Infoblox identifica un nuevo actor malicioso dedicado al secuestro de recursos cloud no utilizados

Hazy Hawk es un sofisticado actor malicioso que explota registros DNS abandonados y alojados en la nube, tales como buckets de Amazon S3 y endpoints de Azure, para llevar a cabo el secuestro de subdominios (subdomain hijacking).

La utilización masiva por parte de las empresas de servicios cloud ha provocado que también se haya disparado el número de recursos abandonados que siguen ejecutándose automáticamente, y que son aprovechados por actores maliciosos como parte de la cadena de suministro de sus ataques. 

Mayo de 2025 – Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha identificado un nuevo actor malicioso dedicado al secuestro de subdominios (subdomain hijacking), queexplota recursos en la nube abandonados o no utilizados por sus propietarios. Una vez secuestrados, estos dominios son utilizados para llevar a cabo ciberestafas a gran escala y distribuir malware.  

Esta nueva ciberamenaza, denominada por Infoblox Hazy Hawk, es un sofisticado actor malicioso que explota registros DNS abandonados y alojados en la nube, tales como buckets de Amazon S3 y endpointsde Azure. Hazy Hawk toma el control de estos recursos y los utiliza para alojar URL maliciosas que conducen a los usuarios a sitios donde pueden ser víctimas de estafas o infectar sus equipos con malware. Entre las principales características de este actor se encuentran: 

• Uso de técnicas de hijacking altamente sofisticadas: A diferencia de los actores de secuestro de dominios tradicionales, Hazy Hawkexplota configuraciones incorrectas de DNS en la nube, para lo cual necesita tener acceso a servicios DNS pasivos. 
• Impacto a gran escala, geográfico y económico: los dominios secuestrados se utilizan para ejecutar campañas de estafas, como anuncios falsos y notificaciones maliciosas, que afectan a millones de usuarios en todo el mundo. Además, las estafas perpetradas utilizando dominios secuestrados por este actor suponen fraudes multimillonarios, especialmente entre determinados segmentos de usuarios. 
• Opacidad: Hazy Hawk utiliza diferentes métodos de ofuscación, diferentes niveles de defensa para proteger sus operaciones, como son el secuestro de dominios de organizaciones de reputación reconocida, la ofuscación de URLs y el redireccionamiento de tráfico a través de múltiples dominios. 

El secuestro de subdominios a través de recursos abandonados en la nube está en aumento. Hazy Hawk aprovecha la circunstancia de que identificar registros DNS vulnerables en la nube es mucho más difícil que identificar dominios no registrados. El gran incremento en la utilización por parte de las empresas de servicios cloud ha provocado que también se haya disparado el número de recursos abandonados que siguen ejecutándose automáticamente.  

Esto sucede especialmente en casos en los que las organizaciones no utilizan una solución integral que les proporcione visibilidad y capacidad de gestión de sus activos de TI basados en la nube. Hazy Hawk es el responsable del secuestro de subdominios de diversas organizaciones norteamericanas, agencias gubernamentales, universidades y multinacionales desde diciembre de 2024. 

DNS, una pieza clave en la defensa frente al secuestro de dominios 

Para defenderse de amenazas como Hazy Hawk, las organizaciones deben añadir una capa de seguridad basada en el servicio DNS a sus sistemas, por ejemplo utilizando servicios Protective DNS, basados en inteligencia de seguridad, que impiden a los usuarios el acceso a medios y plataformas falsos. Además, deben implementar prácticas robustas de gestión de DNS, incluyendo auditorías periódicas de los registros DNS y la eliminación inmediata de los registros asociados con servicios en la nube interrumpidos. Además, se debe formar al usuario para que rechace las solicitudes de notificaciones push de sitios web desconocidos y así evitar ser víctima de estafas.