von FranTech gezielt angegriffen und für kriminelle Zwecken getestet.

2018 – 2019

Die systematische Offenlegung

Zwischen Mai 2018 und März 2019 führten die IT-Sicherheitsfirmen Bromium und HP Thread Research eine tiefgehende Analyse durch, die PONYNET endgültig als globalen Malware-Verteiler entlarvt. Die Forscher wiesen nach, dass über die Server in Las Vegas systematisch Banking-Trojaner wie Dridex und IcedID sowie Randsomware-Familien verteilt wurden. Aufgrund der identischen Softwarekonfigurationen der Server (Standard-Installation von CentOS und Apache) und der Trennung von Command-and-Control-Server (C2) und Verteilungs-Inftrastruktur stuften die Forscher das Netzwerk als integralen Bestandteil des berüchtigten Necurs-Botnetzes ein. Zur selben Zeit geriet die Firma politisch in die Kritik, das sie dem verbannten Neonazi-Portal The Daily Stormer Asyl bot.

5. Technische Spezifikationen: Was versteht man unter AS53667?

Aus netzwerktechnischer Sicht ist das autonome System AS53667 (PONYNET) das Routing-Gefäß, das die IP-Adressbereiche von FranTech in globalen Internet ankündigt.

IP-Adresskapazitäten:

AS53667 verwaltet aktuell 34.304 IPv4-Adressen (verteilt auf 132/24er-Blöcke) sowie einen astronomischen IPv6-Adressbereich. Auf dieser Netzwerkinfrastruktur sind zu Spitzenzeiten über 270.000 Domains aufgeschaltet.

Upstream-Routing und Peering:

Um eine hohe Ausfallsicherheit und globale Konnektivität zu garantieren, nutzt AS53667 erstklassige Transit-Provider wie Conget Communication (AS174), Hurricane Electric (AS6963) und Path Network (AS396998). Das System betreibt öffentliches Peerin an großen Internet-Knotenpunkten wie dem FL-IX (Florida) und dem NYIIX (New York).

Geografische Verteilung:

Die physische Hardware von BuyVM ist in mehreren stategischen Rechenzentren untergebracht, darunter Fiberhub LAS1 in Las Vegas, Telehouse in New York (State Island) und Standort in Miami. Ein europäischer Standort in Bissen, Luxemburg (LuxConnect DC2), wurde aufgrund von Wartungsproblemen und unzuverlässigen Dienstleistern Ende 2025/Anfang 2026 aufgegeben und in die Niederlange verlagert.

6. Die Verbindung zu Microsoft-Infrastukturen und Phising-Kampagnen

Die Erwähnung von „PonyNet unter Microsoft“ in Sicherheitsanalysen beruht auf zwei spezifischen, hochgradig problematischen Interaktionen zwischen der AS53667-Infrastruktur und Microsoft-Produkte bzw. -Kunden.

Copyright madartzgraphics (https://pixabay.com/de/illustrations/internet-sicherheit-1805632/)

Password-Spray-Angriffe auf Azure Active Directory

Systemadministratoren melden fortlaufend massive, koordinierte Brute-Force- und Password-Spray-Angriff auf Microsoft-Cloud-Infrastrukturen, die direkt aus dem IP-Bereichen von AS53667 (PONYNET) stammen. Das primäre Ziel dieser Angriffe ist der Zugriff auf den Azure Resource Manager von Unternehmenskunden.

Da PONYNET jedoch auch von legitimen Akteuren – wie dem datenschutzfreundlichen Mobilbetriebssystem GraphenOS für deren europäiscehn Server-Spiegelungen – genutzt wird, weigert sich Microsoft, das gesamte autonome System AS53667 pauschal auf globaler Ebene zu blockieren.

Ein solches Vorgehen würde unverhältnismäßige Kollateralschäden verursachen. Microsoft rät Administratoren stattdessen, die Angriffe lokal über Azure-Firewalls zu blockieren und im Security Information and Event Management (SIEM) über Microsoft Sentinel KQL-Abfragen zu etablieren, um Anmeldeversuche aus diesem ASN automatisch zu isolieren.

