Threat Actor Search

Threat Actor Search

Nota atomica extraida de la seccion "Threat Actor Search" del master osint-references-master. Concepto unico = nota propia.

Recursos (de awesome-osint)

Search for Threat actors and their associated information.

  • APT Groups and Operations - Know about Threat Actors, sponsored countries, their tools, methods, etc.
  • APTWiki - Historical wiki with 214 actor entries.
  • Bi.Zone - 148 threat groups with detailed TTPs.
  • BreachHQ - Provides a list of all known cyber threat actors also referred to as malicious actors, APT groups or hackers.
  • Cybergeist - Cybergeist.io generates intelligence profiles about key threats and threat context that is actively being discussed and reported upon across the internet.
  • Dark Web Informer - Tracking 854 Threat Actors as of 29th of May 2025.
  • ETDA - Search for Threat Actor groups and their tools.
  • FortiGuard Labs - Powered by FortiGuard Labs, our Threat Actor Encyclopedia provides actionable insights, helping security teams prepare and streamline advanced threat hunting and response.
  • KNOWLEDGENOW - Trending Threats.
  • lazarusholic - Total 203 threat actors.
  • Malpedia - Get List of threat actor groups.
  • MISP Galaxy - Known or estimated adversary groups as identified by 360.net.
  • OPENHUNTING.IO - Threat Library Collecting Information.
  • SOCRadar LABS - Know threat actor tactics, techniques, and past activities. Access detailed profiles and track their activities.Keep up with the latest threats and Tactics, Techniques, and Procedures (TTPs).
  • Thales - Find Threat actor groups in a graphical attack explorer.

Desde Inbox: Arsenal del Actor

Importado desde Inbox/Arsenal del Actor.md durante consolidacion bulk.

Resumen

Coleccion de recursos clave para investigar el arsenal (herramientas y malware) empleado por threat actors. Incluye bases de datos de software ofensivo (MITRE ATT&CK), fichas de grupos (ETDA), repositorios de muestras de malware (VX-Underground), e informes de CERTs y proveedores de inteligencia de amenazas.

Categoria

Herramientas y malware de actores de amenazas: bases de datos de software, muestras y reportes de CERTs.

Herramientas y Recursos

Recurso URL Descripcion
MITRE ATT&CK - Software Link Base de datos de software ofensivo y malware documentado por MITRE
ETDA - Threat Group Card Link Fichas de grupos de amenazas con herramientas asociadas
VX-Underground - Samples Link Repositorio de muestras de malware para analisis
VX-Underground - Virusshare Link Coleccion Virusshare integrada en VX-Underground
Informes de CERTs y Organismos Publicos N/A Reportes de amenazas publicados por CERTs nacionales e internacionales
Informes y blogs de proveedores de inteligencia N/A Analisis de malware y herramientas publicados por vendors CTI

Casos de Uso

  • Identificar herramientas y malware asociados a un threat actor especifico
  • Obtener muestras para analisis en sandbox o ingenieria inversa
  • Mapear software ofensivo contra tecnicas MITRE ATT&CK
  • Complementar perfilado de actores con informacion de arsenal

Notas

  • Los recursos de VX-Underground requieren precaucion al descargar muestras
  • Las fichas ETDA son utiles para correlacionar grupos con herramientas conocidas
  • Se recomienda cruzar con threat-actor-search y threat-actor-search para un perfil completo del adversario

Desde Inbox: Black Forums

Importado desde Inbox/Black Forums.md durante consolidacion bulk.

Black Forums - Directorio de Foros Underground

Resumen

Directorio exhaustivo de aproximadamente 200 foros underground y darknet. Incluye foros de hacking, carding, leaks de datos, criptomonedas y comunidades underground en multiples idiomas (ruso, ingles, etc.). Se mantiene el estado online/offline actualizado.

Categoria

Foros underground / Darknet / Cibervigilancia / Threat Intelligence.

