Underc0de

Un reciente informe de la firma de ciberseguridad Trustwave SpiderLabs ha revelado un preocupante aumento en la actividad maliciosa proveniente de direcciones IP asociadas con Proton66, un proveedor ruso de alojamiento a prueba de balas. Esta infraestructura, conocida por facilitar operaciones cibercriminales, ha sido vinculada con esfuerzos masivos de escaneo, ataques de fuerza bruta y explotación activa de vulnerabilidades críticas, afectando a organizaciones a nivel mundial desde enero de 2025.

Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 se destacaron por su alta actividad maliciosa. De acuerdo con los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz, muchas de las direcciones IP involucradas no habían sido utilizadas previamente o habían permanecido inactivas por más de dos años, lo que sugiere un resurgimiento controlado por actores sofisticados.

Proton66 y su vínculo con redes de cibercrimen

Proton66 opera bajo el sistema autónomo AS58061 y está relacionado con otro sistema denominado PROSPERO. Según la empresa de seguridad francesa Intrinsec, esta infraestructura está fuertemente vinculada a servicios de alojamiento a prueba de balas conocidos como Securehost y BEARHOST, comúnmente publicitados en foros clandestinos rusos.

Estos servicios son atractivos para los ciberdelincuentes debido a su tolerancia hacia actividades ilegales, como el hosting de servidores C2 (comando y control), páginas de phishing, y la distribución de malware. Algunas familias de malware como GootLoader, SpyNote, XWorm, StrelaStealer y WeaXor han utilizado Proton66 para sus campañas.

Explotación de vulnerabilidades críticas

Durante febrero de 2025, se identificaron ataques provenientes de la IP 193.143.1[.]65 de Proton66 que intentaban explotar vulnerabilidades recientemente descubiertas, entre ellas:

• CVE-2025-0108: omisión de autenticación en Palo Alto Networks PAN-OS
• CVE-2024-41713: validación de entrada deficiente en NuPoint MiCollab NPM
• CVE-2024-10914: inyección de comandos en dispositivos D-Link NAS
• CVE-2024-55591 y CVE-2025-24472: fallas de autenticación en Fortinet FortiOS

Estas dos últimas vulnerabilidades fueron utilizadas por un corredor de acceso inicial conocido como Mora_001, que introdujo una nueva variante de ransomware llamada SuperBlack. Esta amenaza cifra los datos de las víctimas y exige un rescate para su recuperación, siguiendo patrones cada vez más comunes en el panorama de ransomware como servicio (RaaS).

Malware y phishing dirigido a dispositivos Android

Otra táctica ampliamente utilizada por los operadores vinculados a Proton66 incluye el uso de sitios WordPress comprometidos para redirigir a usuarios de Android hacia páginas de phishing. En particular, se identificó la IP 91.212.166[.]21 como origen de scripts maliciosos en JavaScript diseñados para engañar a las víctimas y hacerlas descargar aplicaciones APK infectadas.

Estas campañas simulan páginas de Google Play y están dirigidas principalmente a usuarios que hablan francés, español y griego. Los scripts de redirección están cuidadosamente ofuscados y utilizan servicios como ipify.org e ipinfo.io para detectar el uso de VPNs, proxies y verificar si el dispositivo es Android antes de ejecutar la redirección.

Ingeniería social y ataques dirigidos

Además del malware móvil, Trustwave identificó un ataque dirigido a usuarios de habla coreana, en el que se utilizó un archivo ZIP alojado en Proton66 que implementa XWorm mediante técnicas de ingeniería social. La infección comienza con un archivo LNK que ejecuta una cadena de comandos PowerShell y Visual Basic, culminando con la descarga de un archivo DLL codificado en Base64 que instala el malware.

De forma paralela, los investigadores detectaron una campaña de phishing por correo electrónico contra usuarios de habla alemana. Esta campaña distribuía StrelaStealer, un ladrón de credenciales que se comunica con la IP 193.143.1[.]205, también alojada en la red de Proton66.

En otro hallazgo importante, se observó actividad relacionada con WeaXor, una variante del ransomware Mallox, la cual se comunicaba con el servidor 193.143.1[.]139, fortaleciendo aún más la conexión de Proton66 con amenazas activas.

Recomendaciones de ciberseguridad

Dada la variedad y peligrosidad de las amenazas asociadas a Proton66, los expertos de Trustwave recomiendan a las organizaciones:

• Bloquear todos los rangos CIDR vinculados a Proton66 (como 45.135.232.0/24, 45.140.17.0/24, 193.143.1.0/24).
• Implementar reglas de firewall específicas para denegar tráfico entrante y saliente desde y hacia direcciones IP maliciosas conocidas.
• Monitorear activamente la red en busca de conexiones sospechosas o no autorizadas hacia infraestructura asociada a alojamiento a prueba de balas.
• Actualizar los sistemas y aplicaciones para mitigar la explotación de vulnerabilidades como las CVE mencionadas anteriormente.

También se sugiere prestar atención a posibles vínculos con otros proveedores como Chang Way Technologies, supuestamente relacionado con Hong Kong, cuya infraestructura también ha sido vinculada a estas amenazas.

Fuente: https://thehackernews.com/