Proton66, un proveedor de servicios de hosting de origen ruso, ha sido acusado de 'dar cobertura' a una serie de campañas de ciberataques que están afectando a organizaciones y usuarios de todo el mundo.
Investigaciones publicadas por expertos de ciberseguridad de Trustwave SpiderLabs han vinculado su infraestructura a actividades maliciosas como fuerza bruta para el robo de credenciales, escaneo masivo de vulnerabilidades, distribución de ransomware y malware dirigido a dispositivos Android.
Proton66 formaría parte de lo que se conoce como servicios de alojamiento a prueba de balas o 'bulletproof hosting'. Estas plataformas, a diferencia de los proveedores convencionales, permiten alojar contenido ilegal o malicioso sin interferencias, ignorando intencionadamente cualquier tipo de denuncia o requerimiento legal.
La firma francesa Intrinsec asegura que Proton66 ha sido promocionado en foros rusohablantes bajo los nombres de UNDERGROUND y BEARHOST.
No obstante, desde diciembre de 2024, su publicidad en foros ha desaparecido. En su lugar, se estarían comercializándose mediante ventas privadas.
A principios de enero los investigadores comenzaron a detectar un incremento anómalo de actividades hostiles, que incluían escaneos no autorizados y campañas de robo de credenciales provenientes de direcciones IP asociadas al proveedor ruso.
Apoyando vulnerabilidades críticas
Entre las amenazas más preocupantes detectadas, destaca el uso de servidores de Proton66 para explotar vulnerabilidades críticas recientes.
Estos servidores usados llevaban inactivos o sin detectar actividad maliciosa desde hace años. Uno se había relacionado con ataques desde hace casi cuatro años, poniendo de manifiesto cómo los cibermalos son capaces de reusar y reactivar recursos ocultos.
Por otro lado, Proton66 también estaría implicado en la distribución de software malicioso mediante páginas de WordPress comprometidas.
En febrero los investigadores de seguridad encontraron que estas webs redirigían a usuarios de Android a páginas fraudulentas que emulaban a la Google Play Store.
Otro informe de SpiderLabs detalla la vinculación de Proton66 con múltiples campañas de malware, como XWorm, Stela Stealer o WeaXor.