Herramientas y Recursos

Name Status Description
4CHEAT ONLINE
AGAINSTTHEWEST OFFLINE
ALTENEN (Deep) ONLINE
ANTIMIGALKI ONLINE
ARBITRAJ ONLINE
ASCARDING ONLINE
ASTROPID ONLINE
BDF CLUB ONLINE
BEST CARDING WORLD ONLINE
BHF OFFLINE
BHF ONLINE
BITCOINFO.RU ONLINE
BITS.MEDIA ONLINE
BLACKBIZ ONLINE
BLACKBONES ONLINE
BLACKHACKER ONLINE
BLACKFORUMS ONLINE
BLACKFORUMS ONLINE
BLACKHATWORLD ONLINE
BREACH FORUMS OFFLINE
BREACH FORUMS ONLINE
BREACH FORUMS (Dark) ONLINE
BREACHED (Dark) OFFLINE
BREACHED (Deep) OFFLINE
BREACHED (Deep) OFFLINE
BREACHED (Deep) OFFLINE
BTTFORUM OFFLINE
CARDERS.BIZ ONLINE
CARDING FORUM (Deep) OFFLINE
CENTER CLUB ONLINE
CHITACHOK ONLINE
COMFYBOX ONLINE
COOKIEPRO ONLINE
CRACKED ONLINE
CRACKING KING OFFLINE
CRACKING PRO ONLINE
CRACKING X ONLINE
CRAX PRO OFFLINE
CRDCLUB (Dark) OFFLINE
CRDCLUB OFFLINE
CRDPRO ONLINE
CRIMENETWORK (Dark) ONLINE
CRIMENETWORK (Deep) ONLINE
CRYPTBB ONLINE
CRYPTOCURRENCY.TECH ONLINE
CRYPTOFF ONLINE
CRYPTOGID ONLINE
CVV_BOARD ONLINE
CYBHACK ONLINE
DANGEROUSTHINGS ONLINE
DARKWEB ONLINE
DARK2WEB ONLINE
DARKCLUB ONLINE
DARKFORUM ONLINE
DARKFORUMS ONLINE
DARKMARKET.AT OFFLINE
DARKMARKET.CX OFFLINE
DARKMONEY ONLINE
DARKNET ONLINE
DARKNETWORLD OFFLINE
DARKSIDE OFFLINE
DATACLOUD ONLINE
DEDICATET ONLINE
DEFCON OFFLINE
DEMONFORUMS ONLINE
DRDARK ONLINE
DREAD ONLINE
DUBLIKAT.CLUB ONLINE
DUBLIKAT.PRO OFFLINE
DUMPFORUMS (Deep) ONLINE
DUMPFORUMS (Dark) ONLINE
DWF (Tor v2) OFFLINE
DWF (Tor v3) ONLINE
ELEAKS ONLINE
ENCLAVE ONLINE
ENDWAY ONLINE
ETERNIA ONLINE
EVILARMY ONLINE
EXPLOIT.IN (Dark) ONLINE
EXPLOIT.IN (Deep) ONLINE
EXPLOITS.WS ONLINE
FORUMTEAM.ONLINE ONLINE
FORUMTEAM.TOP ONLINE
FSSQUAD ONLINE
G0D.ONE MARKET OFFLINE
GERKI OFFLINE
GETREKT ONLINE https://t.me/getrektio
HACKFORUMS ONLINE
HACKTOWN ONLINE
HELIUM ONLINE
HOHEKAMMER ONLINE
IFUD OFFLINE
INFECTED ZONE ONLINE
INFINITY ONLINE
ITALIAN DARKNET COMMUNITY 3.0 (Dark) OFFLINE
IN4BZ ONLINE
KICKASS ONLINE
KOROVKA ONLINE
LEAKBASE ONLINE
LEAKBASE ONLINE
LEAK FORUMS ONLINE
LEAKS.SO ONLINE
LEAKS.SX ONLINE
LeVeL23HackTools ONLINE
LOLZ ONLINE
LOWENDTALK ONLINE
MAILPASS OFFLINE
MASTODON ONLINE
MEGATOP ONLINE
MIPPED ONLINE
MMGP ONLINE
MONEYDARK OFFLINE
NEFARIUM ONLINE
NIFLHEIM.TOP ONLINE
NIGGAFORUMS (BLACKFORUMS MIRROR) ONLINE
NIGGAFORUMS (BLACKFORUMS MIRROR) ONLINE
NITTER OFFLINE
NOHIDESPACE ONLINE
NULLED ONLINE
NULLEDBB ONLINE
OGUSERS OFFLINE
OMERTA ONLINE
OMERTA OFFLINE
OMERTA ONLINE
OMERTA ONLINE
OPENSSOURCE ONLINE
PATCHED.TO ONLINE
PAYLOAD.SH ONLINE
PHREAKER ONLINE
PIRATEBUHTA ONLINE
PROBIV ONLINE
PROCRD ONLINE
PROJECT SPHERE OFFLINE
PROLOGIC ONLINE
PROTON ONLINE
RAID FORUMS (Mirror 1) OFFLINE
RAID FORUMS (Mirror 2) OFFLINE
RAID FORUMS (Mirror 3) OFFLINE
RAID FORUMS 2 OFFLINE
RAID FORUMS TWO OFFLINE
RAID FORUMS OFFLINE
RAMBLE ONLINE
RAMP (Old) OFFLINE
RAMP (Old) OFFLINE
RAMP (Dark) ONLINE
RAMP (Deep) ONLINE
REVERSING ONLINE
RF-CHEAT ONLINE
RUTOR (Dark) ONLINE
RUTOR (Deep) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
RUTOR (Surface) ONLINE
SEOPIRAT ONLINE
SINFUL ONLINE
SINISTER ONLINE
SKYFRAUD OFFLINE
SKYNETZONE.BIZ ONLINE
SKYNETZONE.PW ONLINE
SOFTXAKER ONLINE
SPYHACKERZ ONLINE
SQLI ONLINE
SUPERBAY ONLINE
THE GOOD LIFE ONLINE
THE HUB ONLINE
THE JAVA SEA ONLINE
TOOLBASE ONLINE
TRAFA NET ONLINE
V-H.GURU ONLINE
VAVILON ONLINE
VERIFIED (Dark) ONLINE
VERIFIED (Deep) OFFLINE
VERYLEAKS ONLINE
VLMI ONLINE
VSEMMONEY ONLINE
WWHCLUB ONLINE
XREACTOR ONLINE
XSS (Dark) ONLINE
XSS (Deep) ONLINE
YOUHACK ONLINE
KKKSecForum ONLINE
DarkForum ONLINE
D4rkForums ONLINE
DataForums ONLINE
ZDL ONLINE
BreachForums ONLINE
BreachForums (Dark) ONLINE
OnniForums ONLINE
INCIDIOUS ONLINE
BHC Forums ONLINE
Korovka ONLINE
Darkpid ONLINE
Antichat ONLINE
Lampeduza ONLINE
CRACKING ONLINE

Casos de Uso

  • Monitorizar foros underground en busca de datos filtrados de clientes
  • Rastrear comunicaciones de actores de amenazas
  • Identificar venta de accesos, credenciales o datos robados
  • Investigar campanas de carding y fraude
  • Cibervigilancia proactiva de amenazas emergentes

Notas

  • XSS y Exploit.in son los foros premium de habla rusa
  • BreachForums es el sucesor de RaidForums (seized by FBI)
  • Dread es el "Reddit" de la darknet
  • LOLZ.guru es uno de los foros mas activos del ecosistema ruso
  • Los estados online/offline cambian frecuentemente, verificar periodicamente
  • Ver threat-actor-search para mercados underground
  • Ver opsec-network-transport-security para herramientas de monitorizacion
  • Ver data-breach-search-engines para fuentes de datos filtrados

Desde Inbox: Black Markets

Importado desde Inbox/Black Markets.md durante consolidacion bulk.