Phising-Kampagne mit Microsoft Office Droppern

Die zweite gravierende Verbindung betrifft die direkte technische Ausnutzung von Microsoft-Dateiformaten zur Malware-Verbreitung über PONYNET-Server. Anstatt eine leicht zu blockierend Domain anzusteuern, enthalten die VBA-Makros in den Office-Dokumenten hartcodierte IP-Adressen aus dem Netzt von AS53667. Das Makro lädt über diese direkte IP-Verbindung im Hintergrund die eigentliche Schadsoftware (z.B. BitRAT oder Dridex) herunter. Da kein DNS-Lookup stattfindet, versagen traditionelle DNS-basierte Filtermechanismen vollständig.

7. Rechtliche Auseinandersetzungen, Ermittlungen und behördliche Reaktionen

Lokale Strafverfolgung, das FBI und zivilrechtliche Klagen

Berichte aus Administatorenkreisen zeigen, dass lokale Polizeibehörden, wie die Ottawa Police Cyber Crime Unit in Kanada, bei Betrugsmeldungen gegen FranTech aufgrund mangelnder Ressourcen oder fehlenden Interesse nicht eingriffen. Da FranTech jedoch physische Server und Personal in Las Vegas (Nevada) und New York betreibt, eröffnete das FBI Ermittlungsverfahren wegen betrügerischer Aktivität und Bombendrohungen, die über PONYNET-Netzwerk geleitet wurde.

Darüber hinaus geriet die Firma auch in den Fokus internationaler Konzerne. So reichte die südkoreanische Spielefirma Nexon Korea Corp. Klage neim Supreme Court of British Columbia gegen Fancisco Dias (handelnd als FranTech Solutions) ein, da Hacker über die Infrastruktur systematisch Uhrheberrechte am Onlinespiel MapleStory verletzten.

Kostenloses Bild von PixaBay (Author: OpenClipart-Vector) https://pixabay.com/de/vectors/leibw%C3%A4chter-polizei-detektiv-agent-145447/

Die Urheberrechtsklare (Van Stry v. McCrea & Dias)

Im März 2019 wurde FranTech im Rahmen einer zivilrechtlichen Klage in Eastern District of Texas schwer getroffen. Der US-amerikanische Author John Van Stry verklagte Travis Robert McCrea und Francisco Dias (als Inhaber von FranTech Solutions). McCrea betrieb die illegale E-Book-Piraterie-Plattform eBook.Bike, die auf den Servern von FranTech gehostet wurden. FranTech hatte über Jahre hinweg sämtliche Takedown-Aufforderungen des Autors ignoriert. Das Verfahren endete im April 2020 mit einem Versäumnis- und summarischen Urteil gegen McCrea, der zu Schadenersatz verurteilt wurde. Der Fall legte jedoch offen, wie FanTech systematisch als Schutzschild für Urheberrechtsverletzer agierte.

Hier geht es zum Urteil: https://de.scribd.com/document/403740724/1-main

Bild von Clker-Free-Vector-Images auf Pixabay

Regulatorischer Druck der US-Regierung

Die US-amerikanischen Musik- und Verlagsverbände wie die RIAA und die IIPA führen FranTech Solutions in ihren jährlichen Berichten an die US-Handelsbeauftragte (USTR) als extrem schädlichen Akteur. Sie fordern kontinuierlich die Aufnahme von FranTech in die offizielle Liste der brüchtigsten Piraterie-Märkten (Noturious Markets List), da das Unternehmen durch extreme Nachsicht bewusste Beihilfe zur Internetkriminalität leistet.

RIAA also raised concerns about bulletproof ISPs that fail to respond to notices of infringement. These sites include PRQ, FlokiNET, and Frantech Solutions.

https://iipa.org/files/uploads/2025/01/IIPA_2024-Notorious-Markets.pdf
8. Wandel der Geschäftsführung und geopolitische Sicherheitsrisiken

Die administative Kontrolle über FranTech Solution war über fast Jahrzehnte hinweg extrem stabil, erlebte jedoch Anfang 2025 eine dramatische Wende, die das Sicherheitsrisiko der Infrastruktur auf eine geopolitische Ebene hob.

2007 – 2025

Die Ära Francisco Dias

Seit der Gründung im Jahr 2007 lag die operative Führung als Sole Proprietor vollständig bei Francisco Humberto Dias.

