Vault Viper es un sofisticado actor de amenazas vinculado al crimen organizado del sudeste asiático. Emplea un navegador personalizado para facilitar el juego ilegal en línea, la exfiltración de datos y el blanqueo de capitales. Su vasta infraestructura de DNS respalda operaciones de fraude a escala global.

¿Por qué es especial? Este es nuestro primer informe sobre un navegador personalizado combinado con una infraestructura de DNS para habilitar actividades de ciberdelincuencia y distribución de amenazas.

Detour Dog es un afiliado malicioso de adtech que utiliza registros DNS TXT para redirigir condicionalmente a las víctimas desde decenas de miles de sitios web comprometidos o para recuperar contenido remoto y ejecutarlo. Detour Dog ha sido afiliado a Help TDS, Los Pollos y Monetizer, y se ha asociado con Hive0145 para entregar el Software malicioso Strela Stealer.

¿Por qué es especial? Detour Dog conecta los TDS y el software malicioso C2, operando un sistema de retransmisión que enruta dinámicamente amenazas a través de DNS, una técnica poco común y sigilosa.

Vane Viper es un ecosistema de adtech malicioso creado en torno a la empresa rusa AdTech Holdings, con sede en Chipre, y sus filiales. Abusa de las notificaciones push para mantener su persistencia y opera un TDS para redirigir tráfico hacia una variedad de contenidos maliciosos.

¿Por qué es especial? En esta investigación se identifica a las personas y organizaciones que componen la extensa red de TDS y afiliados, lo que incluye a PropellerAds.

Hazy Hawk es un actor de amenazas experto en DNS que secuestra registros CNAME abandonados que apuntan a recursos en la nube que no se utilizan, pertenecientes a grandes organizaciones nacionales. El actor aloja URL de estafas y software malicioso bajo estos subdominios confiables, utilizando TDS y el abuso de notificaciones push para atacar a las víctimas.

¿Por qué es especial? Este es el primer informe sobre un actor que secuestra CNAMES huérfanos en recursos de nube abandonados.

Reckless Rabbit es un operador sofisticado de estafas que emplea anuncios en redes sociales, falsos respaldos de celebridades y páginas de destino multiidioma para atraer víctimas hacia fraudes de inversión.

Utiliza técnicas avanzadas como RDGA, DNS comodín y sistemas de encubrimiento basados en TDS para evadir la detección, escalar sus operaciones rápidamente y redirigir a los objetivos según su ubicación geográfica o dispositivo utilizado, lo que complica significativamente su rastreo y bloqueo.

Ruthless Rabbit, activa desde finales de 2022, constituye una operación de estafas de inversión basada en infraestructura del DNS que se centra específicamente en la Europa del Este.

Utiliza algoritmos de generación de dominios registrados (RDGA) para anticiparse y registrar miles de dominios fraudulentos, junto con DNS comodín y servicios de encubrimiento para filtrar bots y redirigir a los usuarios validados hacia falsas «plataformas de ganancias».

Morphing Meerkat opera una plataforma de phishing como servicio (PhaaS). Este actor utiliza registros MX del DNS para identificar el proveedor de correo electrónico de la víctima y mostrarle dinámicamente páginas de inicio de sesión falsas. Morphing Meerkat se aprovecha de sitios web de WordPress comprometidos, así como de las vulnerabilidades de redireccionamiento abierto en servidores de adtech.

Hasty Hawk secuestra dominios con delegación de servidores de nombres inactivos cuyos proveedores DNS autorizados son vulnerables, y luego los utiliza para campañas de phishing.

¿Por qué es especial? El actor secuestra dominios vulnerables mediante ataques de «blanco fácil» y ha realizado campañas de phishing suplantando páginas de DHL y sitios falsos de donaciones.

Un actor de amenazas con motivaciones financieras ha secuestrado miles de dominios desde al menos febrero de 2023 para ejecutar fraudes de inversión. Estos dominios secuestrados se infiltran en anuncios de Facebook de corta duración, que se dirigen en más de 30 idiomas a usuarios de varios continentes.

¿Por qué es especial? Los dominios secuestrados se usurpan mediante el vector de ataque Sitting Ducks y se utilizan en cada paso de las campañas de los actores.

Un sindicato del crimen organizado chino que diseñó y opera un paquete tecnológico es una auténtica cadena de suministro para la ciberdelincuencia, compuesta por software, configuraciones del Domain Name System (DNS), alojamientos web, mecanismos de pago, aplicaciones para móviles y mucho más.

¿Por qué es especial? Esta investigación ata los cabos de numerosas historias de periodistas y activistas de derechos humanos hasta llegar a una sola red de crimen organizado.

Un actor malicioso abusa de los servidores de resolución abiertos en todo el mundo con registros MX y provoca que el Gran Cortafuegos de China actúe misteriosamente.

¿Por qué es especial? Primera documentación de registros DNS MX modificados por el Gran Cortafuegos.

Un actor de fraude de inversión persistente que aprovecha los registros DNS CNAME como sistema de distribución de tráfico (TDS) para controlar el acceso a su contenido malicioso difundido a través de anuncios de Facebook.

¿Por qué es especial? Primera descripción del uso de registros CNAME de DNS por parte de los actores de amenazas para controlar y dirigir el contenido para los usuarios.

Un servicio malicioso de acortamiento de enlaces utilizado por delincuentes para atacar a consumidores de todo el mundo. Este actor superó con éxito los controles de privacidad del usTLD antes de ser descubierto por Infoblox.

¿Por qué es especial? Primera descripción de un abreviador de enlaces malicioso en la industria.

Un actor de phishing que roba credenciales de consumidores de Europa, Estados Unidos y Australia utilizando dominios parecidos a instituciones financieras y agencias tributarias gubernamentales. Anteriormente conocido como Open Tangle.

¿Por qué es especial? Es la primera vez que se informa de un actor de dominios lookalike.

Un conjunto de herramientas de software malicioso DNS C2 de un estado nación. Confirmado como una variante avanzada de Pupy RAT, los proveedores de seguridad rusos afirmaron posteriormente que Decoy Dog se utilizó para interrumpir las infraestructuras críticas rusas.

¿Por qué es especial? Primer descubrimiento y caracterización de un software malicioso C2 únicamente a partir de DNS.

El sistema de distribución de tráfico (TDS) más antiguo conocido en el sector, con el mayor número de afiliados criminales que intermedian en el tráfico de otros mientras distribuyen sus propias campañas maliciosas.

¿Por qué es especial? Primera identificación de un TDS a gran escala descubierto mediante DNS y el uso de un algoritmo de generación de dominios de diccionario (DDGA).