Infoblox Threat Intel

Hazy Hawk

Hazy Hawk est un acteur de menace spécialisé dans le détournement DNS, détecté pour la première fois par Infoblox lorsqu’il a pris le contrôle de sous-domaines des Centres américains pour le contrôle et la prévention des maladies (CDC) en exploitant des enregistrements CNAME orphelins pointant vers des ressources cloud abandonnées (Azure, AWS, GitHub, Cloudflare) provenant de grandes organisations telles que Deloitte, Berkeley, UNICEF, et bien d’autres. Après avoir enregistré les noms de ressources abandonnées, Hazy Hawk prend le contrôle de sous-domaines à l’apparence légitime et héberge des centaines d’URL malveillantes qui exploitent la crédibilité et la visibilité SEO des domaines parents. Les victimes sont redirigées via des systèmes de distribution de trafic (TDS) vers des arnaques de support technique, de fausses pages antivirus, des malwares à télécharger, des pages de phishing ou des sites de streaming pornographiques ou frauduleux.

En activité depuis : au moins 2023
Découvert par Infoblox en : février 2025
Publié par Infoblox en : mai 2025
Prévalence : peu fréquente

Ressources sur les acteurs de menace

Blog

Infoblox Threat Intel
20 mai 2025

Risque de détournement : des enregistrements DNS négligés exploités par un acteur de menace

Découvrez un acteur de menace qui identifie des enregistrements DNS persistants issus de services cloud abandonnés et les utilise pour diffuser des escroqueries via la la publicité en ligne (adtech).

Infoblox Threat Intel

Hazy Hawk

Ressources sur les acteurs de menace

Blog

Risque de détournement : des enregistrements DNS négligés exploités par un acteur de menace

Produits

Solutions

Entreprise

Ressources

Suivez les nouveautés d'Infoblox