Black Markets - Directorio de Mercados Underground

Resumen

Directorio exhaustivo de aproximadamente 120 mercados underground y darknet. Incluye marketplaces de carding, venta de credenciales (RDP, logs, cookies), datos robados, malware-as-a-service, documentos falsos y drogas. Se mantiene el estado online/offline actualizado.

Categoria

Mercados underground / Darknet markets / Cibervigilancia / Threat Intelligence.

Herramientas y Recursos

Name Status Description
0-DAY ONLINE
2EASY OFFLINE
2EASY ONLINE
ALLWORLDCARDS OFFLINE
AlphaBay (Dark i2p) ONLINE
AlphaBay (Dark Tor) ONLINE
Archetyp ONLINE
ARES ONLINE
ASEAN ONLINE
BIDEN CASH (Dark Tor) ONLINE
BIDEN CASH ONLINE
BLACKBONES ONLINE
BLACKPASS ONLINE
BOHEMIA ONLINE
BOHEMIA ONLINE
BRAINSCLUB ONLINE
BRIAN'S CLUB ONLINE
BR0K3R ONLINE
B-P Market ONLINE
CABYC ONLINE
CARD STORE ONLINE
CARD TEAM OFFLINE
CARDER OFFLINE
CARDING TEAM ONLINE
CARDMAFIA OFFLINE
CARDVILLA ONLINE
CARTEL OFFLINE
CLUB2CRD OFFLINE
CLUBV OFFLINE
CRIMEMARKET ONLINE
CRIMEMARKET (Dark) ONLINE
CVV SHOP DUMPS ONLINE
CVVUNION OFFLINE
CYPHER ONLINE
DAKC0DE OFFLINE
DARKCLUB ONLINE
DARKCLUB (Onion Site) ONLINE
DARKCLUB (Onion Site 2) ONLINE
DARK LEAK MARKET ONLINE
DARK LEAK MARKET ONLINE
DARK LEAK MARKET ONLINE
DarkSsasinsShop ONLINE
DARK ZONE OFFLINE
DARKFOX MARKET ONLINE
DATABASE ONLINE
Delta Marketplace ONLINE
DOCSHOP OFFLINE
EMPIRE MARKET ONLINE
ETERNITY ONLINE
FREDDY ONLINE
FreshTools ONLINE
Genesis Market OFFLINE Put offline by FBI.
Genesis Market OFFLINE Put offline by FBI.
Genesis Market OFFLINE Put offline by FBI.
Genesis Market (Tor v3) ONLINE
HYDRA (Deep) ONLINE
HYDRA (Tor v2) OFFLINE
HYDRA (Tor v3) OFFLINE
INDUSTRIAL SPY ONLINE
INFINITY SHOP ONLINE
Intel Repository ONLINE Sale of Defense Contractor and Military Files
Iran Info Marketplace ONLINE
LIBERTY OFFLINE
LOLZ.GURU ONLINE
LOCKDATA AUCTION OFFLINE Probably a scam website.
LuxeCC ONLINE
MAGBO (Dark) OFFLINE
MAGBO (Deep) ONLINE
MegaCiti ONLINE
MGM GRAND ONLINE
MONOPOLY OFFLINE
NEXUS ONLINE
NOHIDE ONLINE
ODIN OFFLINE
ODIN ONLINE
ODIN ONLINE
ODIN ONLINE
ODIN ONLINE
ODIN ONLINE
ONLYONE OFFLINE
Pois0n ONLINE
PROBIV ONLINE
RESCATOR ONLINE
RESCATOR (Tor v3) ONLINE
RONDA STORE (Deep - mirror) ONLINE
RONDA STORE (Deep) ONLINE
RONDA STORE (Tor v3) ONLINE
Royal Market (Tor v3) ONLINE
Russian Market (Deep) OFFLINE
Russian Market (Deep) ONLINE
Russian Market (Deep) ONLINE
Russian Market (Deep) ONLINE
Russian Market (Tor v2) OFFLINE
Russian Market (Tor v3) ONLINE
Russian Market (Tor v3) ONLINE
SHADOWCARDERS ONLINE
SOLOMON ONLINE
SOLOMON ONLINE
STYX ONLINE
SWIPESTORE ONLINE
THEMAJESTIC ONLINE
TOOREZ OFFLINE
TOR2DOOR OFFLINE
UAS RDP SHOP ONLINE
UniCC ONLINE
VICE CITY ONLINE
VICE CITY ONLINE
VICE CITY ONLINE
Wannabuy RDP ONLINE
WHM market (1) OFFLINE
WHM market (2) OFFLINE
WINXXX (Dark) ONLINE
WINXXX (Deep) ONLINE
XLEET (Dark) ONLINE
XLEET (Deep) ONLINE
ZISMO ONLINE

