{"id":1654499,"date":"2025-04-04T16:23:52","date_gmt":"2025-04-04T16:23:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-fracaso-opsec-expone-las-campanas-de-malware-de-coquettte-en-servidores-de-alojamiento-a-prueba-de-balas\/"},"modified":"2025-04-04T16:23:57","modified_gmt":"2025-04-04T16:23:57","slug":"el-fracaso-opsec-expone-las-campanas-de-malware-de-coquettte-en-servidores-de-alojamiento-a-prueba-de-balas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-fracaso-opsec-expone-las-campanas-de-malware-de-coquettte-en-servidores-de-alojamiento-a-prueba-de-balas\/","title":{"rendered":"El fracaso OPSEC expone las campa\u00f1as de malware de Coquettte en servidores de alojamiento a prueba de balas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que un actor de delito cibern\u00e9tico novato aprovecha los servicios de un proveedor de alojamiento a prueba de balas (BPH) ruso llamado Proton66 para facilitar sus operaciones.<\/p>\n

Los hallazgos provienen de Domaineols, que detect\u00f3 la actividad despu\u00e9s de descubrir un sitio web falso llamado CyberseCureProtect[.]Com organizado en Proton66 que se disfraz\u00f3 de un servicio antivirus.<\/p>\n

La firma de inteligencia de amenazas dijo que identific\u00f3 una falla de seguridad operativa (OPSEC) en el dominio que dej\u00f3 su infraestructura maliciosa expuesta, revelando as\u00ed las cargas \u00fatiles maliciosas organizadas en el servidor. <\/p>\n

“Esta revelaci\u00f3n nos llev\u00f3 a una madriguera de conejos a las operaciones de un actor de amenaza emergente conocido como Coquettte, un alojamiento aficionado a los bullets aficionados de ProTon66 para distribuir malware y participar en otras actividades il\u00edcitas”, “es dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Proton66, tambi\u00e9n vinculado a otro servicio de BPH conocido como prospero, ha sido atribuido<\/a> a Varias campa\u00f1as<\/a> Distribuyendo malware de escritorio y android como Gootloader, Matanbuchus, Spynote, Coper (tambi\u00e9n conocido como OCTO) y Socgholish. Las p\u00e1ginas de phishing alojadas en el servicio se han propagado a trav\u00e9s de mensajes SMS para enga\u00f1ar a los usuarios para que ingresen sus credenciales bancarias e informaci\u00f3n de la tarjeta de cr\u00e9dito.<\/p>\n

Coquettte es uno de esos actores de amenaza que aprovecha los beneficios ofrecidos por el ecosistema PROTON66 para distribuir malware bajo la apariencia de herramientas antivirus leg\u00edtimas.<\/p>\n

Esto toma la forma de un archivo ZIP (“Cybersecure Pro.zip”) que contiene un instalador de Windows que luego descarga un malware de segunda etapa desde un servidor remoto responsable de entregar cargas de \u00fatiles secundarias desde un servidor de comando y control (“CIA (” CIA[.]tf “).<\/p>\n

La segunda etapa es un cargador clasificado como Rugmi (tambi\u00e9n conocido como Penguish), que se ha utilizado en el pasado para desplegar robadores de informaci\u00f3n como Lumma, Vidar y Raccoon.<\/p>\n

Un an\u00e1lisis posterior de las huellas digitales de Coquettte descubri\u00f3 un sitio web personal<\/a> en el que afirman ser un “ingeniero de software de 19 a\u00f1os, buscando un t\u00edtulo en desarrollo de software”.<\/p>\n

\u00bfQu\u00e9 es m\u00e1s, la CIA?[.]El dominio TF se ha registrado con la direcci\u00f3n de correo electr\u00f3nico “root@coquettte[.]com, “confirmando que el actor de amenaza controlaba el servidor C2 y operaba el sitio falso de ciberseguridad como un centro de distribuci\u00f3n de malware.<\/p>\n

“Esto sugiere que Coquettte es un individuo joven, posiblemente un estudiante, que se alinea con los errores de aficionados (como el directorio abierto) en sus esfuerzos de delitos cibern\u00e9ticos”, dijo Domaindools.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las empresas del actor de amenaza no se limitan al malware, ya que tambi\u00e9n han estado ejecutando otros sitios web que venden gu\u00edas para fabricar sustancias y armas ilegales. Se cree que Coquettte est\u00e1 ligeramente atado a un grupo de pirater\u00eda m\u00e1s amplio que se llama Horrid.<\/p>\n

“El patr\u00f3n de infraestructura superpuesta sugiere que los individuos detr\u00e1s de estos sitios pueden referirse a s\u00ed mismos como ‘horribles’, siendo Coquettte un alias de uno de los miembros en lugar de un actor solitario”, dijo la compa\u00f1\u00eda.<\/p>\n

“La afiliaci\u00f3n del grupo con m\u00faltiples dominios vinculados al delito cibern\u00e9tico y el contenido il\u00edcito sugiere que funciona como una incubadora para inspirar o cibercriminarios aficionados, proporcionando recursos e infraestructura a aquellos que buscan establecerse en c\u00edrculos de pirater\u00eda subterr\u00e1neos”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n