Recentemente, i ricercatori di cybersecurity hanno scoperto un significativo aumento delle attività di "mass scanning, brute force delle credenziali e tentativi di sfruttamento" originati da indirizzi IP associati a un servizio di hosting russo chiamato Proton66. Queste attività, rilevate dall'8 gennaio 2025, hanno preso di mira organizzazioni a livello globale, come riportato in un'analisi pubblicata da Trustwave SpiderLabs.

I blocchi di rete 45.135.232.0/24 e 45.140.17.0/24 sono stati particolarmente attivi in termini di scanning massivo e tentativi di brute force. Alcuni degli indirizzi IP coinvolti non erano stati precedentemente segnalati come parte di attività malevole o erano inattivi da oltre due anni. Il sistema autonomo russo Proton66 è valutato come collegato a un altro sistema autonomo chiamato PROSPERO, con connessioni a servizi bulletproof commercializzati su forum di cybercrime russi sotto i nomi Securehost e BEARHOST.

Diversi gruppi di malware, tra cui GootLoader e SpyNote, hanno ospitato i loro server di comando e controllo e pagine di phishing su Proton66. A febbraio, il giornalista di sicurezza Brian Krebs ha rivelato che Prospero ha iniziato a indirizzare le sue operazioni attraverso reti gestite dal venditore di antivirus russo Kaspersky Lab. Tuttavia, Kaspersky ha negato qualsiasi collaborazione con Prospero, affermando che il routing attraverso le loro reti non implica necessariamente la fornitura dei servizi dell'azienda.

L'analisi di Trustwave ha rilevato che le richieste malevole provenienti da uno dei blocchi di rete di Proton66 (193.143.1[.]65) a febbraio 2025 hanno tentato di sfruttare alcune delle vulnerabilità critiche più recenti. Tra queste, la CVE-2025-0108, una vulnerabilità di bypass dell'autenticazione nel software PAN-OS di Palo Alto Networks, e la CVE-2024-41713, un'insufficiente validazione degli input nel componente NuPoint Unified Messaging di Mitel MiCollab.

È importante notare che lo sfruttamento delle due vulnerabilità di Fortinet FortiOS è stato attribuito a un broker di accesso iniziale chiamato Mora_001, osservato nel distribuire una nuova variante di ransomware chiamata SuperBlack. Inoltre, sono state osservate diverse campagne di malware legate a Proton66, progettate per distribuire famiglie di malware come XWorm, StrelaStealer e un ransomware chiamato WeaXor.

Un'altra attività significativa riguarda l'uso di siti web WordPress compromessi, associati all'indirizzo IP "91.212.166[.]21" di Proton66, per reindirizzare gli utenti di dispositivi Android a pagine di phishing che imitano le liste di app di Google Play, inducendoli a scaricare file APK malevoli. Gli script di reindirizzamento sono offuscati e verificano la presenza di crawler e utenti VPN o proxy.

Infine, è stato osservato che i dispositivi legati a Proton66 facilitano campagne di phishing, indirizzando utenti di lingua tedesca a comunicare con indirizzi IP specifici per il comando e controllo. Le organizzazioni sono quindi consigliate di bloccare tutti gli intervalli CIDR associati a Proton66 per neutralizzare potenziali minacce.