Hinweis zur Vermeidung von Verwechslungen: In älteren Datenbanken tauchen gelegentlich Namen wie Rob Lancit (Gründer), David Baker (Präsident) oder Phillip Nadeau (CEO) im Zusammenhand mit einer Firma namens „FranTech“ auf. Hierbei handelt es sich m die kanadische Franchise-Marketingfirma FranTech Media (Betreiber von BeTheBoss.ca), die in keinerlei Verbindung zu Francisco Dias oder dem Hosting-Provider FranTech Solutions steht.

Januar 2025

Die Übernahme durch Cloudzy AI

Am 06. Januar 2025 wurde BuyVM offiziel von dem Cloud-Provider Cloudzy AI übernommen. Francisco Dias begründete den Schritt damit, sich auf sein neues Registrat-Projekt NameCrane konzentrieren zu wollen, verblieb jedoch als technischer Infrastrukturexperte im Unternehmen. Neuer geschäftsführender CEO von BuyVM und Hüter des AS53667 wurde der Gründer von Cloudzy, Hannan Nozari.

Geopolitische Implikationen der neuen Eigentümerstruktur

Die Übernahme durch Hannan Nozari stellt eine massive Verschärfung der globalen Bedrohungslage dar. Cloudzy AI (ehemals RouterHosting LLC) wurde in einer großangelegten Untersuchung der Sicherheitsfirma Halcyon im August 2023 als de-facto-Frontorganisation für den iranischen Internetdienstleister abrNOC mit Sitz am Fatemi Square in Teheran, Iran, entlarvt.

Mitarbeiter-Crossover:

Halcyon wies nach, dass die auf der Website von Cloudzy präsentierten Mitarbeiterprofile größtenteils gefälscht waren und die tatsächlichen technischen Administration von abrNOC-Angestellten in Teheran durchgeführt wurden.

C2-Provider für Nationalstaaten:

Cloudzy diente nachweislich als primärer Command-and-Control-Provider (C2P) für mindestens 17 staatlich gelenkte APT-Hacker-Gruppen aus dem Iran, China, Russland, Nordkorea, Indien, Pakistan und Vietnam. Zudem hostete Cloudzy staatlich sanktionierte Spyware-Anbieter wie das israelische Unternehmen Candiru.

Sanktionsverstoß:

Hannan Nozari bestritt die Vorwürfe zwar und behauptete, außerhalb des Irans (in Dubai) zu leben, löste jedoch kurz nach Bekanntwerden des Berichts seine US-Firma in Wyoming auf.

Mit dem Kauf von BuyVM im Januar 2025 erlangte diese mutmaßlich vom iranischen Staat beeinflusste und kontrollierte Entität direkten Zugriff auf das saubere, unblockierte autonome System AS53667 (PONYNET). Dies ermöglicht es staatliche Akteure und Ransomware-Gangs, ihre C2-Infastruktur physisch auf US-amerikanischen Boden zu betreiben und Angriffe direkt aus amerikanischen Rechenzentren heraus zu steuern, während sie gleichzeitig unter dem Deckmantel von Cloudzy AI US-Sanktionen umgehen.

9. Fazit und defensive Handlungsempfehlungen

Die Zusammenführung der für ihre laxe Abuse-Politik bekannten POLYNET-Infrastuktur mit den verdeckten, iranisch kontrollierten Strukturen von Cloudzy AI macht das autonome System AS53667 zu einem der riskantesten Netzwerke im heutigen Internet. Da von den Betreibergesellschaften keinerlei Kooperation bei der Missbrauchsbekämpfung zu erwarten ist, müssen Verteidiger in Enterprise-Netzwerken proaktive Schutzmaßnahmen ergreifen.

