5 min de lectura Por Excello Mail Team

Siete Dominios Falsos, un Solo Rastro de RedLine: la Campaña BEC Maritima que Muestra lo que DMARC no Puede Ver

Investigadores partieron de una sola direccion de C2 del infostealer RedLine y descubrieron siete dominios falsos recien registrados creados para suplantar a proveedores maritimos en una campaña BEC dirigida. Ninguno necesito violar el registro DMARC de nadie, y ese es precisamente el punto.

Una sola direccion de comando y control vinculada al infostealer RedLine, detectada en un puerto alto no estandar, resulto ser el hilo suelto que desenredo toda una operacion de phishing. Los investigadores que partieron de ese unico indicador, cruzando patrones de alojamiento, detalles de certificados TLS y telemetria de sandbox, lo rastrearon hasta un grupo de siete dominios recien registrados creados con un unico proposito: suplantar a empresas reales de la cadena de suministro maritima. El objetivo de la campaña era Kangrim Heavy Industries, un fabricante surcoreano que controla mas del 60% del mercado mundial de calderas marinas e industriales, y los señuelos eran mensajes especificos sobre envios, no spam generico.

Los correos incluian archivos ZIP maliciosos que entregaban Formbook, un infostealer de larga trayectoria vendido como malware como servicio, y el indicador de RedLine que inicio la investigacion estaba vinculado a la misma infraestructura de entrega. Los envios rastreados hasta abril de 2026 sugieren que se trataba de infraestructura activa en el momento en que los investigadores la encontraron, no un ataque aislado.

Dominios Creados para Parecerse a Otra Empresa

Los siete dominios compartian un patron de nomenclatura: un nombre de empresa abreviado combinado con el sufijo “llc” y un dominio de nivel superior barato, como acasiallc.shop, amdocsllc.shop y ansysllc.shop. Uno de ellos, krysegroupllc.online, fue registrado a mediados de 2025 especificamente para suplantar a Kryse Group, un proveedor real de este sector. Los siete estaban alojados en el mismo proveedor de infraestructura, compartiendo huellas de alojamiento y certificados lo suficientemente cercanas como para que encontrar uno significara encontrar el resto.

Esto no es suplantacion de dominio en el sentido que DMARC fue diseñado para detener. Nadie falsifico el encabezado “From” real de Kryse Group. Los atacantes registraron un dominio completamente nuevo que simplemente se parece al nombre de Kryse Group, montaron su propia infraestructura de correo detras de el, y enviaron correo que se autentica perfectamente bajo sus propios registros SPF, DKIM y DMARC, porque es, tecnicamente, exactamente lo que dice ser: correo de krysegroupllc.online, enviado por quien controla krysegroupllc.online.

Por Que la Aplicacion de DMARC No Detuvo Esto, y Que Si Logro

Esa distincion importa, y vale la pena detenerse en ella en lugar de descartarla como un fallo de DMARC. DMARC protege a un dominio de ser suplantado directamente, de que alguien falsifique correo que dice provenir de kysegroup.com sin ser su dueño. No detiene, ni puede detener por diseño, que alguien registre un dominio distinto que simplemente se parece y hable a traves de el de forma honesta.

Fijense, sin embargo, en la eleccion del atacante aqui. No intentaron suplantar el dominio real de Kryse Group. Construyeron uno parecido en su lugar. Eso no es casualidad; suele ser la alternativa cuando el dominio real ha cerrado la via de suplantacion directa, o cuando la campaña resulta mas facil de ejecutar y mas dificil de rastrear a traves de infraestructura nueva que el atacante controla por completo. La autenticacion aplicada en los dominios reales de los proveedores elevo el costo lo suficiente como para que los atacantes tomaran otro camino. El punto ciego que queda es precisamente el que la aplicacion de DMARC nunca fue diseñada para cubrir.

Cerrando la Brecha que DMARC Deja Abierta

Tres capas practicas cierran esa brecha restante sin esperar un nuevo protocolo:

Monitorear dominios similares, no solo intentos de suplantacion. Los informes agregados de DMARC le dicen a un propietario de dominio quien esta intentando enviar correo como si fuera el. No dicen nada sobre los dominios estilo acasiallc.shop registrados para suplantarlo a el o a sus proveedores por nombre. Eso requiere un monitoreo de dominio y marca por separado, vigilando nuevos registros que combinen el nombre de su empresa o el de un proveedor cercano con sufijos comunes y dominios de nivel superior baratos.

Extender los requisitos de autenticacion a la cadena de suministro. Una empresa que aplica p=reject en su propio dominio ha cerrado la via de suplantacion directa de su propio nombre. Todavia no ha hecho nada por los cuarenta proveedores, transitarios y agentes aduanales con los que intercambia documentacion de envios, cada uno de los cuales es un nombre que un atacante puede incorporar a un dominio similar.

Verificar cambios de pago y envio fuera de banda. Ningun protocolo de autenticacion, presente o futuro, reemplaza una llamada telefonica a un contacto conocido cuando una factura, un numero de ruta o una instruccion de entrega cambian a mitad de una transaccion. Ese habito detiene una carga util de BEC construida para dominios similares con la misma fiabilidad con la que detiene una construida para suplantacion directa.

La Conclusion

Que una sola direccion de C2 filtrada desenrede siete dominios falsos es un recordatorio de que el BEC en la cadena de suministro es una operacion paciente y con mucha infraestructura, no una suposicion afortunada. Tambien es, mirandolo de cerca, una pequeña evidencia de que la aplicacion de DMARC esta cumpliendo su funcion en el origen: los atacantes necesitaron siete dominios nuevos precisamente porque suplantar los reales directamente ya no era el camino facil. El trabajo que queda por delante es vigilar los dominios similares que llenan el espacio que la aplicacion deja abierto.


Aplicar DMARC en su propio dominio cierra la via de suplantacion directa, pero los atacantes buscaran la siguiente. Registrese gratis en Excello Mail para llevar su dominio a la aplicacion completa y obtener la visibilidad de informes necesaria para ver quien esta probando su nombre.