Je vois qu'il y a plusieurs IP qui utilisent Apt-Cacher NG (https://www.unix-ag.uni-kl.de/~bloch/acng/), pour maintenir des caches locaux (peut-être des entreprises).
Le code change beaucoup en fonction des versions, je n'ai pas regardé pour celles utilisées ici.
Sur les versions les plus récentes, j'ai l'impression qu'il y a un bug dans le cache.
https://salsa.debian.org/blade/apt-cacher-ng/-/blob/upstream/sid/src/caddrinfo.cc#L427
Au moment de faire la requête, le code ne vérifie pas l'expiration de son cache DNS.
Le seul endroit où elle est testée c'est CAddrInfo::clean_dns_cache, appelé juste avant d'ajouter une nouvelle entrée dans le cache.
Bref, j'ai l'impression qu'il va garder les IP des derniers serveurs contactés tant qu'il n'y a pas de nouveau nom de domaine utilisé (un client qui ajoute une repo APT, ou un nouveau client utilisant un miroir différent).

Pour check_http (monitoring-plugins), le code utilise getaddrinfo, donc soit les utilisateurs ont forcé l'IP quelque part (la configuration de l'outil, /etc/hosts, ...), soit il y a un résolveur DNS ou un proxy avec un bug dans la gestion du cache.
Pour "Debian APT-HTTP/1.3", c'est probablement le client apt officiel, donc je pense que c'est similaire.

Pour Apt-Cacher NG, il est peut-être possible de débloquer la situation en mettant une redirection HTTP 301 vers ubuntu.lafibre.info sur l'ancien serveur.
Ça déclencherait une nouvelle requête DNS, et avec le code actuel ça devrait vider le cache (à voir avec les anciennes versions).

Dans les autres cas, si c'est un proxy ça pourrait aider, sinon je pense qu'on ne peut rien faire.

Je vois qu'il y a plusieurs IP qui utilisent Apt-Cacher NG (https://www.unix-ag.uni-kl.de/~bloch/acng/), pour maintenir des caches locaux (peut-être des entreprises).

Pour information, les statistiques présentées dans le tableur ne prenait pas en compte les requêtes Apt-Cacher qui étaient j’avais exclut comme tout ce qui n'est pas un user-agent Ubuntu.

C'est également le cas pour les statistiques sur le serveur de prod ( https://ubuntu.lafibre.info/stats/stats_of_day-1.html?version=last ) et à partir de demain les requêtes Apt-Cacher NG seront rajoutées dans ces stats quotidiennes.

Pour Apt-Cacher NG, il est peut-être possible de débloquer la situation en mettant une redirection HTTP 301 vers ubuntu.lafibre.com sur l'ancien serveur.
Ça déclencherait une nouvelle requête DNS, et avec le code actuel ça devrait vider le cache (à voir avec les anciennes versions).

J'ai mis en place la redirection 301 sur l'ancien serveur.

J'ai logué les requêtes 301, donc je vais voir si au-delà de 24h cela fait diminuer les requêtes sur le serveur.

Surprise : aucune AS Française et certains AS qui ont plusieurs IP, dans des plages qui sont censés être dans des pays différents :

Le mot le plus important c'est "censés" 
Parce que dans les faits, pour les multinationales, j'ai vu des /8 "américaines" en Europe.
J'ai même un exemple ou après des rachats de sociétés, une multinationale avait des IP sur tous les aéroports Européens attribuées à un prestataire américain.
Aller trouver des machines mal configurées dans certains AS, t'es pas sorti de l'auberge.

Je vois qu'il y a plusieurs IP qui utilisent Apt-Cacher NG (https://www.unix-ag.uni-kl.de/~bloch/acng/), pour maintenir des caches locaux (peut-être des entreprises).
Le code change beaucoup en fonction des versions, je n'ai pas regardé pour celles utilisées ici.
Sur les versions les plus récentes, j'ai l'impression qu'il y a un bug dans le cache.
Au moment de faire la requête, le code ne vérifie pas l'expiration de son cache DNS.

Ça rappelle le code naïf de ntpd qui –dans d'anciennes versions– ne résolvait les FQDN qu'une fois pour toutes au lancement du service 

ça pourrait pas être des dnsmasq, pihole, ou autre programme de cache DNS en version obsolète ou buggé ou mal configuré, qui pourrait toujours répondre la même IP ?

Il y a une dizaine d'années j'ai ainsi dégagé PowerDNS Recursor dont le cache était buggé à mort avec certains enregistrements qui devenaient éternels (et c'était pas sur de la box clients).

Ceci étant dit il suffit de lire les release notes des récurseurs habituels du marché pour voir que les caches qui déconnent, ça arrive de temps en temps chez tout le monde.