Abwägung von Kollateralschäden: Warum ein pauschaler Block gefährlich ist

Obwohl die Versuchung groß ist, das gesamte AS53667 am Netzwerkperimeter (Firewall, WAF) zu sperren, warnen Experten eindringlich von einem pauschalten Block. Pber die Server von BuyVM laufen auch hochgradig legitime, datenschutzfreundliche Open-Source-Infastrukturen. Beispielsweise nutzt das renommierte Mobilbetriebssystem GrapheneOS diese Netze für seine europäischen Server-Spiegelungen und kritische Konnektivitätsprüfungen (Captive-Portal-Checks). Ein kompletter ASN-Block würde im Unternehmen dazu führen, dass GrapheneOS-Geräte fälschlicherweise Offline-Zustände melden oder keine Updates mehr beziehen können.

Der präzisere Weg: KQL-Monitoring in Microsoft Sentinel

Statt einer pauschalten Sperre sollten SOC-Teams auf granulare Erkennung setzen. Die folgende KQL-Abfrage identifiziert gezielt verdächtige Anmeldeversuche (z.B. fehlgeschlagene Anmeldungen oder Password-Sprays auf den Azure Resource Manager), die direkt aus dem autonomen System AS53677 initiiert werden:

// KQL-Abfrage zur Erkennung von Missbrauch aus AS53667 (PONYNET)
SigninLogs
| extend ASN = tostring(NetworkDetails.asn)
| where ASN == "53667" or IPAddress startswith "198.251." or IPAddress startswith "205.185." or IPAddress startswith "107.189."
| where ResultType!= 0 // Filtert nur fehlgeschlagene Anmeldeversuche heraus
| summarize FailedAttempts = count() by IPAddress, UserPrincipalName, Location, ResultType
| order by FailedAttempts desc

Weitere Empfehlungen für das Security Operations Center (SOC)

  1. Erkennung von IP-basierten Word-Droppern: E-Mail-Gateway-Filter müssen so kalibriert werden, dass sie eingehende Makro-Dokumente blockieren, die direkt auf IP-Adressen (statt auf registierte Domains) verweisen, insbesondere wenn diese IPs im Adressraum von FranTech liegen (z.B. IP-Bereiche beginnend mit 192.251.x.x oder 205.185.x.x)
  2. Überwachung von Cloudzy-RDP-Hostnames: Da Angreifer die RDP-Infrastruktur von Cloudzy für laterale Bewegungen nutzen, müssen DNS- und Verbindungslogs auf die von Sicherheitsfirmen publizierten RDP-Hostnames und Indikatoren (IoCs) hin überwacht werden.
10. Indicators of Compromise (IoCs)

Hier ist eine Zusammenstellung relevanter Indikatoren zur Erkennung und Abwehr von Aktivitäten aus dem AS53667-Netzwerk. Diese Liste kann direkt in Firewalls, SIEM-Systeme oder Threat-Intelligence-Plattformen exportiert werden.

Autonomes System (ASN)

  • ASN: AS53667
  • Registrierter Name: PONYNET (In Logs häufig auch fälschlicherweise als PANYNET deklariert)    

Typische IP-Subnetze (FranTech / BuyVM)

  • 198.251.80.0/20 (Hauptnetzwerkbereich Francisco Dias)    
  • 205.185.112.0/20 (Umfasst hochfrequentierte Malware-Staging-Server)    
  • 107.189.0.0/16 (Umfasst europäische Hoster-Verbindungen)    
  • 209.141.32.0/19 (US-West-Infrastruktur Las Vegas)    

Spezifische bösartige IPs (Fallbeispiele & Kampagnen)

  • 205.185.118.52 (BitRAT-Kampagne via manipulierter Excel-Tabellen)    
  • 205.185.116.233 (Operationelle Infrastruktur von LockBit 5.0 / DDoS Protection)    
  • 107.189.14.16 (GrapheneOS Spiegelserver-IP – Achtung: Whitelist-Kandidat zur Vermeidung von False Positives!)    

