AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Lurking Lizard: La Amenaza que Explota Más de 230 Dominios para Redes Proxy Maliciosas**

### 1. Introducción

En el panorama actual de ciberseguridad, la sofisticación y especialización de los actores de amenazas continúa en aumento. Un reciente informe publicado por Infoblox ha destapado las operaciones de un grupo denominado Lurking Lizard, especializado en la explotación de infraestructuras de proxies residenciales mediante el uso de una red de más de 230 dominios fraudulentos. Esta actividad, que se remonta al menos a agosto de 2022, representa un desafío significativo para los equipos de seguridad, ya que permite a los atacantes anonimizar y diversificar sus acciones maliciosas a gran escala.

### 2. Contexto del Incidente o Vulnerabilidad

El uso de servicios de proxy residencial como vector para ocultar actividades ilícitas no es una táctica nueva, pero la magnitud y automatización alcanzada por Lurking Lizard marca un nuevo hito. Este grupo ha establecido una infraestructura de extremo a extremo para ofrecer proxies residenciales, empleando dominios “lookalike” que simulan ser servicios legítimos para engañar tanto a usuarios como a sistemas automatizados de filtrado. La finalidad principal de estos proxies es facilitar campañas de scraping, fraude publicitario, envío masivo de spam, y ataques coordinados a servicios web, dificultando la atribución y mitigación.

### 3. Detalles Técnicos

El análisis realizado por Infoblox revela que Lurking Lizard ha registrado y operado más de 230 dominios que imitan marcas reconocidas del sector de proxies y VPN. El grupo aprovecha técnicas de typosquatting y homógrafos para maximizar el engaño (por ejemplo, sustitución de caracteres similares en los nombres de dominio).

#### Vectores de Ataque y TTPs (MITRE ATT&CK):

– **T1583.003 – Acquire Infrastructure: Virtual Private Server**
Lurking Lizard adquiere recursos en la nube y VPS para montar nodos de control y distribución.
– **T1566 – Phishing**
Se han observado campañas de phishing para reclutar usuarios desprevenidos e instalar software de proxy en sus equipos.
– **T1090.002 – Proxy: External Proxy**
El tráfico malicioso se canaliza a través de dispositivos comprometidos, aprovechando el anonimato de IPs residenciales.

#### Indicadores de Compromiso (IoCs):

– Más de 230 dominios detectados, con patrones similares en nomenclatura (ej: proxylizard[.]com, lizardvpn[.]net).
– Infraestructura DNS dinámica, con cambios frecuentes en registros A y CNAME para dificultar el bloqueo.
– Uso de certificados SSL gratuitos (Let’s Encrypt) para dar apariencia legítima.

#### CVEs Relacionadas:

Aunque no se han identificado CVEs específicas explotadas en la campaña, la distribución de software proxy ha implicado la explotación de configuraciones débiles en navegadores y sistemas operativos, así como la instalación de extensiones maliciosas.

#### Herramientas y Frameworks:

– Uso de Metasploit para pruebas internas y evasión de controles.
– Automatización a través de scripts Python y Go para el despliegue masivo de proxies.

### 4. Impacto y Riesgos

El impacto de Lurking Lizard es significativo tanto para empresas como para usuarios particulares. El uso de proxies residenciales dificulta la detección de tráfico malicioso, permitiendo a los atacantes eludir controles basados en IP y bloquear listas negras. Se estima que miles de dispositivos han sido reclutados en la botnet proxy, afectando a usuarios de todo el mundo.

Los riesgos incluyen:

– Compromiso de infraestructuras empresariales por conexiones entrantes “legítimas”.
– Robo de credenciales y datos sensibles a través de MITM.
– Aumento del fraude publicitario y manipulación de estadísticas web.
– Exposición a sanciones bajo normativas como GDPR y NIS2 por tráfico malicioso originado desde activos corporativos.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de este tipo de amenazas, se recomienda:

– **Monitorización DNS:** Implementar soluciones avanzadas de vigilancia y análisis del tráfico DNS para detectar patrones asociados a dominios lookalike.
– **Bloqueo de IoCs:** Actualizar continuamente las listas de bloqueo con los dominios identificados por Infoblox y otros proveedores de inteligencia.
– **Concienciación:** Formar a los usuarios sobre los riesgos de instalar software de proxy gratuito y extensiones sospechosas.
– **Revisión de Políticas de Proxy y VPN:** Restringir el uso de proxies externos en entornos corporativos y auditar regularmente las conexiones salientes.
– **Zero Trust:** Adoptar arquitecturas Zero Trust y segmentación de red para contener posibles movimientos laterales.

### 6. Opinión de Expertos

José Manuel Ortega, analista de amenazas en S2 Grupo, señala: “El modelo de negocio de Lurking Lizard responde a una tendencia creciente hacia la profesionalización del cibercrimen como servicio. La facilidad para alquilar proxies residenciales pone en jaque las defensas tradicionales basadas en listas negras y reputación de IPs.”

Por su parte, Ana Beltrán, CISO en una empresa del IBEX 35, advierte: “El uso fraudulento de infraestructuras legítimas abre la puerta a ataques altamente dirigidos y difíciles de rastrear. Es imprescindible reforzar la inteligencia de amenazas y la respuesta automatizada.”

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, la existencia de redes proxy maliciosas como la operada por Lurking Lizard implica una elevación del riesgo en la superficie de ataque. Los controles convencionales de firewall y detección de anomalías pueden resultar insuficientes, obligando a invertir en soluciones de threat intelligence y monitorización comportamental.

Los usuarios particulares, por su parte, corren el riesgo de que sus dispositivos sean reclutados en botnets, exponiéndose a responsabilidades legales y a la degradación del rendimiento de sus conexiones.

### 8. Conclusiones

La operación de Lurking Lizard evidencia la evolución de las amenazas hacia modelos de negocio cada vez más industrializados y difíciles de rastrear. La detección proactiva, la colaboración entre equipos de respuesta y la actualización constante de inteligencia sobre amenazas serán claves para contener este tipo de campañas en 2024 y más allá.

(Fuente: feeds.feedburner.com)