Blacktor: Perfil del Actor de Amenaza
Blacktor es un grupo de amenazas de baja proyección activo alrededor de 2021 con un sitio de filtrado basado en Tor, declarando víctimas en Indonesia, Italia, Venezuela y Estados Unidos. El grupo mantiene una cobertura mínima de inteligencia sobre amenazas con información pública limitada.
Perfil del Actor
El grupo se identifica como Blacktor, que opera bajo el nombre de "Blacktorps". Su perfil operacional incluye un sitio de filtrado basado en Tor, uso de dominios falsos y dominio de red (CNAME), y comunicación interna usando herramientas de mensajería criptada. El grupo ha reportado múltiples incidentes de expropiación con víctimas en países como Indonesia, Italia, Venezuela y Estados Unidos.
Origen y Motivacion
La motivación del grupo se centra en la venta de datos personales y el control económico sobre víctimas. El grupo ha reportado que obtiene sus datos principalmente a través de filtraciones de información pública como informes de cumplimiento, bases de datos corporativas y registros públicos (derechos al olvido). No hay evidencia clara de operaciones financieras formales, lo que sugiere un modelo operativo basado en expropiación directa.
Su ubicación geográfica se asocia principalmente con Indonesia e Italia, aunque también han reportado actividades desde Venezuela. El grupo opera con un perfil bajo en inteligencia pública, lo que dificulta el análisis de amenazas y la respuesta rápida.
Tecnicas y Tacticas (TTPs)
El grupo utiliza tácticas y técnicas de ataque comunes para realizar expropiaciones: comunicación directa a víctimas mediante email o mensaje de texto, envío de paquetes de malware en archivos adjuntos, uso de dominios falsos para evadir filtradores y dominios de red (CNAME) para ocultar direcciones IP reales.
Campanas Conocidas
No se han identificado campañas conocidas con indicadores específicos. El grupo opera principalmente bajo un modelo de expropiación directa sin una estructura de campañas estandarizadas. Las víctimas suelen ser reportadas en incidentes individuales o pequeños grupos.
Objetivos y Victimas
Los objetivos principales son empresas y individuos que poseen datos sensibles como información financiera, contacto, ubicación y propiedad intelectual. El grupo ha reportado victorias en Indonesia, Italia, Venezuela y Estados Unidos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio falso (CNAME) | bl4cktorpms2gybrcyt52aakcxt6yn37byb65uama5cimhifcscnqkid.onion | Sitio de filtrado en Tor con dirección IP real oculta mediante CNAME. |
| Packets de malware | N/A | Fuentes no disponibles. No se identifican paquetes específicos conocidos. |
Deteccion y Defensa
No hay herramientas de detección específicas para Blacktor en sistemas comunes como Microsoft Security Intelligence, CrowdStrike o Splunk debido a la falta de inteligencia pública sobre el grupo. Los equipos deben implementar controles básicos como filtradores DNS, análisis de firmas de malware específico y monitoreo de registros de acceso al dominio de red.
No se han identificado indicadores específicos de defensa que sean universalmente aplicables para este tipo de amenazas de baja proyección con información limitada.