Casos de Uso

  • Monitorizar mercados underground en busca de datos robados de clientes
  • Rastrear venta de credenciales y accesos RDP comprometidos
  • Investigar campanas de carding y fraude financiero
  • Identificar servicios de malware-as-a-service
  • Cibervigilancia proactiva de amenazas a la organizacion

Notas

  • Russian Market es uno de los mercados mas grandes de credenciales y logs
  • Genesis Market fue seized by FBI en 2023 (Operation Cookie Monster)
  • BidenCash publica dumps masivos de tarjetas de credito periodicamente
  • STYX es un mercado emergente de servicios de cibercrimen
  • Los estados online/offline cambian frecuentemente, verificar periodicamente
  • Ver threat-actor-search para foros underground
  • Ver opsec-network-transport-security para herramientas de monitorizacion
  • Ver data-breach-search-engines para bases de datos de credenciales

Desde Inbox: Informacion General

Importado desde Inbox/Informacion General.md durante consolidacion bulk.

Resumen

Directorio de las 7 plataformas de referencia para obtener informacion general sobre threat actors. Incluye bases de datos de campañas, fichas de grupos APT, playbooks de investigacion y mapas de amenazas globales.

Categoria

Plataformas de inteligencia de amenazas para perfilado general de threat actors.

Herramientas y Recursos

Plataforma URL Descripcion
MITRE ATT&CK - Campaigns Link Base de datos de campañas documentadas con TTPs asociadas
ETDA - Threat Group Card Link Fichas detalladas de grupos de amenazas tailandesas y globales
Playbook UNIT42 de Palo Alto Link Playbooks de investigacion de threat actors por UNIT42
Mandiant - APT Groups Link Perfiles de grupos APT por Mandiant (Google)
CrowdStrike - Global Threat Link Panorama global de amenazas y perfiles de adversarios
Killing the Bear Link Recurso en español sobre grupos de amenazas
Threat Actor Map - CheckPoint Link Mapa interactivo de amenazas en tiempo real
Malpedia Link Enciclopedia de malware y threat actors de Fraunhofer FKIE

Casos de Uso

  • Identificar y perfilar un threat actor por nombre o alias
  • Consultar campañas conocidas asociadas a un grupo
  • Obtener playbooks de investigacion para grupos especificos
  • Visualizar panorama global de amenazas activas

Notas

  • MITRE ATT&CK es la referencia principal para mapeo de campañas y TTPs
  • Malpedia destaca por su enfoque academico y catalogacion exhaustiva de malware
  • Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT

Desde Inbox: Informacion de Victimas

Importado desde Inbox/Informacion de Victimas.md durante consolidacion bulk.

Resumen

Directorio de plataformas especializadas en el seguimiento de victimas de ransomware. Permite monitorizar que organizaciones han sido comprometidas, por que grupos, y en que sectores/regiones.

Categoria

Seguimiento de victimas de ransomware: leak sites, feeds de actividad, monitorizacion.

Herramientas y Recursos

Plataforma URL Rating Descripcion
Darkfeed Link 2/3 Feed de actividad de ransomware con victimas recientes y grupos activos
DarkTracer Link 3/3 Monitorizacion de leak sites de ransomware y datos de victimas

Casos de Uso

  • Monitorizar si clientes o sectores relevantes aparecen como victimas
  • Identificar grupos de ransomware activos y sus patrones de targeting
  • Alimentar reportes de inteligencia estrategica con datos de victimologia
  • Evaluar nivel de amenaza ransomware para sectores especificos

Notas

Desde Inbox: Informacion del Actor

Importado desde Inbox/Informacion del Actor.md durante consolidacion bulk.

Resumen

Nota indice que organiza los recursos de investigacion de threat actors en tres categorias principales: informacion general (plataformas de inteligencia), proveedores de inteligencia (blogs y reportes de vendors) y CERTs/organismos publicos (fuentes gubernamentales).

Categoria

Indice de recursos de perfilado de threat actors.

Herramientas y Recursos

Categoria Enlace Descripcion
Informacion General threat-actor-search Plataformas de inteligencia de amenazas (MITRE, ETDA, UNIT42, Mandiant, CrowdStrike, Malpedia)
Proveedores de Inteligencia threat-intelligence-feeds Blogs, informes y repositorios de vendors CTI
CERTs y Organismos Publicos threat-intelligence-feeds Fuentes gubernamentales y reportes de CERTs nacionales/internacionales

Casos de Uso

  • Punto de partida para investigacion de un threat actor desconocido
  • Navegacion rapida a fuentes especializadas por tipo de informacion
  • Referencia durante perfilado de adversarios para reportes CTI

Notas

Desde Inbox: Modus Operandi

Importado desde Inbox/Modus Operandi.md durante consolidacion bulk.

Resumen

Nota indice del modulo "Modus Operandi" dentro del cheatsheet CTI-OSINT. Organiza los recursos para analizar como operan los threat actors en dos grandes bloques: tacticas, tecnicas y procedimientos (TTPs) y planes de mitigacion correspondientes.

Categoria

Analisis de modus operandi: TTPs y mitigaciones.

Herramientas y Recursos

Categoria Enlace Descripcion
TTPs threat-actor-search Recursos MITRE ATT&CK para tacticas, tecnicas y procedimientos
Planes de Mitigacion threat-intelligence-feeds Frameworks y recursos de control y mitigacion (MITRE, NIST, Ransomware Control Matrix)

Casos de Uso

  • Mapear TTPs de un threat actor a tecnicas MITRE ATT&CK
  • Identificar planes de mitigacion aplicables a las tecnicas detectadas
  • Estructura de analisis para reportes de perfilado de adversarios

Notas

  • Este indice forma parte del tercer nivel del cti-osint-cheatsheet
  • Los TTPs y mitigaciones deben analizarse en conjunto para evaluar gaps de cobertura
  • Complementar con threat-actor-search para correlacionar herramientas con tecnicas

Desde Inbox: Objetivos de Ataques

Importado desde Inbox/Objetivos de Ataques.md durante consolidacion bulk.

Resumen

Nota indice del modulo "Objetivos de Ataques" dentro del cheatsheet CTI-OSINT. Organiza los recursos para analizar que, donde, a quien y en que sectores atacan los threat actors, en cuatro submodulos.

Categoria

Indice de targeting: operaciones, paises, victimas y sectores.

Herramientas y Recursos

Submodulo Enlace Descripcion
Operaciones Conocidas threat-actor-search Campañas documentadas de threat actors (MITRE, ETDA, UNIT42, SOCRadar)
Paises Objetivo threat-actor-search Targeting geografico (DarkTracer, UNIT42, ETDA, CheckPoint)
Informacion de Victimas threat-actor-search Seguimiento de victimas de ransomware (Darkfeed, DarkTracer)
Sectores Objetivo threat-actor-search Targeting sectorial (DarkTracer, UNIT42, ETDA)

Casos de Uso

  • Analizar el perfil de targeting completo de un threat actor
  • Identificar si un cliente o sector especifico es objetivo activo
  • Alimentar reportes de inteligencia estrategica con datos de victimologia
  • Navegar de forma estructurada los recursos de targeting del cheatsheet

Notas

  • Este indice es parte del primer nivel del cti-osint-cheatsheet
  • Los cuatro submodulos cubren las dimensiones clave de targeting: que (operaciones), donde (paises), quien (victimas) y en que sector
  • DarkTracer aparece como recurso recurrente en multiples submodulos

Desde Inbox: Online Sandboxes

Importado desde Inbox/Online Sandboxes.md durante consolidacion bulk.

Resumen

Directorio de plataformas de sandbox online para analisis dinamico de malware. Permite detonar muestras sospechosas en entornos aislados y obtener IOCs, comportamiento de red, modificaciones al sistema y clasificacion de amenazas.

Categoria

Sandboxes online: analisis dinamico de malware en entorno controlado.

Herramientas y Recursos

Plataforma URL Descripcion
JoeSandbox Link Sandbox avanzado con analisis profundo de comportamiento y generacion de reportes detallados
ANY.RUN Link Sandbox interactivo que permite manipulacion en tiempo real de la muestra
VirusTotal Link Motor multiescaner con analisis estatico y dinamico, integracion con multiples AVs
Hybrid Analysis Link Sandbox de CrowdStrike con analisis hibrido (estatico + dinamico) gratuito

Casos de Uso

  • Analisis dinamico de archivos sospechosos detectados en alertas del SOC
  • Extraccion de IOCs de red (C2, dominios, IPs) de muestras de malware
  • Verificacion de payloads asociados a campañas de phishing
  • Generacion de reportes tecnicos de comportamiento de malware

Notas

  • ANY.RUN destaca por su interactividad, util para malware que requiere input del usuario
  • VirusTotal es la herramienta mas versatil para busquedas rapidas de hashes/URLs/dominios
  • Forma parte de la estructura de threat-intelligence-feeds en el cheatsheet CTI-OSINT

Desde Inbox: Operaciones y campañas conocidas

Importado desde Inbox/Operaciones y campañas conocidas.md durante consolidacion bulk.

Resumen

Directorio de 4 plataformas clave para investigar operaciones y campañas conocidas de threat actors. Incluye bases de datos de campañas documentadas, fichas de grupos y herramientas de seguimiento, con valoracion de utilidad.

Categoria

Seguimiento de operaciones y campañas: bases de datos, fichas de grupos, tracking.

Herramientas y Recursos

Plataforma URL Rating Descripcion
MITRE ATT&CK - Campaigns Link 3/3 Base de datos autoritativa de campañas documentadas con TTPs
ETDA - Threat Group Card Link 1/3 Fichas de grupos con operaciones asociadas
Playbook UNIT42 de Palo Alto Link 2/3 Playbooks de investigacion con analisis de campañas
SOCRadar - Campaigns Link 2/3 Seguimiento de campañas activas con contexto geopolitico

Casos de Uso

  • Investigar campañas historicas asociadas a un threat actor
  • Identificar patrones de operacion entre multiples campañas
  • Alimentar reportes de inteligencia estrategica con datos de campañas
  • Correlacionar campañas con TTPs y herramientas empleadas

Notas

  • MITRE ATT&CK es la referencia principal (rating 3/3) para campañas documentadas
  • SOCRadar añade contexto geopolitico util para inteligencia estrategica
  • Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT

Desde Inbox: Paises Objetivo

Importado desde Inbox/Paises Objetivo.md durante consolidacion bulk.

Resumen

Directorio de 4 plataformas para identificar los paises objetivo de threat actors. Permite mapear la distribucion geografica de ataques y correlacionar patrones de targeting regional.

Categoria

Targeting geografico: paises y regiones objetivo de threat actors.

