Se ha observado que un actor de delito cibernético novato aprovecha los servicios de un proveedor de alojamiento a prueba de balas (BPH) ruso llamado Proton66 para facilitar sus operaciones.
Los hallazgos provienen de Domainteols, que detectó la actividad después de descubrir un sitio web falso llamado CyberseCureProtect (.) Com organizado en Proton66 que se disfrazó de un servicio antivirus.
La firma de inteligencia de amenazas dijo que identificó una falla de seguridad operativa (OPSEC) en el dominio que dejó su infraestructura maliciosa expuesta, revelando así las cargas útiles maliciosas organizadas en el servidor.
«Esta revelación nos llevó a una madriguera de conejo en las operaciones de un actor de amenaza emergente conocido como Coquettte, un alojamiento aficionado a los bullets aficionados de Proton66 para distribuir malware y participar en otras actividades ilícitas», dijo en un informe compartido con The Hacker News.
Proton66, también vinculado a otro servicio de BPH conocido como Prospero, se ha atribuido a varias campañas que distribuyen malware de escritorio y Android como Gootloader, Matanbuchus, Spynote, Coper (también conocido como OCTO) y Socgholish. Las páginas de phishing alojadas en el servicio se han propagado a través de mensajes SMS para engañar a los usuarios para que ingresen sus credenciales bancarias e información de la tarjeta de crédito.
Coquettte es uno de esos actores de amenaza que aprovecha los beneficios ofrecidos por el ecosistema PROTON66 para distribuir malware bajo la apariencia de herramientas antivirus legítimas.
Esto toma la forma de un archivo ZIP («Cybersecure Pro.zip») que contiene un instalador de Windows que luego descarga un malware de segunda etapa de un servidor remoto responsable de entregar cargas de útiles secundarias desde un servidor de comando y control (C2) («CIA (.) TF»).
La segunda etapa es un cargador clasificado como Rugmi (también conocido como Penguish), que se ha utilizado en el pasado para desplegar robadores de información como Lumma, Vidar y Raccoon.
Un análisis posterior de las huellas digitales de Coquettte descubrió un sitio web personal en el que afirman ser un «ingeniero de software de 19 años, buscando un título en desarrollo de software».
Además, el dominio TF CIA (.) Se ha registrado con la dirección de correo electrónico «root@coquettte (.) Com», confirmando que el actor de amenaza controlaba el servidor C2 y operaba el sitio de ciberseguridad falso como un centro de distribución de malware.
«Esto sugiere que Coquettte es un individuo joven, posiblemente un estudiante, que se alinea con los errores de aficionados (como el directorio abierto) en sus esfuerzos de delitos cibernéticos», dijo Domaindools.
Las empresas del actor de amenaza no se limitan al malware, ya que también han estado ejecutando otros sitios web que venden guías para fabricar sustancias y armas ilegales. Se cree que Coquettte está ligeramente atado a un grupo de piratería más amplio que se llama Horrid.
«El patrón de infraestructura superpuesta sugiere que los individuos detrás de estos sitios pueden referirse a sí mismos como ‘horribles’, siendo Coquettte un alias de uno de los miembros en lugar de un actor solitario», dijo la compañía.
«La afiliación del grupo con múltiples dominios vinculados al delito cibernético y el contenido ilícito sugiere que funciona como una incubadora para inspirar o cibercriminarios aficionados, proporcionando recursos e infraestructura a aquellos que buscan establecerse en círculos de piratería subterráneos».
