Un actor de amenaza conocido como Hazmas se ha observado secuestrar recursos en la nube abandonados de organizaciones de alto perfil, incluidos los cubos de Amazon S3 y los puntos finales de Microsoft Azure, aprovechando las configuraciones erróneas en los registros del sistema de nombres de dominio (DNS).
Los dominios secuestrados se utilizan para alojar las URL que dirigen a los usuarios a estafas y malware a través de sistemas de distribución de tráfico (TDSE), según Informlox. Algunos de los otros recursos usurpados por el actor de amenazas incluyen los alojados en Akamai, Bunny CDN, Cloudflare CDN, GitHub y Netlify.
La firma de inteligencia de amenazas del DNS dijo que descubrió por primera vez al actor de amenaza después de que obtuvo el control de varios subdominios asociados con el Centro de Control de Enfermedades de los Estados Unidos (CDC) en febrero de 2025.
Desde entonces se ha determinado que otras agencias gubernamentales en todo el mundo, universidades prominentes y corporaciones internacionales como Deloitte, PricewaterhouseCoopers y Ernst & Young han sido víctimas por el mismo actor de amenazas desde al menos diciembre de 2023.
«Quizás lo más notable de Hazy Hawk es que estos dominios vulnerables y difíciles de descubrir con lazos con las estimadas organizaciones no se están utilizando para el espionaje o el delito cibernético ‘Highbrow'», dijeron Jacques Portal y Renée Burton de InfoBlox en un informe compartido con Hacker News.
«En cambio, se alimentan en el sórdido inframundo de Adtech, llevan a las víctimas a una amplia gama de estafas y aplicaciones falsas, y utilizan notificaciones de navegador para desencadenar procesos que tendrán un impacto persistente».
Lo que hace que las operaciones de bromo Hawk sean notables es el secuestro de dominios confiables y de buena reputación que pertenecen a organizaciones legítimas, lo que aumenta su credibilidad en los resultados de búsqueda cuando se están utilizando para servir contenido malicioso y spam. Pero aún más preocupante, el enfoque permite a los actores de amenaza evitar la detección.
La base de la operación es la capacidad de los atacantes para apoderarse del control de dominios abandonados con registros de DNS CNAME de colgantes, una técnica previamente expuesta por Guardio a principios de 2024 como explotada por los malos actores para la proliferación de spam y la monetización de clics. Todo lo que un actor de amenaza debe hacer es registrar el recurso que falta para secuestrar el dominio.
Hazy Hawk va un paso más allá al encontrar recursos en la nube abandonados y luego comandándolos con fines maliciosos. En algunos casos, el actor de amenaza emplea técnicas de redirección de URL para ocultar qué recurso en la nube fue secuestrado.
«Utilizamos el nombre Hazy Hawk para este actor debido a cómo encuentran y secuestran recursos en la nube que tienen registros DNS CNAME y luego los usan en la distribución de URL maliciosa», dijo Informlox. «Es posible que el componente de secuestro de dominio sea proporcionado como un servicio y que sea utilizado por un grupo de actores».
Las cadenas de ataque a menudo implican clonar el contenido de sitios legítimos para su sitio inicial alojado en los dominios secuestrados, mientras atrae a las víctimas a visitarlas con contenido pornográfico o pirateado. Los visitantes del sitio se canalizan a través de un TDS para determinar dónde aterrizan a continuación.
«Hazy Hawk es una de las docenas de actores de amenazas que rastreamos dentro del mundo de los afiliados publicitarios», dijo la compañía. «Los actores de amenaza que pertenecen a programas de publicidad afiliados llevan a los usuarios al contenido malicioso personalizado y están incentivados para incluir solicitudes para permitir notificaciones push de ‘sitios web’ a lo largo de la ruta de redirección».
Al hacerlo, la idea es inundar el dispositivo de una víctima con notificaciones push y entregar un torrente interminable de contenido malicioso, con cada notificación que conduce a diferentes estafas, sharware y encuestas falsas, y acompañado de solicitudes para permitir más notificaciones push.
Para prevenir y proteger contra las actividades de Hazy Hawk, se recomienda a los propietarios de dominios para eliminar un registro de DNS CNAME tan pronto como se cierre un recurso. Se recomienda a los usuarios finales, por otro lado, que niegue las solicitudes de notificación de los sitios web que no conocen.
«Si bien los operadores como Hazy Hawk son responsables del señuelo inicial, el usuario que hace clic es llevado a un laberinto de adtech malicioso incompleto y absoluto. El hecho de que Hazy Hawk ponga un esfuerzo considerable en la ubicación de dominios vulnerables y luego usarlos para operaciones de estafas muestra que estos programas publicitarios de afiliados son lo suficientemente exitosos para pagar bien», dijo Informlox.