Herramientas y Recursos

Plataforma URL Rating Descripcion
DarkTracer Link 3/3 Monitorizacion de victimas con desglose geografico
Playbook UNIT42 de Palo Alto Link 1/3 Playbooks con informacion de regiones objetivo
ETDA - Threat Group Card Link 1/3 Fichas de grupos con paises objetivo documentados
Threat Actor Map - CheckPoint Link 1/3 Mapa interactivo de actividad de amenazas por pais

Casos de Uso

  • Identificar que threat actors operan contra un pais o region especifica
  • Evaluar nivel de amenaza geografica para clientes en distintas jurisdicciones
  • Alimentar inteligencia estrategica con datos de targeting regional
  • Correlacionar paises objetivo con sectores afectados

Notas

  • DarkTracer destaca como la plataforma mas util (rating 3/3) para targeting geografico
  • Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT
  • Complementar con threat-actor-search para un perfil de targeting completo

Desde Inbox: Ransomware Gangs

Importado desde Inbox/Ransomware Gangs.md durante consolidacion bulk.

Name Status User:Password Tox ID or other channel RSS Feed
DRM - Dashboard Ransomware Monitor ONLINE
eCrime Services ONLINE
RANSOM DB ONLINE
RANSOMWARE GROUP SITES (list) ONLINE
RANSOMWARE GROUP SITES (list) OFFLINE
RANSOMWARE GROUP SITES (list) ONLINE
RANSOMWARE GROUP SITES (list) ONLINE
RANSOMWARE GROUPS MONITORING TOOL ONLINE
RANSOMWARE GROUPS MONITORING TOOL ONLINE
54bb47h OFFLINE
0mega (Dark) ONLINE
0mega (Deep) OFFLINE
54bb47h OFFLINE
54bb47h (Victims page) OFFLINE
8BASE ONLINE https://t.me/eightbase - https://twitter.com/8BASEHOME
Abrahams Ax (Dark) ONLINE
Abrahams Ax (Deep) ONLINE
ABYSS ONLINE
AgainstTheWest OFFLINE https://t.me/ATW2022
Akira ONLINE
AKO OFFLINE
ALPHV (aka BlackCat 1) OFFLINE 3488458145EB62D7D3947E3811234F4663D9B5AEEF6584AB08A2099A7F946664BBA2B0D30BFC
ALPHV (aka BlackCat 2) ONLINE
ALPHV (collection data leaks) ONLINE
ARVIN OFFLINE http://t.me/arvin_club
ARVIN OFFLINE
ARVIN ONLINE
ASTROTEAM OFFLINE
ATOMSILO OFFLINE
ATOMSILO OFFLINE
AVADDON OFFLINE
AVOS ONLINE YES
AVOS (Victims request ID page) ONLINE
BABUK (Old) OFFLINE
BABUK ONLINE
BABYDUCK (Victims request ID page) OFFLINE
BIANLIAN ONLINE
BIANLIAN (I2P mirror) ONLINE
BIT/LOLKEK/GLOBEIMPOSTER (Support page) OFFLINE
BIT/LOLKEK/GLOBEIMPOSTER (SMTP Server) OFFLINE
BIT/LOLKEK/GLOBEIMPOSTER (Support page) OFFLINE
BIT/LOLKEK/GLOBEIMPOSTER (Support page) ONLINE
BLACKBASTA ONLINE
BLACKBASTA OFFLINE
BLACKBASTA (Victims request ID Page) ONLINE
BLACKBYTE OFFLINE
BLACKBYTE (1) OFFLINE
BLACKBYTE (2) OFFLINE
BLACKBYTE (3) OFFLINE
BLACKBYTE (4) OFFLINE
BLACKBYTE (5) ONLINE
BLACKMATTER OFFLINE
BLACKMATTER Support OFFLINE
BLACK SHADOW (Deep) OFFLINE https://t.me/Blackshadow_Team_official
BLACK SHADOW OFFLINE
BLACK SUIT ONLINE
BLUE SKY (Victims request ID Page) ONLINE
Bl00dy Ransomware https://t.me/bl00dy_Ransomware_Gang
BONACI GROUP OFFLINE
CACTUS ONLINE
CHEERS OFFLINE
CHILE LOCKER (Victim request ID Page) OFFLINE
CLOP ONLINE
CLOP (torrents) ONLINE
CLOP (Old) OFFLINE
CONTI/RYUK (Dark) OFFLINE
CONTI/RYUK (Deep) OFFLINE
COOMINGPROJECT (Tor v2) OFFLINE
COOMINGPROJECT (Tor v3) OFFLINE
COOMINGPROJECT (Deep) OFFLINE
CRIMSON WALRUS OFFLINE
CROSSLOCK OFFLINE
CRYLOCK (Victims request ID Page) OFFLINE
CRYPTNET ONLINE
CRYPTNET (Victims request ID Page) ONLINE
CRYP70N1C0D3 OFFLINE
CUBA (Old) OFFLINE
CUBA ONLINE 37790E2D198DFD20C9D2887D4EF7C3E2951BB84248D192689B64DCCA3C8BD808A1895676B271
CYCLOPS ONLINE
DAGON LOCKER (Victims request ID Page) OFFLINE
DAIXIN ONLINE
DARK ANGELS OFFLINE
DARKBIT01(Victims request ID Page) OFFLINE
DARKBIT01 OFFLINE
DARKRYPT OFFLINE
DARKPOWER OFFLINE
DARKRACE OFFLINE
DARKSIDE OFFLINE
DONUT BLOG OFFLINE
DONUT DLS OFFLINE
DONUT DLS (new) ONLINE
DOPPLE PAYMER OFFLINE
DOTADMIN OFFLINE @dotADMINbot (Telegram)
DUNGHILL ONLINE https://t.me/leaksdirectory
ECH0RAIX OFFLINE
ENDURANCE OFFLINE
EGREGOR OFFLINE
ENTROPY OFFLINE
EP918 OFFLINE
EVEREST OFFLINE
EVILCORP OFFLINE
EXORCIST OFFLINE
FREE CIVILIAN (Attacks Ukrainian Government Agencies) OFFLINE 78DB22E30C48561EF8B63AFF7702B237A4797017EBC3630853CF6F11F8706A3A84AB112760AF
FS-TEAM ONLINE
GOODWILL (Dashboard) OFFLINE
GRIEF OFFLINE
GROOVE OFFLINE
HADES OFFLINE
HARON OFFLINE Chaddadgroup:Chaddadgroup
HELLO KITTY OFFLINE
HITLER OFFLINE
HIVE OFFLINE
HIVE (Negotiation) OFFLINE
HOLYGHOST OFFLINE
HOTARUS OFFLINE
ICEFIRE OFFLINE
ICEFIRE OFFLINE
INC RANSOM ONLINE
INDUSTRIAL SPY OFFLINE
JUSTICE BLADE OFFLINE https://t.me/justiceblade3 - https://t.me/+UbB2H5vTBJJkYTRl
KARAKURT (Deep) OFFLINE
KARAKURT (Deep) OFFLINE
KARAKURT (Deep) OFFLINE
KARAKURT (Deep) OFFLINE
KARAKURT 2.0 (IP) OFFLINE
KARAKURT (Dark) OFFLINE
KARAKURT (chat panel) ONLINE
KARAKURT (Dark) ONLINE
KARMA OFFLINE
KELVIN SECURITY ONLINE https://t.me/kelvinsecteam
KNIGHT (ex CYCLOPS) ONLINE 9096AD7062A4232F5AA31C2F7C4DF0AC1EAD10B78D40A6A3328AD142A42B555E635954D8B6C5
LA PIOVRA OFFLINE
LILITH OFFLINE BAC01607F29EC417FB4106AEAB5BDF79CD948F9120C8D889E8785ADFDCE88C00F08429E092EC
LOCKBIT 2.0 (Dark mirror 1) REBRANDED TO LB 3 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 2) REBRANDED TO LB 3 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 3) REBRANDED TO LB 3 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 4) REBRANDED TO LB 3 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 5) REBRANDED TO LB 3 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 6) OFFLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 7) OFFLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 8) OFFLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Dark mirror 9) OFFLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 2.0 (Deep) OFFLINE
LOCKBIT 3.0 (Dark mirror 1) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 2) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 3) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 4) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 5) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 6) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 7) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 8) ONLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 (Dark mirror 9) OFFLINE 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7
LOCKBIT 3.0 ("Leaked") ONLINE
LOCKBIT 3.0 ("File Share") ONLINE
LOCKBIT 3.0 ("Private Note") ONLINE
LOCKBIT OFFLINE
LOCKFILE (Victims request ID page) OFFLINE B2F873769EB6B508EBC2103DDEB7366CEFB7B09AB8314DAD0C4346169072686690489B47EAEB
LORENZ ONLINE
LV (1) OFFLINE
LV (2) OFFLINE
MALAS ONLINE
MALLOX ONLINE
MARKETO (Deep) OFFLINE
MARKETO (Tor v2) OFFLINE
MARKETO (Tor v3) OFFLINE
MARKETO (Tor v3) OFFLINE
MAZE OFFLINE
MBC OFFLINE
MEDUSA LOCKER (Victims page) ONLINE
MEDUSA ONLINE
MEDUSA ONLINE
MONEYMESSAGE ONLINE
MONTI ONLINE
NO NAME SPECIFIED OFFLINE
MIDAS/HARON OFFLINE
MINDWARE OFFLINE
Moses Staff (Deep) ONLINE https://t.me/moses_staff_se_15
Moses Staff (Dark) OFFLINE
MOUNT LOCKER OFFLINE
MYDECRYPTOR OFFLINE
MOISHA OFFLINE
N3TW0RM OFFLINE
NEFILIM OFFLINE
NEMTY (Deep) OFFLINE
NEMTY OFFLINE
NETWALKER OFFLINE
NEVADA (DLS) OFFLINE
NEVADA (BACKEND) OFFLINE
NEVADA (AFFILIATES) OFFLINE
NightSky OFFLINE
NoEscape ONLINE
NoEscape (Victims Page) ONLINE
NOKOYAWA OFFLINE
NOKOYAWA OFFLINE
NOKOYAWA ONLINE
ONEPERCENT OFFLINE
PANDORA OFFLINE
PAY2KEY OFFLINE
PAYLOAD.BIN (Ex BABUK LOCKER) OFFLINE
PLAY ONLINE
PLAY ONLINE
PROLOCK OFFLINE
PROMETHEUS OFFLINE
PYSA OFFLINE
QILIN (Victims page) OFFLINE
QILIN ONLINE
QLOCKER OFFLINE
QUANTUM ONLINE
QUANTUM (clearnet) OFFLINE
RA GROUP ONLINE
RA GROUP (Storage Server) ONLINE
RAGNAR LOCKER OFFLINE
RAGNAR LOCKER ONLINE
RAGNAR LOCKER (Old) OFFLINE
RAGNAROK OFFLINE
RAGNAROK OFFLINE
RANCOZ OFFLINE
RANSOM CARTEL (1) OFFLINE
RANSOM CARTEL (Victims page) OFFLINE
RANSOMEXX ONLINE
RANSOM HOUSE OFFLINE https://t.me/ransom_house
RANSOM HOUSE ONLINE
RANZY/AKO OFFLINE
REDALERT OFFLINE
REDALERT (Victims page) OFFLINE
RELIC OFFLINE
REVIL (Old) OFFLINE
REVIL (New) OFFLINE
REVIL (Victims page) OFFLINE
RHYSIDA ONLINE rhysidaeverywhere@onionmail.org - rhysidaofficial@onionmail.org
ROBINHOOD OFFLINE
ROOK OFFLINE
ROYAL (Victims Page) ONLINE
ROYAL OFFLINE
RRANSOM (Victims page) OFFLINE
SEKHMET OFFLINE
SHADOW ONLINE
SNATCH (Deep) OFFLINE https://t.me/snatch_info
SNATCH (Deep) OFFLINE https://t.me/snatch_info
SNATCH (Deep) ONLINE https://t.me/snatch_info
SNATCH (Deep) ONLINE https://t.me/snatch_info
SNATCH (Dark) ONLINE https://t.me/snatch_info
SODINOKIBI (REVIL) OFFLINE
SOLIDBIT (Chat panel) OFFLINE
SPARTA OFFLINE
SPOOK DATA OFFLINE YES
STORMOUS OFFLINE https://t.me/STORMOUS_HACKER https://t.me/STORMOUSS
STORMOUS OFFLINE
SUGAR (Victims page) OFFLINE
SUGAR (Deep) OFFLINE
SUNCRYPT (Tor v2) OFFLINE
SUNCRYPT (Tor v3) OFFLINE
SynACK (El_Cometa) OFFLINE
TEAM UNDERGROUND (Victims page) ONLINE
TRIGONA OFFLINE
UNSAFE ONLINE
V IS VENDETTA ONLINE
VFOKX (1) OFFLINE
VFOKX (2) OFFLINE
VICE SOCIETY OFFLINE
VICE SOCIETY ONLINE
VICE SOCIETY OFFLINE
VICE SOCIETY ONLINE
VICE SOCIETY ONLINE
VICE SOCIETY ONLINE
VSOP (ex ONIX) OFFLINE
WIPER LEAK (only on Discord) ONLINE https://discord.com/invite/jjZQdDNnGh
X001XS ONLINE
XING LOCKER OFFLINE
XINOF OFFLINE
YANLUOWANG OFFLINE
ZEON (Victims page) OFFLINE

