Cybersecurity-onderzoekers hebben een toename van “massa-scannen, inloggegevens bruut-forcing en exploitatiepogingen” bekendgemaakt “afkomstig van IP-adressen die zijn geassocieerd met een Russische kogelvrije hostingserviceprovider genaamd Proton66.
De activiteit, gedetecteerd sinds 8 januari 2025, richtte zich op organisaties wereldwijd, volgens een tweedelige analyse die vorige week door Trustwave Spiderlabs werd gepubliceerd.
“Netto-blokken 45.135.232.0/24 en 45.140.17.0/24 waren bijzonder actief in termen van massascanning en brute-force pogingen,” zeiden beveiligingsonderzoekers Pawel Knapczyk en Dawid Nesterowicz. “Verschillende van de aanstootgevende IP -adressen werden niet eerder gezien als betrokken bij kwaadaardige activiteit of waren al meer dan twee jaar inactief.”
Het Russische autonome systeem Proton66 wordt beoordeeld te worden gekoppeld aan een ander autonoom systeem genaamd Prospero. Vorig jaar beschreef het Franse beveiligingsbedrijf Intrinsec hun connecties met kogelvrije diensten die op de markt worden gebracht op Russische cybercriminaliteitsforums onder de namen SecureHost en Bearhost.
Verschillende malwarefamilies, waaronder Gootloader en Spynote, hebben hun command-and-control (C2) -servers en phishing-pagina’s op Proton66 gehost. Eerder in februari onthulde beveiligingsjournalist Brian Krebs dat Prospero is begonnen met het routeren van zijn activiteiten door middel van netwerken gerund door de Russische antivirusverkoper Kaspersky Lab in Moskou.
Kaspersky ontkende echter dat het heeft gewerkt met Prospero en dat de “routing door netwerken die door Kaspersky worden beheerd, niet standaard betekent dat de diensten van het bedrijf worden geboden, aangezien het Path van Kaspersky (AS) van Kaspersky kan verschijnen als een technisch voorvoegsel in het netwerk van telecomproviders waarmee het bedrijf werkt en zijn DDOS -diensten biedt.”
De nieuwste analyse van Tert Tert Tert Tertherwave heeft aangetoond dat de kwaadaardige verzoeken afkomstig zijn van een van de Net Blocks van Proton66 (193.143.1 (.) 65) in februari 2025 probeerden enkele van de meest recente kritieke kwetsbaarheden te benutten –
- CVE-2025-0108 – Een authenticatie omzeilen kwetsbaarheid in de Palo Alto Networks Pan-OS-software
- CVE-2024-41713 – Een onvoldoende kwetsbaarheid voor invoervalidatie in de NPM -component van Nupoint Unified Messaging (NPM) van Mitel Micollab
- CVE-2024-10914 – Een beveiligingslek van commando-injectie D-Link NAS
- CVE-2024-55591 & CVE-2025-24472 – Authenticatie omzeilen kwetsbaarheden in Fortinet Fortios
Het is vermeldenswaard dat de exploitatie van de twee Fortinet Fortios -fouten is toegeschreven aan een initiële toegangsmakelaar genaamd Mora_001, die is waargenomen met het leveren van een nieuwe ransomware -stam genaamd SuperBlack.
Het cybersecuritybedrijf zei dat het ook verschillende malware -campagnes waargenomen die zijn gekoppeld aan Proton66 die zijn ontworpen om malwarefamilies zoals Xworm, Strelastealer en een ransomware genaamd WeeAxor te distribueren.
Een andere opmerkelijke activiteit betreft het gebruik van gecompromitteerde WordPress-websites gerelateerd aan het Proton66-gekoppelde IP-adres “91.212.166 (.) 21” om Android-apparaatgebruikers te omleiden naar phishing-pagina’s die Google Play-app-lijsten nabootsen en gebruikers voor het downloaden van kwaadaardige APK-bestanden.
De omleidingen worden vergemakkelijkt door middel van kwaadwillend JavaScript gehost op het Proton66 IP -adres. Analyse van de nep -domeinnamen van de nep -play store geeft aan dat de campagne is ontworpen om Franse, Spaanse en Grieks sprekende gebruikers te richten.
“De redirector -scripts zijn verdoezeld en voeren verschillende controles uit tegen het slachtoffer, zoals het uitsluiten van crawlers en VPN- of proxy -gebruikers,” legden de onderzoekers uit. “Gebruikers -IP wordt verkregen via een query naar ipify.org, dan wordt de aanwezigheid van een VPN op de proxy geverifieerd via een volgende query naar ipinfo.io. Uiteindelijk vindt de omleiding alleen plaats als een Android -browser wordt gevonden.”
Ook georganiseerd in een van de Proton66 IP-adressen is een zip-archief dat leidt tot de inzet van de Xworm-malware, met name de Koreaanse sprekende chatroomgebruikers die sociale engineeringschema’s gebruiken.
De eerste fase van de aanval is een Windows-snelkoppeling (LNK) die een PowerShell-opdracht uitvoert, die vervolgens een Visual Basic-script uitvoert dat op zijn beurt een Base64-gecodeerde .NET DLL van hetzelfde IP-adres downloadt. De DLL downloadt en laadt het Xworm Binary.
Proton66-gekoppelde infrastructuur is ook gebruikt om een phishing-e-mailcampagne te vergemakkelijken gericht op Duitse sprekende gebruikers met Strelastealer, een informatie-stealer die communiceert met een IP-adres (193.143.1 (.) 205) voor C2.
Last but not least, WeeAxor Ransomware -artefacten – een herziene versie van Mallox – zijn gevonden in contact met een C2 -server in het Proton66 -netwerk (“193.143.1 (.) 139”).
Organisaties worden geadviseerd om alle klasseloze interdomain routing (CIDR) -bereiken te blokkeren die zijn geassocieerd met Proton66 en Chang Way Technologies, een waarschijnlijk gerelateerde provider in Hong Kong, om potentiële bedreigingen te neutraliseren.
