Ataque de Hazy Hawk detectado contra activos de la nube abandonados desde 2023

Infoblox revela Hazy Hawk, una nueva amenaza que explota recursos de la nube abandonados (S3, Azure) y vulnerabilidades de DNS desde diciembre de 2023. Conozca sus tácticas y cómo proteger a su organización y a sus usuarios.

Los investigadores de ciberseguridad de Infoblox Threat Intelligence han publicado hallazgos críticos sobre una amenaza recientemente identificada, denominada Hazy Hawk, que ha estado secuestrando activamente recursos en la nube olvidados desde al menos diciembre de 2023.

En su informe, compartido exclusivamente con Hackread.com, los investigadores señalaron que este grupo avanzado es conocido por sus tácticas de expertos en DNS y explota las brechas en los registros del Sistema de nombres de dominio (DNS) para redirigir a usuarios de Internet desprevenidos a sitios web fraudulentos y malware.

Esta revelación llega mientras la Comisión Federal de Comercio (FTC) informa un aumento significativo del 25% en las pérdidas relacionadas con estafas a partir de 2023, totalizando una enorme suma de $12.5 mil millones.

Infoblox detectó por primera vez las actividades de Hazy Hawk en febrero de 2025, cuando el grupo logró controlar subdominios pertenecientes a los Centros para el Control y la Prevención de Enfermedades (CDC) de EE. UU. El periodista de ciberseguridad Brian Krebs fue el primero en notar actividad sospechosa en el dominio de los CDC.

Investigaciones posteriores revelaron que agencias gubernamentales globales, incluidas alabama.gov y health.gov.au, importantes universidades como berkeley.edu y ucl.ac.uk , y compañías internacionales como Deloitte.com y PwC.com , también han sido blanco de ataques.

El método de Hazy Hawk consiste en encontrar registros DNS pendientes, que son registros CNAME que apuntan a recursos en la nube abandonados, como buckets de Amazon S3, endpoints de Azure, Akamai, CDN de Cloudflare y GitHub. Registran estos recursos, obtienen el control y los utilizan para alojar numerosas URL maliciosas. Infoblox denominó al grupo Hazy Hawk debido a sus inusuales métodos para localizar y secuestrar recursos específicos en la nube.

Hazy Hawk emplea diversas tácticas para engañar a sus víctimas, como notificaciones falsas del navegador y aplicaciones fraudulentas, ofuscando URL para ocultar los destinos de los enlaces y reutilizando código de sitios web legítimos para que sus páginas iniciales parezcan fiables. También alteran las URL de los buckets de AWS S3 o redirigen al sitio web de la Universidad de Bristol.

Una vez que un usuario hace clic en un enlace malicioso, se lo dirige a través de múltiples sitios de redirección como Blogspot o acortadores de enlaces como TinyURL, Bitly y sistemas de distribución de tráfico (TDS) antes de llegar a viralclipnow.xyz .

Estos sistemas están diseñados para maximizar las ganancias de los estafadores y dificultar que los expertos en seguridad rastreen los ataques al cambiar dinámicamente el contenido, lo que lleva a las víctimas a estafas como fraudes de soporte técnico o esquemas de tarjetas de regalo.

La investigación revela que las notificaciones push son un componente clave de las estafas, donde el actor de la amenaza puede recibir entre el 70 y el 90 por ciento de los ingresos del afiliado que obtuvo la aprobación de la víctima, con servicios como RollerAds, que permiten la selección repetida de las víctimas.

Para evitar estos secuestros, las organizaciones deben utilizar un DNS bien gestionado, lo que incluye la eliminación de registros CNAME de DNS cuando se retiran los recursos en la nube. Los usuarios finales pueden protegerse mediante soluciones de DNS protectoras que bloquean el acceso a dominios maliciosos, incluso cuando los actores de amenazas cambian los nombres de los sitios web, y deben tener cuidado con las solicitudes de notificación de sitios web.