Redazione RHC : 5 agosto 2025 07:16
Los especialistas de Solar 4RAYS del Grupo Solar han descubierto un nuevo grupo de hackers, Proxy Trickster, dedicado a la minería de criptomonedas y al proxyjacking (interceptación del control de servidores para su conversión y venta). A lo largo de un año, los atacantes atacaron casi 900 servidores en 58 países. En marzo de 2025, especialistas investigaron un incidente de ciberseguridad en una empresa de TI y descubrieron la actividad de un grupo previamente desconocido llamado Proxy Trickster.
Los hackers obtienen sus principales ingresos de la minería de criptomonedas y el proxyjacking, que consiste en tomar el control de servidores legítimos explotando vulnerabilidades conocidas, convirtiéndolos en servidores proxy y luego vendiéndolos en la darknet a otros delincuentes para que puedan ocultar sus actividades y direcciones IP. Los primeros indicios de ataques de Proxy Trickster datan de mayo de 2024, y los hackers han continuado sus actividades desde entonces.
En el ataque estudiado por los expertos, el punto de entrada no se restauró, pero los analistas de Cado Security escribieron que el grupo está utilizando vulnerabilidades previamente descubiertas en Selenium Grid. En el caso estudiado por Solar 4RAYS, no se utilizó este software, por lo que se planteó la hipótesis de que el grupo atacó varios servicios públicos que ya presentaban vulnerabilidades conocidas.
Durante más de un año de actividad, se infectaron al menos 874 dispositivos en 58 países. El mayor número de servidores atacados se detectó en Estados Unidos (16 % del total de servidores infectados), Alemania (6 %), Rusia (4 %), Ucrania (4 %), Francia (4 %) y otros países. A partir de esto, los investigadores concluyen que la ubicación geográfica de los objetivos no es relevante para los hackers: atacan cualquier servidor disponible para obtener ganancias.
Los investigadores creen que el grupo es más bien un grupo de aficionados, que utilizan herramientas y técnicas de hackers profesionales que atacan con fines de espionaje y destrucción. Proxy Trickster reemplaza las utilidades del sistema (ps, pstree, pkill) con scripts personalizados que ocultan procesos maliciosos (por ejemplo, [kworker/u8:1-events_unbound]) a los administradores del sistema y también utiliza automatización de ataques multinivel.
Diagrama general del funcionamiento del script
Además, el grupo conserva el acceso a los servidores atacados, lo que, en teoría, permite ataques más complejos. En otras palabras, el grupo podría representar una amenaza para cientos, si no miles, de empresas.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
