Un actor de amenaza ha revelado involuntariamente sus métodos y actividades diarias después de instalar el software de seguridad de Huntress en su propia máquina de operaciones. El incidente inusual dio a los analistas una notable examen interno sobre cómo los atacantes usan inteligencia artificial (IA), herramientas de investigación y automatización para refinar sus flujos de trabajo. Dentro de los flujos de trabajo del atacante según Huntress, el actor descubrió la compañía a través de un anuncio de Google mientras buscaba soluciones de seguridad. Después de comenzar una prueba gratuita y descargar el agente, sus actividades se registraron en detalle. Los investigadores pudieron confirmar la identidad del adversario a través de un nombre de máquina y un historial de navegador previamente conocido, que mostró un comportamiento de orientación activa. En el transcurso de tres meses, Huntress observó que el actor probaba múltiples herramientas de seguridad, adoptando plataformas de automatización de flujo de trabajo como Make.com e investigando las API de Telegram Bot para optimizar las operaciones. Los datos también revelaron un interés en los generadores de texto y hojas de cálculo impulsados ​​por la IA para elaborar mensajes de phishing y administrar información robada. Lea más sobre la IA en cibercrimen: el NCSC del Reino Unido apoya la divulgación pública para las amenazas de bypass de salvaguardia de IA La inteligencia recopilada reveló varios comportamientos clave: el uso de los censes para buscar los servidores de los servidores activos de EvilGinX investigadores en servicios de representación residenciales como los servicios de bienes raíces de los bienes de bienes raíces en la relación de los mediaciones de los mensajes de los bienes inmuebles de los bienes de los bienes inmuebles. El actor también accedió a los foros web oscuros, como Styx Market, exploró repositorios de malware e intentó aprovechar el intercambio de tokens Roadtools para ataques relacionados con la identidad. Las lecciones para los analistas de ciberdigentes cibernéticos vincularon la infraestructura del adversario, alojado en el proveedor canadiense Virtuo, con al menos 2471 identidades comprometidas durante dos semanas. Muchos intentos fueron detenidos por detecciones existentes, incluida la creación de reglas de correo malicioso y las defensas de robo de tokens. «Este incidente nos dio información detallada sobre las actividades cotidianas de un actor de amenaza», explicaron los investigadores de Huntress. «Desde las herramientas que estaban interesadas, hasta las formas en que realizaron investigaciones y abordaron diferentes aspectos de los ataques». El caso destaca cómo los errores de los atacantes pueden proporcionar a los defensores una rara visión de la artesanía adversaria, ofreciendo lecciones valiosas para mejorar las estrategias de respuesta y la precisión de la detección.