Redazione RHC : 5 agosto 2025 07:16
Los especialistas de Solar 4RAYS del Grupo Solar han descubierto un nuevo grupo de hackers, Proxy Trickster, dedicado a la minería de criptomonedas y al proxyjacking (interceptación del control de servidores para su conversión y venta). A lo largo de un año, los atacantes atacaron casi 900 servidores en 58 países. En marzo de 2025, especialistas investigaron un incidente de ciberseguridad en una empresa de TI y descubrieron la actividad de un grupo previamente desconocido llamado Proxy Trickster.
Los hackers obtienen sus principales ingresos de la minería de criptomonedas y el proxyjacking, que consiste en tomar el control de servidores legítimos explotando vulnerabilidades conocidas, convirtiéndolos en servidores proxy y luego vendiéndolos en la darknet a otros delincuentes para que puedan ocultar sus actividades y direcciones IP. Los primeros indicios de ataques de Proxy Trickster datan de mayo de 2024, y los hackers han continuado sus actividades desde entonces.
En el ataque estudiado por los expertos, el punto de entrada no se restauró, pero los analistas de Cado Security escribieron que el grupo está utilizando vulnerabilidades previamente descubiertas en Selenium Grid. En el caso estudiado por Solar 4RAYS, no se utilizó este software, por lo que se planteó la hipótesis de que el grupo atacó varios servicios públicos que ya presentaban vulnerabilidades conocidas.
Durante más de un año de actividad, se infectaron al menos 874 dispositivos en 58 países. El mayor número de servidores atacados se detectó en Estados Unidos (16 % del total de servidores infectados), Alemania (6 %), Rusia (4 %), Ucrania (4 %), Francia (4 %) y otros países. A partir de esto, los investigadores concluyen que la ubicación geográfica de los objetivos no es relevante para los hackers: atacan cualquier servidor disponible para obtener ganancias.
Los investigadores creen que el grupo es más bien un grupo de aficionados, que utilizan herramientas y técnicas de hackers profesionales que atacan con fines de espionaje y destrucción. Proxy Trickster reemplaza las utilidades del sistema (ps, pstree, pkill) con scripts personalizados que ocultan procesos maliciosos (por ejemplo, [kworker/u8:1-events_unbound]) a los administradores del sistema y también utiliza automatización de ataques multinivel.
Diagrama general del funcionamiento del script
Además, el grupo conserva el acceso a los servidores atacados, lo que, en teoría, permite ataques más complejos. En otras palabras, el grupo podría representar una amenaza para cientos, si no miles, de empresas.
RedazioneEl equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
