Un actor de amenazas con motivaciones financieras ha secuestrado miles de dominios desde al menos febrero de 2023 para ejecutar fraudes de inversión. Estos dominios secuestrados se infiltran en anuncios de Facebook de corta duración, que se dirigen en más de 30 idiomas a usuarios de varios continentes.

¿Por qué es especial? Los dominios secuestrados se usurpan mediante el vector de ataque Sitting Ducks y se utilizan en cada paso de las campañas de los actores.

Un sindicato del crimen organizado chino que diseñó y opera un paquete tecnológico es una auténtica cadena de suministro para la ciberdelincuencia, compuesta por software, configuraciones del Domain Name System (DNS), alojamientos web, mecanismos de pago, aplicaciones para móviles y mucho más.

¿Por qué es especial? Esta investigación ata los cabos de numerosas historias de periodistas y activistas de derechos humanos hasta llegar a una sola red de crimen organizado.

Actor de DNS que utiliza un algoritmo avanzado para crear cientos de miles de dominios para su uso en campañas publicitarias.

¿Por qué es especial? El RDGA de Revolver Rabbit es prolífico, variado y ejemplifica la dificultad de descubrir y determinar la naturaleza de las redes diseñadas para ofuscar las operaciones de los actores.

Un actor malicioso abusa de los servidores de resolución abiertos en todo el mundo con registros MX y provoca que el Gran Cortafuegos de China actúe misteriosamente.

¿Por qué es tan especial? Primera documentación de registros DNS MX modificados por el Gran Cortafuegos.

Un actor de fraude de inversión persistente que aprovecha los registros DNS CNAME como sistema de distribución de tráfico (TDS) para controlar el acceso a su contenido malicioso difundido a través de anuncios de Facebook.

¿Por qué es especial? Primera descripción del uso de registros CNAME de DNS por parte de los actores de amenazas para controlar y dirigir el contenido para los usuarios.

Un servicio malicioso de acortamiento de enlaces utilizado por delincuentes para atacar a consumidores de todo el mundo. Este actor superó con éxito los controles de privacidad del usTLD antes de ser descubierto por Infoblox.

¿Por qué es especial? Primera descripción de un abreviador de enlaces malicioso en la industria.

Un actor de phishing que roba credenciales de consumidores de Europa, Estados Unidos y Australia utilizando dominios parecidos a instituciones financieras y agencias tributarias gubernamentales. Anteriormente conocido como Open Tangle.

¿Por qué es especial? Es la primera vez que se informa de un actor de dominios lookalike.

Un conjunto de herramientas de software malicioso DNS C2 de un estado nación. Confirmado como una variante avanzada de Pupy RAT, los proveedores de seguridad rusos afirmaron posteriormente que Decoy Dog se utilizó para interrumpir las infraestructuras críticas rusas.

¿Por qué es especial? Primer descubrimiento y caracterización de un software malicioso C2 únicamente a partir de DNS.

El sistema de distribución de tráfico (TDS) más antiguo conocido en el sector, con el mayor número de afiliados criminales que intermedian en el tráfico de otros mientras distribuyen sus propias campañas maliciosas.

¿Por qué es especial? Primera identificación de un TDS a gran escala descubierto mediante DNS y el uso de un algoritmo de generación de dominios de diccionario (DDGA).