Bekannte Schadsoftware-Familien im AS53667

  • Dridex (Banking-Trojaner)    
  • IcedID (Information Stealer)    
  • BitRAT (Remote Access Trojaner)    
  • LockBit 5.0 (Ransomware-Leaksite & RDP-Schnittstellen)    
Referenzen
  1. Honeypot Journals Part II: Attacks on Residential Endpoints – CUJO AI, Zugriff am Juni 3, 2026, https://cujo.com/blog/honeypot-journals-part-ii-attacks-on-residential-endpoints/
  2. Threat Hunting via Autonomous System Numbers (ASN) | by Sergio Albea | Detect FYI, Zugriff am Juni 3, 2026, https://detect.fyi/threat-hunting-via-autonomous-system-numbers-asn-99e038df235a
  3. Multiple Active Phishing Campaigns From Bulletproof Infrastructure With Ties to Iranian APTs – Security Risk Advisors, Zugriff am Juni 3, 2026, https://sra.io/blog/multiple-active-phishing-campaigns-from-bulletproof-infrastructure-with-ties-to-iranian-apts/
  4. Acceptable Use Policy – BuyVM, Zugriff am Juni 3, 2026, https://buyvm.net/acceptable-use-policy/
  5. IT Betrügereien verwenden als Schaltzentrale häufig US …, Zugriff am Juni 3, 2026, https://www.itexperst.at/it-betruegereien-verwenden-als-schaltzentrale-haeufig-us-datenzentren-12622.html
  6. IP Addresses moved to PONYNET-11 / FranTech Solutions · Issue #30 · GrapheneOS/infrastructure – GitHub, Zugriff am Juni 3, 2026, https://github.com/GrapheneOS/infrastructure/issues/30
  7. BuyVM Review: $2/Month VPS with Unmetered Bandwidth, Free DDoS Filtering & Block Storage – GitHub Gist, Zugriff am Juni 3, 2026, https://gist.github.com/uvud153/1e22c4552745850d61fc8e6b7373659d
  8. Copyright Infringement Case Against Frantech | PDF – Scribd, Zugriff am Juni 3, 2026, https://www.scribd.com/document/403740724/1-main
  9. Meet Francisco. – BuyVM, Zugriff am Juni 3, 2026, https://buyvm.net/about-buyvm/
  10. BuyVM Review – VPSBenchmarks, Zugriff am Juni 3, 2026, https://www.vpsbenchmarks.com/hosters/buyvm
  11. AS53667 FranTech Solutions AS details – IPinfo, Zugriff am Juni 3, 2026, https://ipinfo.io/AS53667
  12. AS53667 Frantech Solutions details – Ipregistry, Zugriff am Juni 3, 2026, https://ipregistry.co/AS53667
  13. AS53667 Overview – Cloudflare Radar, Zugriff am Juni 3, 2026, https://radar.cloudflare.com/as53667
  14. NFT Lure Used to Distribute BitRAT | FortiGuard Labs – Fortinet, Zugriff am Juni 3, 2026, https://www.fortinet.com/blog/threat-research/nft-lure-used-to-distribute-bitrat
  15. Bromium finds collection of US web servers used for malware distribution, Zugriff am Juni 3, 2026, https://threatresearch.ext.hp.com/mapping-malware-distribution-network/
  16. Servers Discovered With Multiple Malware Families, Staged & Ready to Launch, Zugriff am Juni 3, 2026, https://www.darkreading.com/application-security/servers-discovered-with-multiple-malware-families-staged-ready-to-launch
  17. Abuse from ASN 53667 (PonyNet) – Microsoft Q&A, Zugriff am Juni 3, 2026, https://learn.microsoft.com/en-gb/answers/questions/5546132/abuse-from-asn-53667-(ponynet)
  18. Hosting Provider Accused of Facilitating Nation-State Hacks – BankInfoSecurity, Zugriff am Juni 3, 2026, https://www.bankinfosecurity.com/hosting-provider-accused-facilitating-nation-state-hacks-a-22710
  19. FOR IMMEDIATE RELEASE – BuyVM joins Cloudzy AI! – LowEndSpirit, Zugriff am Juni 3, 2026, https://lowendspirit.com/discussion/8949/for-immediate-release-buyvm-joins-cloudzy-ai
  20. FOR IMMEDIATE RELEASE – BuyVM joins Cloudzy AI! – LowEndTalk, Zugriff am Juni 3, 2026, https://lowendtalk.com/discussion/201647/for-immediate-release-buyvm-joins-cloudzy-ai
