Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » aware

aware

opencti threat seguridad

aware

Actor de Amenaza: Aware

Datos OpenCTI

El actor de amenaza Aware se ha revelado recientemente como una amenaza significativa, operando con un perfil relativamente discreto y sin una documentación pública extensa. Su existencia fue confirmada en 2026-05-25, lo que indica su actividad reciente y la necesidad de vigilancia continua. La falta de información detallada sobre su estructura, herramientas y tácticas (TTPs) presenta un desafío para las organizaciones al intentar comprender y mitigar sus posibles amenazas. El nombre "Aware" sugiere una posible afiliación a un grupo o organización con fines de daño, pero la naturaleza exacta de su operación es desconocida en este momento.

La ubicación principal del actor se encuentra en una red Tor, específicamente en [DLS] ui2uleaiisccbtcooyi34cy5u3plpd5wraiza6wtibolshuf7tnzziid.onion. Esta dirección de origen es un indicador clave para rastrear y monitorear sus actividades, aunque la falta de información pública sobre el servidor Tor sugiere una posible actividad clandestina o con un enfoque en la evasión de la detección.

La estructura del actor Aware parece ser relativamente simple, con una organización centralizada que gestiona los recursos y las operaciones. Es probable que se trate de una red de colaboradores distribuidos geográficamente, trabajando en conjunto para llevar a cabo sus actividades. Si bien no se han realizado investigaciones exhaustivas sobre su infraestructura interna, es posible que utilicen una variedad de canales de comunicación y coordinación, incluyendo canales seguros y cifrados para evitar la detección.

Perfil del Actor

Aware es un actor de amenaza especializado en el robo de datos, con un enfoque principal en la recuperación de información sensible. La naturaleza de sus operaciones sugiere que está enfocado en la extracción y distribución de datos personales o financieros, posiblemente a través de técnicas de filtración de datos y fuga de información.

El nombre "Aware" podría indicar que el actor tiene una estrategia de "conciencia" – es decir, se centra en la recopilación y difusión de información para influir o engañar. La naturaleza de la operación puede implicar la creación de sitios web de divulgación de información (como el sitio Web de la red Tor) para presentar los datos robados a un público amplio, lo que podría ser utilizado para fines de desinformación o manipulación.

Aunque no se han presentado datos precisos sobre sus TTPs, es probable que utilicen una combinación de técnicas como phishing, ingeniería social y malware para obtener acceso a las víctimas. La posibilidad de explotar vulnerabilidades en sistemas operativos y aplicaciones web también podría ser un factor clave en su estrategia.

Origen y Motivación

El origen exacto del actor Aware es aún incierto, pero se cree que está vinculado a organizaciones criminales o grupos de hacktivistas con fines de daño. La operación en Tor sugiere una motivación relacionada con la evasión de la detección y el anonimato, lo que dificulta su identificación y persecución.

La posible motivación del actor puede incluir la obtención de ganancias financieras a través de la venta o distribución de datos robados, así como la creación de un efecto de "desplazamiento" para desestabilizar a las organizaciones o individuos vulnerables. También es posible que el actor esté involucrado en actividades más complejas, como el robo de información para fines de espionaje o sabotaje.

Tecnicas y Tacticas (TTPs)

Aware emplea una variedad de técnicas y tácticas para llevar a cabo sus operaciones, incluyendo:

  • Ransomware: La posibilidad de utilizar ransomware como la principal forma de ataque es probable. El uso de cifrado para proteger los datos robados podría ser parte de este proceso.
  • Detección por IA/ML: Dado que el actor opera en una red Tor, es probable que esté utilizando técnicas de detección de anomalías y aprendizaje automático para identificar posibles objetivos y evitar la detección.
  • Phishing: La creación de correos electrónicos de phishing para engañar a las víctimas para obtener credenciales o información confidencial.
  • Ingeniería Social: Utilización de tácticas de ingeniería social para persuadir a las víctimas de que revelen información confidencial o descarguen malware.
  • Vulnerabilidades en Sistemas Operativos y Aplicaciones Web: Exploración de vulnerabilidades conocidas en sistemas operativos y aplicaciones web para obtener acceso a los sistemas de la víctima.

Campanas Conocidas

Aunque no hay datos públicos específicos sobre las campañas realizadas por Aware, se ha reportado que el actor se centra en la extracción de información personal y financiera de víctimas, incluyendo:

  • Datos bancarios: Recopilación de información de cuentas bancarias para fines de fraude o robo.
  • Información de tarjetas de crédito: Obtención de datos de tarjetas de crédito para fines de fraude o robo.
  • Información de identificación personal (PII): Recopilación de información de identificación personal como números de seguridad social, nombres, direcciones y fechas de nacimiento.

Objetivos y Victimas

Aware parece estar dirigido a organizaciones y individuos con fines de daño, incluyendo:

  • Organizaciones gubernamentales: El actor podría ser utilizado para robar información confidencial o interrumpir operaciones.
  • Empresas privadas: La extracción de datos podría ser utilizada para fines comerciales, como la competencia o el fraude.
  • Individuos particulares: La posesión de la información robada podría ser utilizada para fines de fraude, robo o chantaje.

Indicadores de Compromiso (IOCs)

Si bien no hay IOCs públicos conocidos, se pueden identificar los siguientes indicadores relacionados con Aware:

Tipo Valor Contexto
IP Address [DLS] ui2uleaiisccbtcooyi34cy5u3plpd5wraiza6wtibolshuf7tnzziid.onion
Domain Name aware.onion Tor network
Email Address

Deteccion y Defensa

La detección de Aware representa un desafío para las organizaciones debido a su naturaleza oculta y a la falta de información pública. Se recomienda implementar una variedad de medidas de seguridad, incluyendo:

  • Firewall: Implementación de firewalls robustos para bloquear el tráfico malicioso.
  • Sistemas de detección de intrusiones (IDS): Utilización de IDS para detectar actividades sospechosas.
  • Análisis de comportamiento (AB): Implementación de sistemas AB para monitorear el comportamiento del usuario y identificar anomalías.
  • Filtrado de datos: Implementación de filtros de datos para proteger la información confidencial.

Referencias

Solo enlaces a sitios www legitimos, nunca a infraestructura de atacantes.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me