محققان امنیت سایبری افزایش چشمگیری در “اسکن انبوه، حملات brute-force به اعتبارنامه‌ها و تلاش‌های سوءاستفاده” را از آدرس‌های IP مرتبط با ارائه‌دهنده خدمات میزبانی ضدگلوله روسی به نام Proton66 گزارش کرده‌اند. این فعالیت‌ها که از ۸ ژانویه ۲۰۲۵ شناسایی شده، سازمان‌های سراسر جهان را هدف قرار داده و شامل سوءاستفاده از آسیب‌پذیری‌های بحرانی اخیر مانند CVE-2025-0108 در نرم‌افزار Palo Alto Networks، CVE-2024-41713 در Mitel MiCollab، و آسیب‌پذیری‌های Fortinet FortiOS می‌باشد. تحلیل‌ها نشان می‌دهد که خانواده‌های مختلف بدافزار از جمله GootLoader و SpyNote سرورهای فرمان و کنترل خود را در زیرساخت Proton66 میزبانی کرده‌اند.

زیرساخت مرتبط با Proton66 همچنین برای کمپین‌های مختلف بدافزاری استفاده شده که شامل توزیع XWorm، StrelaStealer و باج‌افزار WeaXor می‌شود. یکی از فعالیت‌های قابل توجه، استفاده از وب‌سایت‌های WordPress آسیب‌دیده برای هدایت کاربران Android به صفحات فیشینگ جعلی Google Play است که کاربران فرانسوی، اسپانیایی و یونانی را هدف قرار می‌دهد. سازمان‌ها توصیه می‌شوند تمام محدوده‌های CIDR مرتبط با Proton66 و Chang Way Technologies را مسدود کنند تا تهدیدات احتمالی را خنثی سازند.