Los investigadores de seguridad cibernética han revelado un aumento en la «exploración masiva, el forzamiento bruto de credencial y los intentos de explotación» originados por direcciones IP asociadas con un proveedor de servicios de alojamiento a prueba de balas ruso nombrado Proton66.
La actividad, detectada desde el 8 de enero de 2025, se dirigió a organizaciones en todo el mundo, según un análisis de dos partes publicado por TrustWave SpiderLabs la semana pasada.
«Los bloqueos netos 45.135.232.0/24 y 45.140.17.0/24 fueron particularmente activos en términos de escaneo masivo e intentos de fuerza bruta», dijeron los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz. «Varias de las direcciones IP ofensivas no se consideraron previamente involucradas en actividades maliciosas o estaban inactivas durante más de dos años».
Se evalúa que el sistema autónomo ruso proton66 está vinculado a otro sistema autónomo llamado Prospero. El año pasado, la firma de seguridad francesa Intrinsec detalló sus conexiones con los servicios a prueba de balas comercializados en los foros de delitos cibernéticos rusos bajo los nombres Securehost y Bearhost.
Varias familias de malware, incluido Gootloader y Spynote, han alojado sus servidores de comando y control (C2) y páginas de phishing en Proton66. A principios de febrero, el periodista de seguridad Brian Krebs reveló que Prospero ha comenzado a enrutar sus operaciones a través de redes dirigidas por el proveedor de antivirus ruso Kaspersky Lab en Moscú.
Sin embargo, Kaspersky negó que haya funcionado con Prospero y que la «enrutamiento a través de redes operadas por Kaspersky no significa, por defecto, la provisión de los servicios de la compañía, ya que la ruta automática del sistema de Kaspersky (AS) podría aparecer como un prefijo técnico en la red de proveedores de telecomunicaciones con los que trabaja y proporciona sus servicios DDOS».
El último análisis de Trustwave ha revelado que las solicitudes maliciosas que se originan en uno de los bloques netos de proton66 (193.143.1 (.) 65) en febrero de 2025 intentaron explotar algunas de las vulnerabilidades críticas más recientes,
- CVE-2025-0108 – Una vulnerabilidad de derivación de la autenticación en el software PAN-OS de Palo Alto Networks
- CVE-2024-41713 – Una vulnerabilidad de validación de entrada insuficiente en el componente de mensajería unificada (NPM) de Mitel Micollab
- CVE-2024-10914 – Una vulnerabilidad de inyección de comando D-Link NAS
- CVE-2024-55591 y CVE-2025-24472 – Vulnerabilidades de derivación de autenticación en Fortinet Fortios
Vale la pena señalar que la explotación de los dos fallas de Fortinet Fortios se ha atribuido a un corredor de acceso inicial denominado Mora_001, que se ha observado que entrega una nueva cepa de ransomware llamada Superblack.
La firma de ciberseguridad dijo que también observó varias campañas de malware vinculadas a Proton66 que están diseñadas para distribuir familias de malware como Xworm, Strelastealer y un ransomware llamado Weaxor.
Otra actividad notable se refiere al uso de sitios web comprometidos de WordPress relacionados con la dirección IP vinculada a PROTON66 «91.212.166 (.) 21» para redirigir a los usuarios de dispositivos de Android a las páginas de phishing que imitan los listados de aplicaciones de Google Play y engañan a los usuarios para descargar archivos APK maliciosos.
Las redirecciones se facilitan mediante JavaScript malicioso alojado en la dirección IP de Proton66. El análisis de los nombres de dominio de Play Store falsos indica que la campaña está diseñada para apuntar a usuarios de habla francesa, española y griega.
«Los scripts redirectores están ofuscados y realizan varios controles contra la víctima, como excluir a los rastreadores y a los usuarios de VPN o proxy», explicaron los investigadores. «La IP del usuario se obtiene a través de una consulta a ipify.org, entonces la presencia de una VPN en el proxy se verifica a través de una consulta posterior a ipinfo.io. En última instancia, la redirección ocurre solo si se encuentra un navegador Android».
También se aloja en una de las direcciones IP proton66 un archivo zip que conduce a la implementación del malware Xworm, específicamente que señale a los usuarios de la sala de chat de habla coreana que utilizan esquemas de ingeniería social.
La primera etapa del ataque es un atajo de Windows (LNK) que ejecuta un comando PowerShell, que luego ejecuta un script Visual Basic que, a su vez, descarga un .NET DLL codificado Base64 de la misma dirección IP. La DLL procede a descargar y cargar el XWorm Binary.
La infraestructura vinculada a Proton66 también se ha utilizado para facilitar una campaña de correo electrónico de phishing dirigida a usuarios de habla alemana con Strelastealer, un robador de información que se comunica con una dirección IP (193.143.1 (.) 205) para C2.
Por último, pero no menos importante, se han encontrado artefactos de ransomware de WeAxor, una versión revisada de Mallox, se han encontrado en contacto con un servidor C2 en la red PROTON66 («193.143.1 (.) 139»).
Se aconseja a las organizaciones que bloqueen todos los rangos de enrutamiento entre dominios (CIDR) sin clases asociados con las tecnologías de Proton66 y Chang Way, un probable proveedor basado en Hong Kong, para neutralizar posibles amenazas.