Los investigadores de seguridad cibern\u00e9tica han revelado un aumento en la “exploraci\u00f3n masiva, el forzamiento bruto de credencial y los intentos de explotaci\u00f3n” originados por direcciones IP asociadas con un proveedor de servicios de alojamiento a prueba de balas ruso nombrado Proton66<\/b>.<\/p>\n
La actividad, detectada desde el 8 de enero de 2025, se dirigi\u00f3 a organizaciones en todo el mundo, seg\u00fan un an\u00e1lisis de dos partes publicado por TrustWave SpiderLabs la semana pasada. <\/p>\n
“Los bloqueos netos 45.135.232.0\/24 y 45.140.17.0\/24 fueron particularmente activos en t\u00e9rminos de escaneo masivo y intentos de fuerza bruta”, los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz dicho<\/a>. “Varias de las direcciones IP ofensivas no se consideraron previamente involucradas en actividades maliciosas o estaban inactivas durante m\u00e1s de dos a\u00f1os”.<\/p>\n Se eval\u00faa que el sistema aut\u00f3nomo ruso proton66 est\u00e1 vinculado a otro sistema aut\u00f3nomo llamado Prospero. El a\u00f1o pasado, la firma de seguridad francesa Intrinsec detall\u00f3 sus conexiones con los servicios a prueba de balas comercializados en los foros de delitos cibern\u00e9ticos rusos bajo los nombres Securehost y Bearhost.<\/p>\n Varias familias de malware, incluido Gootloader y Spynote, han alojado sus servidores de comando y control (C2) y p\u00e1ginas de phishing en Proton66. A principios de este febrero, el periodista de seguridad Brian Krebs revel\u00f3<\/a> Ese Prospero ha comenzado a enrutar sus operaciones a trav\u00e9s de redes administradas por el proveedor de antivirus ruso Kaspersky Lab en Mosc\u00fa.<\/p>\n Sin embargo, Kaspersky neg\u00f3 que haya funcionado con Prospero y que la “enrutamiento a trav\u00e9s de redes operadas por Kaspersky no significa, por defecto, la provisi\u00f3n de los servicios de la compa\u00f1\u00eda, ya que la ruta autom\u00e1tica del sistema de Kaspersky (AS) podr\u00eda aparecer como un prefijo t\u00e9cnico en la red de proveedores de telecomunicaciones con los que trabaja y proporciona sus servicios DDOS”.<\/p>\n El \u00faltimo an\u00e1lisis de Trustwave ha revelado que las solicitudes maliciosas se originan en uno de los bloques netos de Proton66 (193.143.1[.]65) En febrero de 2025, intent\u00f3 explotar algunas de las vulnerabilidades cr\u00edticas m\u00e1s recientes –<\/p>\n Vale la pena se\u00f1alar que la explotaci\u00f3n de los dos fallas de Fortinet Fortios se ha atribuido a un corredor de acceso inicial denominado Mora_001, que se ha observado que entrega una nueva cepa de ransomware llamada Superblack.<\/p>\n La firma de ciberseguridad dijo que tambi\u00e9n observ\u00f3 varias campa\u00f1as de malware vinculadas a Proton66 que est\u00e1n dise\u00f1adas para distribuir familias de malware como Xworm, Strelastealer y un ransomware llamado Weaxor.<\/p>\n Otra actividad notable se refiere al uso de sitios web comprometidos de WordPress relacionados con la direcci\u00f3n IP vinculada a Proton66 “91.212.166[.]21 “para redirigir a los usuarios de dispositivos Android a p\u00e1ginas de phishing que imitan las listados de aplicaciones de Google Play y enga\u00f1an a los usuarios para que descarguen archivos APK maliciosos.<\/p>\n Las redirecciones se facilitan mediante JavaScript malicioso alojado en la direcci\u00f3n IP de Proton66. El an\u00e1lisis de los nombres de dominio de Play Store falsos indica que la campa\u00f1a est\u00e1 dise\u00f1ada para apuntar a usuarios de habla francesa, espa\u00f1ola y griega.<\/p>\n “Los guiones de redirectores se ofuscan y realizan varios controles contra la v\u00edctima, como excluir a los rastreadores y a los usuarios de VPN o proxy”, los investigadores explicado<\/a>. “La IP del usuario se obtiene a trav\u00e9s de una consulta a ipify.org, entonces la presencia de una VPN en el proxy se verifica a trav\u00e9s de una consulta posterior a ipinfo.io. En \u00faltima instancia, la redirecci\u00f3n ocurre solo si se encuentra un navegador Android”.<\/p>\n Tambi\u00e9n se aloja en una de las direcciones IP proton66 un archivo zip que conduce a la implementaci\u00f3n del malware Xworm, espec\u00edficamente que se\u00f1ale a los usuarios de la sala de chat de habla coreana que utilizan esquemas de ingenier\u00eda social.<\/p>\n La primera etapa del ataque es un atajo de Windows (LNK) que ejecuta un comando PowerShell, que luego ejecuta un script Visual Basic que, a su vez, descarga un .NET DLL codificado Base64 de la misma direcci\u00f3n IP. La DLL procede a descargar y cargar el XWorm Binary.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-abusan-de-los-anfitriones-rusos-a-prueba.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n