Los investigadores de seguridad cibernética han revelado un aumento en la «exploración masiva, el forzamiento bruto de credencial y los intentos de explotación» originados por direcciones IP asociadas con un proveedor de servicios de alojamiento a prueba de balas ruso renombrado Proton66.
La actividad, detectada desde el 8 de enero de 2025, se dirigió a organizaciones en todo el mundo, según un disección de dos partes publicado por TrustWave SpiderLabs la semana pasada.
«Los bloqueos netos 45.135.232.0/24 y 45.140.17.0/24 fueron particularmente activos en términos de escaneo masivo e intentos de fuerza bruta», dijeron los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz. «Varias de las direcciones IP ofensivas no se consideraron previamente involucradas en actividades maliciosas o estaban inactivas durante más de dos primaveras».
Se evalúa que el sistema autónomo ruso proton66 está vinculado a otro sistema autónomo llamado Prospero. El año pasado, la firma de seguridad francesa Intrinsec detalló sus conexiones con los servicios a prueba de balas comercializados en los foros de delitos cibernéticos rusos bajo los nombres Securehost y Bearhost.
Varias familias de malware, incluido Gootloader y Spynote, han alojado sus servidores de comando y control (C2) y páginas de phishing en Proton66. A principios de febrero, el periodista de seguridad Brian Krebs reveló que Prospero ha comenzado a enrutar sus operaciones a través de redes dirigidas por el proveedor de antivirus ruso Kaspersky Lab en Moscú.
Sin bloqueo, Kaspersky negó que haya funcionado con Prospero y que la «enrutamiento a través de redes operadas por Kaspersky no significa, por defecto, la provisión de los servicios de la compañía, ya que la ruta cibernética del sistema de Kaspersky (AS) podría aparecer como un prefijo técnico en la red de proveedores de telecomunicaciones con los que trabaja y proporciona sus servicios DDOS».
El extremo disección de Trustwave ha revelado que las solicitudes maliciosas que se originan en uno de los bloques netos de proton66 (193.143.1 (.) 65) en febrero de 2025 intentaron explotar algunas de las vulnerabilidades críticas más recientes,
- CVE-2025-0108 – Una vulnerabilidad de derivación de la autenticación en el software PAN-OS de Palo Parada Networks
- CVE-2024-41713 – Una vulnerabilidad de acometividad de entrada insuficiente en el componente de correo unificada (NPM) de Mitel Micollab
- CVE-2024-10914 – Una vulnerabilidad de inyección de comando D-Link NAS
- CVE-2024-55591 y CVE-2025-24472 – Vulnerabilidades de derivación de autenticación en Fortinet Fortios
Vale la pena señalar que la explotación de los dos fallas de Fortinet Fortios se ha atribuido a un corredor de comunicación auténtico denominado Mora_001, que se ha observado que entrega una nueva cepa de ransomware indicación Superblack.
La firma de ciberseguridad dijo que igualmente observó varias campañas de malware vinculadas a Proton66 que están diseñadas para distribuir familias de malware como Xworm, Strelastealer y un ransomware llamado Weaxor.
Otra actividad trascendental se refiere al uso de sitios web comprometidos de WordPress relacionados con la dirección IP vinculada a PROTON66 «91.212.166 (.) 21» para redirigir a los usuarios de dispositivos de Android a las páginas de phishing que imitan los listados de aplicaciones de Google Play y engañan a los usuarios para descargar archivos APK maliciosos.
Las redirecciones se facilitan mediante JavaScript sagaz alojado en la dirección IP de Proton66. El disección de los nombres de dominio de Play Store falsos indica que la campaña está diseñada para apuntar a usuarios de deje francesa, española y griega.
«Los scripts redirectores están ofuscados y realizan varios controles contra la víctima, como excluir a los rastreadores y a los usuarios de VPN o proxy», explicaron los investigadores. «La IP del becario se obtiene a través de una consulta a ipify.org, entonces la presencia de una VPN en el proxy se verifica a través de una consulta posterior a ipinfo.io. En última instancia, la redirección ocurre solo si se encuentra un navegador Android».
Asimismo se aloja en una de las direcciones IP proton66 un archivo zip que conduce a la implementación del malware Xworm, específicamente que señale a los usuarios de la sala de chat de deje coreana que utilizan esquemas de ingeniería social.
La primera etapa del ataque es un tropel de Windows (LNK) que ejecuta un comando PowerShell, que luego ejecuta un script Visual Basic que, a su vez, descarga un .NET DLL codificado Base64 de la misma dirección IP. La DLL procede a descargar y cargar el XWorm Binary.
La infraestructura vinculada a Proton66 igualmente se ha utilizado para favorecer una campaña de correo electrónico de phishing dirigida a usuarios de deje alemana con Strelastealer, un robador de información que se comunica con una dirección IP (193.143.1 (.) 205) para C2.
Por extremo, pero no menos importante, se han antagónico artefactos de ransomware de WeAxor, una lectura revisada de Mallox, se han antagónico en contacto con un servidor C2 en la red PROTON66 («193.143.1 (.) 139»).
Se aconseja a las organizaciones que bloqueen todos los rangos de enrutamiento entre dominios (CIDR) sin clases asociados con las tecnologías de Proton66 y Chang Way, un probable proveedor basado en Hong Kong, para contrarrestar posibles amenazas.