  21. About Cloudzy · Independent cloud infrastructure since 2008, Zugriff am Juni 3, 2026, https://cloudzy.com/about-us/
  22. ‚Who Is Anna-Senpai Mirai?‘ Story Glossary – Krebs on Security, Zugriff am Juni 3, 2026, https://krebsonsecurity.com/who-is-anna-senpai-mirai-story-glossary/
  23. AS53667 FranTech Solutions – BGP.Tools, Zugriff am Juni 3, 2026, https://bgp.tools/as/53667
  24. AS53667 – FranTech Solutions – PeeringDB, Zugriff am Juni 3, 2026, https://www.peeringdb.com/net/19849
  25. If I had a datacenter, I might be more amused : r/sysadmin – Reddit, Zugriff am Juni 3, 2026, https://www.reddit.com/r/sysadmin/comments/qb3l23/if_i_had_a_datacenter_i_might_be_more_amused/
  26. Stry v McCrea et al, No. 2:2019cv00104 – Document 64 (E.D. Tex. 2020) – Justia Law, Zugriff am Juni 3, 2026, https://law.justia.com/cases/federal/district-courts/texas/txedce/2:2019cv00104/188670/64/
  27. Here’s the list of music piracy sites being watched by the US government, and what they do, Zugriff am Juni 3, 2026, https://www.musicbusinessworldwide.com/heres-the-list-of-music-piracy-sites-being-watched-by-the-us-government-and-what-they-do/
  28. October 16, 2024 Filed via www.regulations.gov, Docket No. USTR-2024-0013-0001 Daniel Lee Assistant U.S. Trade Representative fo – International Intellectual Property Alliance, Zugriff am Juni 3, 2026, https://iipa.org/files/uploads/2025/01/IIPA_2024-Notorious-Markets.pdf
  29. Tech CEO Pleads to Wire Fraud in IP Address Scheme – Krebs on Security, Zugriff am Juni 3, 2026, https://krebsonsecurity.com/2021/11/tech-ceo-pleads-to-wire-fraud-in-ip-address-scheme/
  30. Active Phishing Campaign on Hosting Infrastructure with Alleged Links to Iranian State Aligned Activity – Flare, Zugriff am Juni 3, 2026, https://flare.io/learn/resources/blog/phishing-campaign-hosting-infrastructure-alleged-links-iranian-state-aligned-activity
  31. FranTech International Licensing, Inc. Executives & Employees – PR.com, Zugriff am Juni 3, 2026, https://www.pr.com/company-profile/employees-list/3174
  32. BeTheBoss.ca Teams Up With Zoracle Profiles to Offer Franchise Matchmaking – ProQuest, Zugriff am Juni 3, 2026, https://www.proquest.com/trade-journals/betheboss-ca-teams-up-with-zoracle-profiles-offer/docview/1529138509/se-2
  33. Terms of Service – BuyVM, Zugriff am Juni 3, 2026, https://buyvm.net/terms-of-service/
  34. Cloudzy with a Chance of Ransomware – Halcyon, Zugriff am Juni 3, 2026, https://go.halcyon.ai/rs/401-WCH-435/images/Halcyon_Cloudzy_C2P_Report.pdf?version=0
  35. Iran-Run ISP ‚Cloudzy‘ Caught Supporting Nation-State APTs, Cybercrime Hacking Groups, Zugriff am Juni 3, 2026, https://www.securityweek.com/iran-run-isp-cloudzy-caught-supporting-nation-state-apts-cybercrime-hacking-groups/
  36. US internet hosting company appears to facilitate global cybercrime, researchers say, Zugriff am Juni 3, 2026, https://cyberscoop.com/internet-hosting-company-global-cybercrime-cloudzy/
  37. Corporate Transparency Act in Limbo: The National Security Risks of Anonymous Shell Companies – Irregular Warfare Initiative, Zugriff am Juni 3, 2026, https://irregularwarfare.org/articles/corporate-transparency-act-in-limbo-the-national-security-risks-of-anonymous-shell-companies/
  38. 198.251.89.118 | Cheyenne, AS53667, VPN Not Detected – IPinfo, Zugriff am Juni 3, 2026, https://ipinfo.io/198.251.89.118
  39. Cyber Security Weekly Briefing, 6-12 December – Telefónica Tech, Zugriff am Juni 3, 2026, https://telefonicatech.com/en/blog/cyber-security-briefing-6-12-december-2025

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert