Investigadores de seguridad han identificado una campaña clandestina que utiliza una infraestructura privada de OAST (Out-of-Band Application Security Testing) desplegada en Google Cloud para intentar explotar más de 200 vulnerabilidades distintas (CVEs). La operación no emplea servicios públicos habituales, sino un dominio propio algo que ha llamado poderosamente la atención de la comunidad de seguridad.
Durante los últimos meses, se registraron más de 1.400 intentos de explotación vinculados a esta campaña. Lo que más llamó la atención fue que los atacantes no utilizaron plataformas OAST públicas, como suele ser habitual en escaneos automatizados, sino que operaban bajo un dominio propio: detectors-testing.com. Este enfoque les permite evitar listas negras y dificulta significativamente la identificación de la actividad maliciosa.
El hallazgo se produjo gracias al análisis del tráfico en sistemas señuelo, donde se detectó un patrón constante de solicitudes generadas por cargas útiles diseñadas para desencadenar interacciones fuera de banda. La infraestructura empleada combinaba plantillas estándar de herramientas como Nuclei con versiones antiguas o modificadas, lo que sugiere que el operador reutiliza o adapta recursos sin seguir los repositorios oficiales.
La técnica principal consistía en provocar que un servidor potencialmente vulnerable realizara solicitudes HTTP hacia subdominios controlados por los atacantes. Cuando esa interacción se producía, confirmaba la presencia de la vulnerabilidad sin necesidad de explotar directamente el objetivo, un método sigiloso y efectivo.
Curiosamente, aunque algunas direcciones IP asociadas ya habían sido reportadas en otros países, la actividad observada se concentró casi por completo en sistemas ubicados en Brasil, lo que apunta a un enfoque geográfico deliberado.
Este caso demuestra cómo herramientas legítimas de pruebas de seguridad pueden ser transformadas en plataformas de explotación masiva cuando se combinan con infraestructura privada. Las organizaciones deben reforzar la monitorización del tráfico saliente, aplicar parches rápidamente y considerar la implantación de honeypots o sistemas de detección OAST para identificar campañas similares antes de que puedan causar daños.
Más información
Mystery OAST Tool Exploits 200 CVEs Using Google Cloud for Large-Scale Attacks https://gbhackers.com/mystery-oast-tool-exploits-200-cves/
Mystery OAST With Exploit for 200 CVEs Leveraging Google Cloud to Launch Attacks https://cybersecuritynews.com/mystery-oast-with-exploit-for-200-cves/
La entrada Descubren una operación oculta usando OAST para explotar más de 200 CVE desde Google Cloud se publicó primero en Una Al Día.
