Redazione RHC : 5 agosto 2025 07:16
Los especialistas de Solar 4RAYS del Grupo Solar han descubierto un nuevo grupo de hackers, Proxy Trickster, dedicado a la minería de criptomonedas y al proxyjacking (interceptación del control de servidores para su conversión y venta). A lo largo de un año, los atacantes atacaron casi 900 servidores en 58 países. En marzo de 2025, especialistas investigaron un incidente de ciberseguridad en una empresa de TI y descubrieron la actividad de un grupo previamente desconocido llamado Proxy Trickster.
Los hackers obtienen sus principales ingresos de la minería de criptomonedas y el proxyjacking, que consiste en tomar el control de servidores legítimos explotando vulnerabilidades conocidas, convirtiéndolos en servidores proxy y luego vendiéndolos en la darknet a otros delincuentes para que puedan ocultar sus actividades y direcciones IP. Los primeros indicios de ataques de Proxy Trickster datan de mayo de 2024, y los hackers han continuado sus actividades desde entonces.
En el ataque estudiado por los expertos, el punto de entrada no se restauró, pero los analistas de Cado Security escribieron que el grupo está utilizando vulnerabilidades previamente descubiertas en Selenium Grid. En el caso estudiado por Solar 4RAYS, no se utilizó este software, por lo que se planteó la hipótesis de que el grupo atacó varios servicios públicos que ya presentaban vulnerabilidades conocidas.
Durante más de un año de actividad, se infectaron al menos 874 dispositivos en 58 países. El mayor número de servidores atacados se detectó en Estados Unidos (16 % del total de servidores infectados), Alemania (6 %), Rusia (4 %), Ucrania (4 %), Francia (4 %) y otros países. A partir de esto, los investigadores concluyen que la ubicación geográfica de los objetivos no es relevante para los hackers: atacan cualquier servidor disponible para obtener ganancias.
Los investigadores creen que el grupo es más bien un grupo de aficionados, que utilizan herramientas y técnicas de hackers profesionales que atacan con fines de espionaje y destrucción. Proxy Trickster reemplaza las utilidades del sistema (ps, pstree, pkill) con scripts personalizados que ocultan procesos maliciosos (por ejemplo, [kworker/u8:1-events_unbound]) a los administradores del sistema y también utiliza automatización de ataques multinivel.
Diagrama general del funcionamiento del script
Además, el grupo conserva el acceso a los servidores atacados, lo que, en teoría, permite ataques más complejos. En otras palabras, el grupo podría representar una amenaza para cientos, si no miles, de empresas.
RedazioneUna publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...
«Necesito un sistema para gestionar los eventos de mi iglesia: voluntarios, registro, planificación de eventos comunitarios.». Dos semanas después de escribir esta propuesta, John ...
El estado estadounidense de Wyoming, con una población de poco menos de 600.000 habitantes, podría contar con un centro de datos que consuma más electricidad que toda la población ...
Para más información: [email protected]
