El Observable
El observable shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion fue identificado como un indicador de compromiso (IOC) en el contexto de la familia de amenazas conocida como Crypto Clipper. Este dominio se incluye en la colección de datos del OTX feed, perteneciente a AlienVault, y fue mapeado por el pulso user_AlienVault para monitorear actividades relacionadas con la propagación de amenazas. La fecha de registro es 2026-06-18, lo que sugiere un interés en la detección de comportamientos anómalos asociados a la persistencia y control remoto.
Contexto y Relevancia
El dominio shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion está vinculado a un mecanismo de propagación similar a un "worm", lo que implica la posibilidad de que este dominio sea utilizado para la infección de sistemas mediante técnicas de propagación auto-imitativas. La utilización de Tor en este contexto sugiere una intención de anónimidad y evasión de detectores de ciberseguridad, lo cual es un patrón común en amenazas que buscan mantener el control a largo plazo sobre dispositivos o redes.
Relación con Amenazas
Este observable está asociado al Crypto Clipper, una amenaza que se caracteriza por su uso de herramientas de persistencia y propagación similar a un "worm". La combinación de Tor y técnicas de infección auto-imitativas sugiere una estrategia de ataque enfocada en la evasión de sistemas de detección y el control remoto. Aunque no se han reportado víctimas específicas, su presencia en redes de alto nivel indica que podría ser utilizada para atacar infraestructuras críticas o dispositivos sensibles.
Indicadores de Compromiso (IOCs)
Tabla de IOCs:
| Tipo | Valor | Contexto |
|---|---|---|
| Dominio | shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion |
OSINT (Observación de Indicadores de Compromiso) |
Conclusión
El dominio shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion representa un indicador de compromiso relevante para la detección de actividades asociadas al Crypto Clipper. Su uso en combinación con Tor y técnicas de propagación auto-imitativas sugiere una amenaza que busca mantener el control a largo plazo. Las organizaciones deben monitorear este dominio y bloquearlo si se detecta actividad anormal, especialmente en entornos donde la seguridad es crítica.