Un actor de amenaza conocido como Hazmas se ha observado secuestrar bienes en la aglomeración abandonados de organizaciones de suspensión perfil, incluidos los cubos de Amazon S3 y los puntos finales de Microsoft Azure, aprovechando las configuraciones erróneas en los registros del sistema de nombres de dominio (DNS).
Los dominios secuestrados se utilizan para meter las URL que dirigen a los usuarios a estafas y malware a través de sistemas de distribución de tráfico (TDSE), según Informlox. Algunos de los otros bienes usurpados por el actor de amenazas incluyen los alojados en Akamai, Bunny CDN, Cloudflare CDN, GitHub y Netlify.
La firma de inteligencia de amenazas del DNS dijo que descubrió por primera vez al actor de amenaza luego de que obtuvo el control de varios subdominios asociados con el Centro de Control de Enfermedades de los Estados Unidos (CDC) en febrero de 2025.
Desde entonces se ha determinado que otras agencias gubernamentales en todo el mundo, universidades prominentes y corporaciones internacionales como Deloitte, PricewaterhouseCoopers y Ernst & Young han sido víctimas por el mismo actor de amenazas desde al menos diciembre de 2023.
«Quizás lo más trascendental de Hazy Hawk es que estos dominios vulnerables y difíciles de descubrir con lazos con las estimadas organizaciones no se están utilizando para el espionaje o el delito cibernético ‘Highbrow'», dijeron Jacques Portal y Renée Burton de InfoBlox en un noticia compartido con Hacker News.
«En cambio, se alimentan en el sórdido inframundo de Adtech, llevan a las víctimas a una amplia tonalidad de estafas y aplicaciones falsas, y utilizan notificaciones de navegador para desencadenar procesos que tendrán un impacto persistente».
Lo que hace que las operaciones de bromo Hawk sean notables es el secuestro de dominios confiables y de buena reputación que pertenecen a organizaciones legítimas, lo que aumenta su credibilidad en los resultados de búsqueda cuando se están utilizando para servir contenido malvado y spam. Pero aún más preocupante, el enfoque permite a los actores de amenaza evitar la detección.
La cojín de la operación es la capacidad de los atacantes para apoderarse del control de dominios abandonados con registros de DNS CNAME de colgantes, una técnica previamente expuesta por Guardio a principios de 2024 como explotada por los malos actores para la proliferación de spam y la monetización de clics. Todo lo que un actor de amenaza debe hacer es registrar el petición que desatiendo para secuestrar el dominio.
Hazy Hawk va un paso más allá al encontrar bienes en la aglomeración abandonados y luego comandándolos con fines maliciosos. En algunos casos, el actor de amenaza emplea técnicas de redirección de URL para ocultar qué petición en la aglomeración fue secuestrado.
«Utilizamos el nombre Hazy Hawk para este actor correcto a cómo encuentran y secuestran bienes en la aglomeración que tienen registros DNS CNAME y luego los usan en la distribución de URL maliciosa», dijo Informlox. «Es posible que el componente de secuestro de dominio sea proporcionado como un servicio y que sea utilizado por un colección de actores».
Las cadenas de ataque a menudo implican clonar el contenido de sitios legítimos para su sitio original alojado en los dominios secuestrados, mientras atrae a las víctimas a visitarlas con contenido pornográfico o pirateado. Los visitantes del sitio se canalizan a través de un TDS para determinar dónde aterrizan a continuación.
«Hazy Hawk es una de las docenas de actores de amenazas que rastreamos en el interior del mundo de los afiliados publicitarios», dijo la compañía. «Los actores de amenaza que pertenecen a programas de publicidad afiliados llevan a los usuarios al contenido malvado personalizado y están incentivados para incluir solicitudes para permitir notificaciones push de ‘sitios web’ a lo extenso de la ruta de redirección».
Al hacerlo, la idea es inundar el dispositivo de una víctima con notificaciones push y entregar un torrente interminable de contenido malvado, con cada notificación que conduce a diferentes estafas, sharware y encuestas falsas, y acompañado de solicitudes para permitir más notificaciones push.
Para organizar y proteger contra las actividades de Hazy Hawk, se recomienda a los propietarios de dominios para eliminar un registro de DNS CNAME tan pronto como se obturación un petición. Se recomienda a los usuarios finales, por otro flanco, que niegue las solicitudes de notificación de los sitios web que no conocen.
«Si aceptablemente los operadores como Hazy Hawk son responsables del señuelo original, el adjudicatario que hace clic es llevado a un follón de adtech malvado incompleto y invariable. El hecho de que Hazy Hawk ponga un esfuerzo considerable en la ubicación de dominios vulnerables y luego usarlos para operaciones de estafas muestra que estos programas publicitarios de afiliados son lo suficientemente exitosos para abonar aceptablemente», dijo Informlox.
