Un grupo de ciberdelincuentes conocido como Hazy Hawk ha llevado el secuestro de dominios a un nuevo nivel al aprovechar recursos en la nube abandonados para lanzar campañas masivas de estafa y distribución de malware. Según una investigación publicada el 20 de mayo por Jacques Portal y Renée Burton, miembros del Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, este actor amenaza a organizaciones de alto perfil mediante el uso de registros DNS mal configurados, que permiten tomar el control de subdominios sin necesidad de vulnerar cuentas ni servidores.
El caso más notorio tuvo lugar en febrero de 2025, cuando Hazy Hawk logró secuestrar un subdominio del Centro para el Control y la Prevención de Enfermedades (CDC) de EE. UU., que apareció en buscadores con enlaces a contenido pornográfico y publicidad engañosa. A partir de ahí, los investigadores detectaron ataques similares contra entidades gubernamentales, universidades, empresas tecnológicas, medios de comunicación y organizaciones sanitarias de todo el mundo.
El grupo utiliza registros CNAME “colgantes” —aquellos que apuntan a recursos en la nube ya eliminados— para secuestrar subdominios legítimos. Basta con crear un recurso con el mismo nombre en servicios como Azure o AWS y el redireccionamiento DNS se completa automáticamente. El resultado: URLs aparentemente confiables que redirigen al usuario a trampas cuidadosamente encadenadas con sistemas de distribución de tráfico (TDS), notificaciones push maliciosas y páginas falsas que simulan sitios reales como PBS o incluso Honeywell.
Técnica sofisticada, objetivo lucrativo
Aunque este tipo de ataques exige un alto conocimiento técnico y acceso a servicios de DNS pasivo a escala comercial, el objetivo no es el ciberespionaje sino el beneficio económico. A través de programas de afiliación publicitaria, como los que ofrecen servicios como RollerAds o MoneyBadgers, Hazy Hawk monetiza cada víctima que permite notificaciones push o accede a páginas fraudulentas. Solo en EE. UU., las pérdidas por fraudes similares superaron los 3.400 millones de dólares en mayores de 60 años durante 2023, según el FBI.
Entre las víctimas destacan dominios como cdc.gov, berkeley.edu, health.gov.au, ey.com, ted.com, michelin.co.uk, entre muchos otros. Hazy Hawk se sirve de proveedores como Akamai, Azure, Amazon S3, GitHub, Cloudflare o Netlify para desplegar sus campañas, demostrando la necesidad urgente de una mejor higiene DNS y control de recursos en la nube tras fusiones, adquisiciones o cambios de infraestructura.
La investigación completa, con múltiples ejemplos y dominios comprometidos, está disponible.
