Uma falha de segurança revelou as atividades de Coquettte, um jovem cibercriminoso que usava a infraestrutura da empresa russa de hospedagem protegida Proton66 para operar uma rede de malware. A descoberta foi feita pela empresa DomainTools, ao investigar um site falso chamado cybersecureprotect[.]com, que se passava por antivírus, mas na verdade distribuía arquivos maliciosos.

O site hospedava um arquivo ZIP contendo um instalador que, ao ser executado, baixava uma segunda carga de um servidor remoto, ligado ao domínio cia[.]tf. O malware final era um loader conhecido como Rugmi (ou Penguish), usado para instalar ladrões de informações como Lumma, Vidar e Raccoon. A infraestrutura maliciosa estava aberta por erro de configuração, revelando detalhes da operação.

Durante a investigação, os analistas encontraram um site pessoal onde o operador se apresentava como um estudante de 19 anos cursando desenvolvimento de software. O domínio do servidor malicioso foi registrado com o e-mail “root@coquettte[.]com”, confirmando a autoria. Além de malware, o operador também mantinha sites que vendem guias para fabricação de drogas e armas. Há indícios de ligação com o grupo hacker Horrid, conhecido por abrigar cibercriminosos iniciantes. A infraestrutura usada inclui serviços da Proton66, já vinculada a outras campanhas envolvendo malware como GootLoader, SpyNote e SocGholish, além de páginas de phishing enviadas por SMS.