Un actor de amenaza conocido como Hazmas se ha observado secuestrar capital en la cúmulo abandonados de organizaciones de suspensión perfil, incluidos los cubos de Amazon S3 y los puntos finales de Microsoft Azure, aprovechando las configuraciones erróneas en los registros del sistema de nombres de dominio (DNS).
Los dominios secuestrados se utilizan para penetrar las URL que dirigen a los usuarios a estafas y malware a través de sistemas de distribución de tráfico (TDSE), según Informlox. Algunos de los otros capital usurpados por el actor de amenazas incluyen los alojados en Akamai, Bunny CDN, Cloudflare CDN, GitHub y Netlify.
La firma de inteligencia de amenazas del DNS dijo que descubrió por primera vez al actor de amenaza luego de que obtuvo el control de varios subdominios asociados con el Centro de Control de Enfermedades de los Estados Unidos (CDC) en febrero de 2025.
Desde entonces se ha determinado que otras agencias gubernamentales en todo el mundo, universidades prominentes y corporaciones internacionales como Deloitte, PricewaterhouseCoopers y Ernst & Young han sido víctimas por el mismo actor de amenazas desde al menos diciembre de 2023.
“Quizás lo más sobresaliente de Hazy Hawk es que estos dominios vulnerables y difíciles de descubrir con lazos con las estimadas organizaciones no se están utilizando para el espionaje o el delito cibernético ‘Highbrow'”, dijeron Jacques Portal y Renée Burton de InfoBlox en un documentación compartido con Hacker News.
“En cambio, se alimentan en el sórdido inframundo de Adtech, llevan a las víctimas a una amplia variedad de estafas y aplicaciones falsas, y utilizan notificaciones de navegador para desencadenar procesos que tendrán un impacto persistente”.
Lo que hace que las operaciones de bromo Hawk sean notables es el secuestro de dominios confiables y de buena reputación que pertenecen a organizaciones legítimas, lo que aumenta su credibilidad en los resultados de búsqueda cuando se están utilizando para servir contenido sagaz y spam. Pero aún más preocupante, el enfoque permite a los actores de amenaza evitar la detección.
La colchoneta de la operación es la capacidad de los atacantes para apoderarse del control de dominios abandonados con registros de DNS CNAME de colgantes, una técnica previamente expuesta por Guardio a principios de 2024 como explotada por los malos actores para la proliferación de spam y la monetización de clics. Todo lo que un actor de amenaza debe hacer es registrar el memorial que descuido para secuestrar el dominio.
Hazy Hawk va un paso más allá al encontrar capital en la cúmulo abandonados y luego comandándolos con fines maliciosos. En algunos casos, el actor de amenaza emplea técnicas de redirección de URL para ocultar qué memorial en la cúmulo fue secuestrado.
“Utilizamos el nombre Hazy Hawk para este actor conveniente a cómo encuentran y secuestran capital en la cúmulo que tienen registros DNS CNAME y luego los usan en la distribución de URL maliciosa”, dijo Informlox. “Es posible que el componente de secuestro de dominio sea proporcionado como un servicio y que sea utilizado por un corro de actores”.
Las cadenas de ataque a menudo implican clonar el contenido de sitios legítimos para su sitio original alojado en los dominios secuestrados, mientras atrae a las víctimas a visitarlas con contenido pornográfico o pirateado. Los visitantes del sitio se canalizan a través de un TDS para determinar dónde aterrizan a continuación.
“Hazy Hawk es una de las docenas de actores de amenazas que rastreamos interiormente del mundo de los afiliados publicitarios”, dijo la compañía. “Los actores de amenaza que pertenecen a programas de publicidad afiliados llevan a los usuarios al contenido sagaz personalizado y están incentivados para incluir solicitudes para permitir notificaciones push de ‘sitios web’ a lo espacioso de la ruta de redirección”.
Al hacerlo, la idea es inundar el dispositivo de una víctima con notificaciones push y entregar un torrente interminable de contenido sagaz, con cada notificación que conduce a diferentes estafas, sharware y encuestas falsas, y acompañado de solicitudes para permitir más notificaciones push.
Para aprestar y proteger contra las actividades de Hazy Hawk, se recomienda a los propietarios de dominios para eliminar un registro de DNS CNAME tan pronto como se clausura un memorial. Se recomienda a los usuarios finales, por otro costado, que niegue las solicitudes de notificación de los sitios web que no conocen.
“Si perfectamente los operadores como Hazy Hawk son responsables del señuelo original, el heredero que hace clic es llevado a un bullicio de adtech sagaz incompleto y invariable. El hecho de que Hazy Hawk ponga un esfuerzo considerable en la ubicación de dominios vulnerables y luego usarlos para operaciones de estafas muestra que estos programas publicitarios de afiliados son lo suficientemente exitosos para retribuir perfectamente”, dijo Informlox.