Desde Inbox: Sectores Objetivo

Importado desde Inbox/Sectores Objetivo.md durante consolidacion bulk.

Resumen

Directorio de 3 plataformas para identificar sectores industriales objetivo de threat actors. Permite mapear que industrias son atacadas por que grupos y con que frecuencia.

Categoria

Targeting sectorial: industrias y sectores objetivo de threat actors.

Herramientas y Recursos

Plataforma URL Rating Descripcion
DarkTracer Link 3/3 Monitorizacion de victimas con desglose por sector industrial
Playbook UNIT42 de Palo Alto Link 2/3 Playbooks con informacion de sectores objetivo por threat actor
ETDA - Threat Group Card Link 1/3 Fichas de grupos con sectores objetivo documentados

Casos de Uso

  • Identificar que threat actors atacan un sector industrial especifico
  • Evaluar nivel de amenaza sectorial para clientes en distintas industrias
  • Alimentar inteligencia estrategica con datos de targeting por sector
  • Priorizar threat actors relevantes segun sector del cliente

Notas

  • DarkTracer destaca como la plataforma mas util (rating 3/3) para targeting sectorial
  • Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT
  • Complementar con threat-actor-search para un perfil de targeting completo

Desde Inbox: Tacticas, tecnicas y procedimientos(TTP)

Importado desde Inbox/Tacticas, tecnicas y procedimientos(TTP).md durante consolidacion bulk.

Resumen

Directorio de 7 recursos para investigar TTPs (Tacticas, Tecnicas y Procedimientos) de threat actors basados en el framework MITRE ATT&CK. Incluye las matrices oficiales de ATT&CK, herramientas de busqueda avanzada y visualizaciones interactivas.

Categoria

Recursos TTP: frameworks, herramientas de busqueda y visualizacion MITRE ATT&CK.

Herramientas y Recursos

Recurso URL Descripcion
MITRE ATT&CK Tacticas Link Catalogo oficial de tacticas del framework ATT&CK Enterprise
MITRE ATT&CK Tecnicas Link Catalogo oficial de tecnicas y sub-tecnicas ATT&CK
MITRE ATT&CK Software Link Base de datos de software ofensivo mapeado a tecnicas
MITRE Assistant Link Herramienta de busqueda avanzada de adversarios y tecnicas MITRE
Tidal Cyber - TTPs Link Plataforma de inteligencia de amenazas con mapeo de TTPs
Website Attack Reference Link Referencia de ataques web mas comunes
MITRE ATT&CK Visualizations Link Visualizacion interactiva del framework MITRE ATT&CK

Casos de Uso

  • Mapear comportamiento observado en un incidente a tecnicas ATT&CK
  • Identificar TTPs asociados a un threat actor especifico
  • Diseñar hipotesis de threat hunting basadas en tecnicas ATT&CK
  • Crear reglas de deteccion mapeadas a tecnicas especificas

Notas

  • MITRE ATT&CK es el estandar de facto para catalogacion de TTPs
  • Tidal Cyber ofrece una interfaz moderna con enrichment adicional
  • Las visualizaciones interactivas son utiles para presentaciones y briefings
  • Forma parte de la estructura de threat-actor-search en el cheatsheet CTI-OSINT

Themes