Peneliti cybersecurity telah mengungkapkan lonjakan “pemindaian massal, upaya kredensial brute, dan upaya eksploitasi” yang berasal dari alamat IP yang terkait dengan penyedia layanan hosting Bulletproof Rusia bernama bernama Proton66.
Kegiatan tersebut, terdeteksi sejak 8 Januari 2025, organisasi yang ditargetkan di seluruh dunia, menurut analisis dua bagian yang diterbitkan oleh Trustwave Spiderlabs minggu lalu.
“Blok bersih 45.135.232.0/24 dan 45.140.17.0/24 sangat aktif dalam hal pemindaian massal dan upaya-upaya kasar,” kata peneliti keamanan Pawel Knapczyk dan Dawid Nesterowicz. “Beberapa alamat IP yang menyinggung sebelumnya tidak terlihat terlibat dalam aktivitas jahat atau tidak aktif selama lebih dari dua tahun.”
Sistem otonom Rusia Proton66 dinilai dikaitkan dengan sistem otonom lain bernama Prospero. Tahun lalu, perusahaan keamanan Prancis Intrinsec merinci koneksi mereka dengan layanan anti peluru yang dipasarkan di forum kejahatan dunia maya Rusia dengan nama SecureHost dan Bearhost.
Beberapa keluarga malware, termasuk gootloader dan spynote, telah menjadi tuan rumah server perintah-dan-kontrol (C2) dan halaman phishing di Proton66. Awal Februari ini, jurnalis keamanan Brian Krebs mengungkapkan bahwa Prospero telah mulai merutekan operasinya melalui jaringan yang dijalankan oleh vendor antivirus Rusia Kaspersky Lab di Moskow.
Namun, Kaspersky membantah telah bekerja dengan Prospero dan bahwa “routing melalui jaringan yang dioperasikan oleh Kaspersky tidak secara default berarti penyediaan layanan perusahaan, karena jalur sistem otomatis Kaspersky (AS) mungkin muncul sebagai awalan teknis dalam jaringan penyedia telekomunikasi perusahaan bekerja dengan dan menyediakan layanan DDOS -nya.”
Analisis terbaru Trustwave telah mengungkapkan bahwa permintaan jahat yang berasal dari salah satu blok bersih Proton66 (193.143.1[.]65) Pada bulan Februari 2025 berusaha untuk mengeksploitasi beberapa kerentanan kritis terbaru –
- CVE-2025-0108 – Kerentanan bypass otentikasi di perangkat lunak Palo Alto Networks PAN-OS
- CVE-2024-41713 – Kerentanan validasi input yang tidak mencukupi dalam komponen Nupoint Unified Messaging (NPM) dari Mitel Micollab
- CVE-2024-10914 – Kerentanan injeksi perintah D-link nas
- CVE-2024-55591 & CVE-2025-24472 – Kerentanan bypass otentikasi di Fortinet Fortios
Perlu dicatat bahwa eksploitasi dari dua kelemahan Fortinet Fortios telah dikaitkan dengan broker akses awal yang dijuluki Mora_001, yang telah diamati memberikan strain ransomware baru yang disebut SuperBlack.
Perusahaan cybersecurity mengatakan mereka juga mengamati beberapa kampanye malware yang terkait dengan Proton66 yang dirancang untuk mendistribusikan keluarga malware seperti XWorm, Strelastealer, dan ransomware bernama Weaxor.
Kegiatan penting lainnya menyangkut penggunaan situs web WordPress yang dikompromikan terkait dengan alamat IP terkait Proton66 “91.212.166[.]21 “untuk mengarahkan kembali pengguna perangkat Android ke halaman phishing yang meniru daftar aplikasi Google Play dan menipu pengguna untuk mengunduh file apk berbahaya.
Pengalihan difasilitasi dengan cara JavaScript berbahaya yang di -host di alamat IP Proton66. Analisis nama domain Play Store palsu menunjukkan bahwa kampanye ini dirancang untuk menargetkan pengguna Prancis, Spanyol, dan berbahasa Yunani.
“Skrip redirektor dikaburkan dan melakukan beberapa cek terhadap korban, seperti tidak termasuk crawler dan pengguna VPN atau proxy,” jelas para peneliti. “Pengguna IP diperoleh melalui kueri ke ipify.org, maka keberadaan VPN pada proxy diverifikasi melalui kueri berikutnya ke ipinfo.io. Pada akhirnya, pengalihan hanya terjadi jika browser Android ditemukan.”
Juga di-host di salah satu alamat IP Proton66 adalah arsip ZIP yang mengarah pada penyebaran malware XWorm, khususnya memilih pengguna ruang obrolan berbahasa Korea yang menggunakan skema rekayasa sosial.
Tahap pertama serangan adalah jalan pintas Windows (LNK) yang mengeksekusi perintah PowerShell, yang kemudian menjalankan skrip dasar visual yang, pada gilirannya, mengunduh .NET DLL yang dikodekan base64 dari alamat IP yang sama. DLL mulai mengunduh dan memuat biner XWorm.
Infrastruktur terkait Proton66 juga telah digunakan untuk memfasilitasi kampanye email phishing yang menargetkan pengguna berbahasa Jerman dengan Strelastealer, pencuri informasi yang berkomunikasi dengan alamat IP (193.143.1[.]205) untuk C2.
Terakhir, artefak weaxor ransomware – versi revisi mallox – telah ditemukan menghubungi server C2 di jaringan Proton66 (“193.143.1[.]139 “).
Organisasi disarankan untuk memblokir semua rentang routing antar-domain tanpa kelas (CIDR) yang terkait dengan Proton66 dan Chang Way Technologies, kemungkinan penyedia yang berbasis di Hong Kong, untuk menetralisir ancaman potensial.
