Ciberseguridad 360 | Hackers usan hosting ruso Proton66 para ataques globales y distribución de malware

Investigadores de ciberseguridad han revelado un aumento de "escaneos masivos, ataque de fuerza bruta de credenciales e intentos de explotaci�n" originados desde direcciones IP asociadas a un proveedor ruso de servicios de hosting blindado llamado Proton66.

La actividad, detectada desde el 8 de enero de 2025, se dirig�a a organizaciones de todo el mundo, seg�n un an�lisis en dos partes publicado por Trustwave SpiderLabs la semana pasada.

"Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 fueron particularmente activos en t�rminos de escaneos masivos e intentos de fuerza bruta", se�alaron los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz. "Varias de las direcciones IP infractoras no se hab�an visto anteriormente implicadas en actividades maliciosas o llevaban inactivas m�s de dos a�os".

Se considera que el sistema aut�nomo ruso Proton66 est� vinculado a otro sistema aut�nomo denominado PROSPERO. El a�o pasado, la empresa de seguridad francesa Intrinsec detall� sus conexiones con servicios blindados comercializados en foros rusos de ciberdelincuencia bajo los nombres Securehost y BEARHOST.

Varias familias de malware, como GootLoader y SpyNote, han alojado sus servidores de mando y control (C2) y p�ginas de phishing en Proton66. A principios de febrero, el periodista especializado en seguridad Brian Krebs revel� que Prospero hab�a empezado a dirigir sus operaciones a trav�s de redes gestionadas por el proveedor ruso de antivirus Kaspersky Lab en Mosc�.

Sin embargo, Kaspersky neg� que haya trabajado con Pr�spero y que el "enrutamiento a trav�s de redes operadas por Kaspersky no significa por defecto la prestaci�n de los servicios de la compa��a, ya que la ruta del sistema autom�tico (AS) de Kaspersky podr�a aparecer como un prefijo t�cnico en la red de los proveedores de telecomunicaciones con los que trabaja la compa��a y proporciona sus servicios DDoS".

El �ltimo an�lisis de Trustwave ha revelado que las peticiones maliciosas originadas desde uno de los bloques de la red de Proton66 (193.143.1.65) en febrero de 2025 intentaban explotar algunas de las vulnerabilidades cr�ticas m�s recientes.

CVE-2025-0108: Una vulnerabilidad de omisi�n de autenticaci�n en el software PAN-OS de Palo Alto Networks

CVE-2024-41713: Una vulnerabilidad de validaci�n de entrada insuficiente en el componente NuPoint Unified Messaging (NPM) de Mitel MiCollab

CVE-2024-10914: Una vulnerabilidad de inyecci�n de comandos D-Link NAS

CVE-2024-55591 y CVE-2025-24472: Vulnerabilidades de omisi�n de autenticaci�n en Fortinet FortiOS

Vale la pena se�alar que la explotaci�n de las dos fallas Fortinet FortiOS se ha atribuido a un corredor de acceso inicial apodado Mora_001, que se ha observado la entrega de una nueva cepa ransomware llamado SuperBlack.

La empresa de ciberseguridad tambi�n ha observado varias campa�as de malware vinculadas a Proton66 y dise�adas para distribuir familias de malware como XWorm, StrelaStealer y un ransomware llamado WeaXor.

Otra actividad notable se refiere al uso de sitios web WordPress comprometidos relacionados con la direcci�n IP "91.212.166[.]21" vinculada a Proton66 para redirigir a los usuarios de dispositivos Android a p�ginas de phishing que imitan los listados de aplicaciones de Google Play y enga�an a los usuarios para que descarguen archivos APK maliciosos.

Las redirecciones se facilitan mediante JavaScript malicioso alojado en la direcci�n IP de Proton66. El an�lisis de los nombres de dominio falsos de Play Store indica que la campa�a est� dise�ada para dirigirse a usuarios de habla francesa, espa�ola y griega.

"Los scripts de redirecci�n est�n ofuscados y realizan varias comprobaciones contra la v�ctima, como excluir rastreadores y usuarios de VPN o proxy", explicaron los investigadores. "La IP del usuario se obtiene a trav�s de una consulta a ipify.org, luego se verifica la presencia de una VPN en el proxy a trav�s de una consulta posterior a ipinfo.io. Finalmente, la redirecci�n s�lo se produce si se encuentra un navegador Android".

En una de las direcciones IP de Proton66 tambi�n se aloja un archivo ZIP que conduce al despliegue del malware XWorm, espec�ficamente dirigido a usuarios de salas de chat de habla coreana mediante esquemas de ingenier�a social.

La primera etapa del ataque es un acceso directo de Windows (LNK) que ejecuta un comando PowerShell, que a su vez ejecuta un script de Visual Basic que, a su vez, descarga una DLL .NET codificada en Base64 desde la misma direcci�n IP. La DLL procede a descargar y cargar el binario XWorm.

La infraestructura vinculada a Proton66 tambi�n se ha utilizado para facilitar una campa�a de phishing por correo electr�nico dirigida a usuarios de habla alemana con StrelaStealer, un ladr�n de informaci�n que se comunica con una direcci�n IP (193.143.1[.]205) para C2.

Por �ltimo, pero no menos importante, se han encontrado artefactos del ransomware WeaXor -una versi�n revisada de Mallox- contactando con un servidor C2 en la red Proton66 ("193.143.1[.]139").

Se aconseja a las organizaciones que bloqueen todos los rangos Classless Inter-Domain Routing (CIDR) asociados con Proton66 y Chang Way Technologies, un proveedor probablemente relacionado con sede en Hong Kong, para neutralizar posibles amenazas.

Fuente: thehackernews