Il recente fallimento della sicurezza operativa (OPSEC) ha svelato le campagne di malware di un attore criminale emergente, noto come Coquettte, che utilizza i servizi di un provider russo di hosting bulletproof chiamato Proton66. Questa scoperta è stata fatta da DomainTools, che ha identificato un sito web fasullo, cybersecureprotect[.]com, ospitato su Proton66 e mascherato da servizio antivirus. L'infrastruttura malevola è stata esposta a causa di un errore OPSEC, rivelando i payload dannosi presenti sul server.

**Proton66, collegato anche al servizio PROSPERO,** è stato attribuito a diverse campagne che distribuiscono malware per desktop e Android, come GootLoader, Matanbuchus, SpyNote, Coper e SocGholish. Le pagine di phishing ospitate su questo servizio sono state diffuse tramite messaggi SMS per ingannare gli utenti e rubare le loro credenziali bancarie e informazioni sulle carte di credito.

**Coquettte** è uno dei cybercriminali che sfrutta l'ecosistema Proton66 per distribuire malware camuffati da strumenti antivirus legittimi. Un esempio è un archivio ZIP, "CyberSecure Pro.zip", che contiene un installer per Windows che scarica una seconda fase di malware da un server remoto. Questa seconda fase è un loader chiamato Rugmi, utilizzato per distribuire stealers di informazioni come Lumma, Vidar e Raccoon.

L'analisi delle tracce digitali di Coquettte ha rivelato un sito personale in cui l'attore si definisce un "ingegnere software di 19 anni, che sta perseguendo una laurea in Sviluppo Software." Il dominio cia[.]tf, registrato con l'email root@coquettte[.]com, conferma che Coquettte controllava il server di comando e controllo e gestiva il sito fasullo come hub di distribuzione malware.

DomainTools suggerisce che Coquettte potrebbe essere un giovane individuo, probabilmente uno studente, considerato gli errori dilettanteschi commessi nelle sue attività criminali. Le attività di Coquettte non si limitano al malware: gestisce anche altri siti che vendono guide per la fabbricazione di sostanze illegali e armi. Si ritiene che Coquettte sia collegato a un gruppo di hacker più ampio noto come Horrid.

Il modello di sovrapposizione delle infrastrutture suggerisce che gli individui dietro questi siti possano identificarsi come 'Horrid', con Coquettte che rappresenta un alias di uno dei membri piuttosto che un attore solitario. Questo gruppo sembra fungere da incubatore per aspiranti o dilettanti cybercriminali, fornendo risorse e infrastrutture a coloro che cercano di affermarsi nei circoli di hacking sotterranei.