Investigadores en ciberseguridad han detectado un incremento en escaneos masivos, ataques de fuerza bruta contra credenciales y explotación de vulnerabilidades, provenientes de direcciones IP vinculadas con Proton66, un proveedor ruso de servicios de alojamiento “a prueba de balas”.

Esta actividad maliciosa, identificada desde el 8 de enero de 2025, ha tenido como objetivo a organizaciones de todo el mundo, según un informe en dos partes publicado por Trustwave SpiderLabs la semana pasada.

“Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 mostraron una actividad especialmente intensa en escaneos e intentos de fuerza bruta”, señalaron los analistas de seguridad Pawel Knapczyk y Dawid Nesterowicz. “Muchas de las IP involucradas no habían sido detectadas previamente como maliciosas o llevaban más de dos años inactivas”.

Se cree que Proton66, clasificado como un sistema autónomo ruso, está vinculado a otro sistema conocido como PROSPERO. En 2024, la firma de ciberseguridad Intrinsec identificó conexiones entre estos sistemas y servicios blindados comercializados en foros rusos bajo los nombres Securehost y BEARHOST.

Infraestructura maliciosa y malware

Diversas familias de malware, como GootLoader y SpyNote, han utilizado la infraestructura de Proton66 para alojar sus servidores de comando y control (C2) y páginas de phishing. En febrero, el periodista de seguridad Brian Krebs informó que Prospero estaba canalizando sus operaciones a través de redes gestionadas por Kaspersky Lab en Moscú.

Kaspersky, sin embargo, negó cualquier colaboración, aclarando que el uso de su sistema autónomo en rutas de red no implica necesariamente la prestación directa de servicios por parte de la empresa, ya que su infraestructura podría figurar como un prefijo técnico en las redes de terceros con quienes colaboran.

Un análisis reciente de Trustwave reveló que una IP específica de Proton66 (193.143.1[.]65) fue usada en febrero de 2025 para intentar explotar varias vulnerabilidades críticas recientes, entre ellas:

• CVE-2025-0108: Omisión de autenticación en Palo Alto PAN-OS
• CVE-2024-41713: Validación insuficiente de entrada en Mitel MiCollab (NPM)
• CVE-2024-10914: Inyección de comandos en dispositivos NAS de D-Link
• CVE-2024-55591 y CVE-2025-24472: Vulnerabilidades de autenticación en Fortinet FortiOS

Las últimas dos vulnerabilidades han sido asociadas al actor Mora_001, un agente de acceso inicial que distribuye una nueva variante de ransomware llamada SuperBlack.

Distribución de malware y técnicas de redirección

Además, Trustwave identificó múltiples campañas de malware relacionadas con Proton66, dirigidas a propagar amenazas como XWorm, StrelaStealer y el ransomware WeaXor.

Una campaña destacada utilizó sitios de WordPress comprometidos vinculados a la IP 91.212.166[.]21 para redirigir a usuarios de Android a sitios de phishing que simulan la interfaz de Google Play, engañando a las víctimas para que descarguen archivos APK maliciosos.

Estas redirecciones se ejecutan mediante scripts JavaScript ofuscados, alojados en IPs de Proton66, que realizan verificaciones para excluir rastreadores, VPN o proxies. Se consulta la IP de la víctima vía ipify.org, y se verifica si hay una VPN activa usando ipinfo.io. Solo si se detecta un navegador Android, se completa la redirección.

En otra instancia, se encontró alojado un archivo ZIP malicioso en una IP de Proton66 que ejecuta un ataque multi-etapa para infectar con XWorm a usuarios de chats en coreano. Este ataque comienza con un archivo .LNK de Windows, que lanza un script de PowerShell, seguido por un script de Visual Basic que descarga una DLL en .NET codificada en Base64, la cual finalmente carga el ejecutable de XWorm.

También se detectaron campañas de phishing dirigidas a hablantes de alemán, utilizando StrelaStealer, que se comunica con el C2 ubicado en la IP 193.143.1[.]205.

Por último, se descubrieron elementos vinculados al ransomware WeaXor (una variante del malware Mallox), que establece conexión con un servidor C2 en la IP 193.143.1[.]139, parte del mismo bloque de Proton66.

Recomendaciones

Trustwave recomienda a las organizaciones bloquear todos los rangos CIDR relacionados con Proton66 y su posible socio Chang Way Technologies, una empresa con sede en Hong Kong, para mitigar riesgos potenciales.

FUENTE: THEHACKERNEWS.COM