En un incidente poco común, un actor de amenazas expuso involuntariamente sus métodos operativos y rutinas diarias tras instalar el software de seguridad Huntress en su propio equipo. Este error inesperado ofreció a los analistas una visión rara de cómo los atacantes utilizan inteligencia artificial (IA), automatización y herramientas de investigación para optimizar sus flujos de trabajo.

Dentro del flujo de trabajo del atacante

Huntress informó que el actor descubrió la compañía mediante un anuncio en Google mientras buscaba soluciones de ciberseguridad. Tras iniciar una prueba gratuita y descargar el agente, sus actividades fueron registradas en detalle. Los analistas pudieron confirmar la identidad del adversario mediante un nombre de equipo conocido y el historial del navegador, que evidenciaba conductas de ataque activas.

Durante un período de tres meses, los datos revelaron que el actor:

• Probaba múltiples herramientas de seguridad
• Usaba plataformas de automatización de flujo de trabajo como Make.com
• Investigaba APIs de bots de Telegram para agilizar operaciones
• Exploraba generadores de texto y hojas de cálculo impulsados por IA para crear correos de phishing y gestionar información robada

Observaciones clave

La inteligencia de Huntress destacó varios comportamientos importantes del actor de amenazas:

• Uso de Censys para localizar servidores activos de Evilginx
• Investigación de servicios de proxy residencial como LunaProxy y Nstbrowser para ocultar el tráfico
• Reconocimiento de instituciones financieras, empresas de software y firmas inmobiliarias
• Uso intensivo de Google Translate para preparar mensajes de phishing
• Acceso a foros de la dark web como STYX Market y repositorios de malware
• Intentos de ataques de suplantación de identidad mediante ROADtools Token eXchange

Lecciones para los defensores cibernéticos

Huntress vinculó la infraestructura del atacante, alojada en el proveedor canadiense VIRTUO, con al menos 2,471 identidades comprometidas en un período de dos semanas. Muchos de estos intentos fueron bloqueados por medidas de seguridad existentes, incluyendo defensas contra reglas de correo maliciosas y robo de tokens.

“Este incidente nos brindó una visión detallada de las actividades diarias de un actor de amenazas,” explicaron los investigadores de Huntress. “Pudimos observar las herramientas que utilizaba, sus métodos de investigación y cómo abordaba las distintas fases de los ataques.”

El caso subraya cómo errores simples de los atacantes pueden ofrecer inteligencia valiosa para los defensores, mejorando tanto la capacidad de detección como las estrategias de respuesta ante incidentes.

Fuente: https://www.infosecurity-magazine.com/news/threat-actor-exposes-operations