top of page

IntelBroker: ¿El mago que se quedó sin trucos?

Avatar de IntelBroker
IntelBroker - SyndiK8

IntelBroker: Los inicios

A finales de 2022 IntelBroker apareció irrumpiendo en Breachforum, un conocido foro de habla inglesa. Un actor con mucha sed de reconocimiento, cuyo debut consistió en ofrecer acceso a los canales de desarrollo y software de General Electric por 500$. Con el tiempo, IntelBroker fue ganando reputación por la calidad y variedad de su inventario. Su acceso a sistemas más sofisticados y de alto valor, como redes gubernamentales y grandes corporaciones, los catapultó a la cima del mercado. Desde entonces, ha protagonizado diversas filtraciones como a Autotrader, Volvo, AT&T, Verizon y otros.


Desde sus inicios su target predilecto fueron compañías grandes y relevantes en su sector, algo poco habitual en los actores que comienzan vendiendo leaks. Su motivación parece ser meramente económica, ya que él mismo sabe que ya es un actor reconocido en la comunidad. También sabemos que el primer año ganó más de 100.000 $, ya que él mismo lo ha sacado a la luz.


El famoso ¿Cómo?

Sobre su modus operandi sabemos poco. Los métodos utilizados por IntelBroker para obtener acceso a sistemas vulnerables no son públicos ni se tiene registro de las posibles técnicas que han sido utilizadas en los ataques, pero se cree que se emplea una combinación de técnicas, como ataques de ingeniería social, exploits de vulnerabilidades de tipo zero-day y la compra de credenciales robadas.


Nunca se han tenido evidencias suficientes que pudieran demostrar cómo se llevaban a cabo los ataques de los que procedían los datos que después publicaba, por lo tanto, otro misterio más que sumar a la lista en torno a este Threat Actor. Esto siempre ha sembrado la duda de hasta qué punto los ataques son suyos, si forman parte de otros grupos, o si es un oportunista... O incluso un miembro del FBI.


Sus amigos

Aunque podemos encontrar colaboraciones reconocidas abiertamente, como con el grupo de CyberNiggers, las especulaciones apuntan a que podría ser más de una persona la que se esconde tras este alias, aunque ninguno de estos rumores están confirmados. Pero por el nivel de los ataques, y sobretodo, la frecuencia en la que estos últimos meses se producían, todo apunta que existe apoyo detrás, por lo que podría ser cierto. Lo que el ha afirmado es que, a pesar de que colabora activamente con CyberNiggers llegando a ser un miembro clave del grupo, le gusta también llevar a cabo operaciones en solitario.


Otro de los perfiles con los que parece tener una especial relación es el actor conocido como Sanggiero. Han colaborado en ciertos ataques de forma conjunta, como es el caso de Robert Half, una compañía especializada en "buscar talento", o también las cadenas de Sugargoo y Pandabuy. Aunque, de nuevo, también hay rumores de que ambos perfiles son la misma persona o grupo. Este asunto está envuelto en un halo de misterio, como todo lo que rodea a IntelBroker.


Supo hacerse un hueco en la comunidad, ya que era uno de los miembros mas destacados de Breachforum. Era muy habitual verlo por las noches charlando en la shout box y también en el famoso canal de Telegram vinculado al foro, Jacuzzi. Tenía bastante buena relación en general con las diversas personalidades del foro, llegando incluso a pedir y a postularse para ser administrador del mismo, proponiendo incluso diversas mejoras que podían ser aplicadas.


Su desaparición

Uno de los hechos que marcó el antes y el después para este Threat Actor (o grupo) fue hace unas semanas. En mayo de 2024, IntelBroker puso a la venta datos robados de Europol, la agencia policial europea, alegando que incluían información confidencial de empleados y sistemas operativos. Aunque se reconoció el ataque de forma oficial, también afirmaron que no habían conseguido extraer datos sobre su operativa. Después de este ataque... Comienza las desaparición del actor. Y justo después...Empezó la serie de catastróficas desdichas: la caída de Breachforum.


Después de haberse granjeado una buena dosis de fama y de ser uno de los miembros mas aclamados y admirados del foro, se produce su caída y la incautación del sitio por parte del FBI y el Departamento de Justicia de EEUU. Esto, en un principio, produce un gran caos en la comunidad, ya que supone uno de los últimos canales que quedaban de comunidad underground de habla inglesa.


Los usuarios han manifestado preocupación por este en todo momento, siendo una pregunta reiterada en las conversaciones de ahí abajo "oye, y de IntelBroker ¿se sabe algo?" pero el actor se mantiene en silencio. Aunque algunos posibles conocidos del mismo nos han dicho que este "se encuentra bien", nosotros, personalmente, tenemos nuestras dudas....


Hipótesis

Partimos de la pregunta que a muchos nos ronda la cabeza... ¿Que ha sido de IntelBroker? ¿Cuál puede ser el motivo de su desaparición? Comenzamos a hacer lo que más nos gusta: posibles hipótesis para intentar dar respuesta a los interrogantes que están en las cabezas de todos.


  • El miedo. Uno de los pasos lógicos en la escena del cibercrimen que necesitaba una intervención urgente era, precisamente, perseguir a IntelBroker. A raíz de la caída de Breachforum, donde puede darse la probabilidad que si el OPSEC no ha sido perfecto se podrían obtener datos identificativos, es lógico sentir que algo acecha a tu espalda. Desaparecer una temporada parece una opción sensata.

  • Un movimiento de salida: También cabe la posibilidad de que se haya realizado una jugada de salir de la escena tal y como se le conoce. No parece ser el tipo de actor que lo deja sin más, así que es posible que haya sido un rebranding. Vemos posible que podamos encontrar un perfil muy similar cuando el nuevo breachforum se alce de nuevo.


  • Es uno de los agentes del FBI que ha hecho posible la incautación de Breachforum: Es una teoría oscura, pero estas también son a veces posibles. El hecho de que se sepa poco acerca de su modus operandi, de que una de sus principales características fuera cómo se relacionaba con la gente y que le hicieran administrador tras prácticamente insistir... Podría apuntar a este tipo de maniobras.


  • Está apresado y la razón de no salir a la luz es que se trata de un menor de edad: No es la primera vez que vemos que alguien que no llega a los 20 años destaca en el mundo cibercriminal. En este tipo de situaciones, la justicia suele ser bastante restrictiva con la información que comparte, ya que el interés de proteger al menor prevalece. Y ya se sabe, con el fin de intentar enderezar la vara, es habitual que les busquen un nuevo trabajo como mecanismo de "reinserción social". Aunque, si os somos sinceros, esta es la teoría que vemos menos probable.


¿Qué le depara el futuro?

Estas son nuestras teorías favoritas, aunque tenemos algunas más, sin embargo, habrá que ser pacientes y esperar a que todo tome su cauce y la normalidad vuelva a establecerse en el underground para ver cómo se desenvuelven los hechos y si IntelBroker, con este alias u otro, se vuelve a alzar en el panorama como figura de referencia.


Si tienes alguna pista o información adicional y quieres compartirla con nosotros, somos todo oídos. Ponte en contacto por cualquiera de nuestros canales anónimos que tenemos en la sección de El Team.








bottom of page