Investigadores han reunido listas y exportaciones que identifican alrededor de 70.000 dominios que alquilan subdominios, y han explicado cómo se abusa de este tipo de infraestructura. Los adversarios utilizan estos subdominios para alojar páginas maliciosas, resolver nombres para servidores C2 y actuar como puntos de recolección para datos robados. En muchos casos, la conexión entre el subdominio y el proveedor complica la persecución legal o forzada de la infraestructura, ya que el proveedor opera de manera anónima y con políticas laxas. Algunos proveedores ofrecen control total sobre el registro A (IP) y el contenido (a través de planes pagos o configuraciones específicas), mientras que otros limitan los cambios, pero aún permiten contenido alojado que puede ocultar cargas útiles. El abuso incluye tanto enlaces de phishing como C2 sobre DNS (tunneling/exfiltración) y el alojamiento de kits de explotación o dropzones.
-4.jpg)
