// Lespion — Investigación de amenazas internas
// OSINT · Threat Intel · GitHub Analysis
// Dificultad: Easy
// Nivel: Level 2
DISCLAIMER
Este writeup tiene fines educativos y de práctica profesional. Las respuestas corresponden al laboratorio público de CyberDefenders. Los nombres de usuario, contraseñas, claves API, direcciones URL y perfiles mostrados pertenecen al escenario controlado del reto, no a personas ni infraestructura real. No se debe intentar acceder a ninguna de las cuentas o servicios mencionados.
SERIE // CyberDefenders Labs #06 — Level 2
0x00 — Introducción
Sexto post de la serie de laboratorios de CyberDefenders y el primero en Level 2.
En esta ocasión nos enfrentamos a Lespion, un laboratorio de Threat Intel donde investigamos un compromiso de red que se originó desde una única cuenta de usuario, apuntando a un posible insider threat.
El objetivo es rastrear las acciones del atacante, identificar la cuenta comprometida y desmontar los métodos utilizados para la exfiltración de datos.
Para ello combinaremos técnicas de OSINT, análisis de repositorios de código, inspección de metadatos y correlación de perfiles en línea.
A lo largo de la investigación emplearemos herramientas como Sherlock para rastrear nombres de usuario en múltiples plataformas, CyberChef para decodificar credenciales ofuscadas y Google Image Search para geolocalizar ubicaciones a partir de fotografías.
0x01 — El Escenario
| Elemento | Detalle |
|---|---|
| Tipo de amenaza | Insider Threat |
| Alerta inicial | Compromiso de red con interrupción significativa del servicio |
| Evidencia | Repositorios GitHub, perfiles sociales, fotografías, cámara IP |
| Herramientas | Sherlock, CyberChef, Google Image Search |
| Misión | Rastrear huella digital, identificar credenciales expuestas, perfilar al atacante |
0x02 — Análisis
¿Cuál es la clave API que el insider agregó a sus repositorios de GitHub?
La investigación comienza analizando el perfil de GitHub del usuario sospechoso EMarseille99, que se describe como programador backend de una empresa de consultoría de software. El perfil aloja varios repositorios públicos, entre ellos uno llamado Project-Build---Custom-Login-Page.
Al examinar el historial de commits del repositorio, encontramos una actualización al archivo Login Page.js que incluye la adición de una variable llamada API Key con un valor hardcodeado directamente en el código fuente.
Embeber claves API en el código fuente es una vulnerabilidad de seguridad crítica que cualquier persona con acceso al repositorio puede explotar esas credenciales para obtener acceso no autorizado a servicios conectados, bases de datos o sistemas externos.
Respuesta: aJFRaLHjMXvYZgLPwiJkroYLGRkNBW
¿Cuál es la contraseña de texto sin formato que el insider agregó a sus repositorios de GitHub?
Profundizando en el mismo historial de commits, encontramos otra actualización al archivo Login Page.js que contiene un formulario de login con credenciales hardcodeadas.
El nombre de usuario se establece como EMarseille99, coincidiendo con el perfil del propietario del repositorio, lo que refuerza la hipótesis de actividad interna.
El campo de contraseña contiene un valor codificado en Base64: UGljYXNzb0JhZ3VldHRlOTk=.
Base64 no es cifrado, sino un método de codificación fácilmente reversible.
Al decodificarlo con CyberChef obtenemos la contraseña en texto plano.
Almacenar contraseñas de esta forma supone un riesgo severo porque cualquier atacante puede decodificar y explotar estas credenciales en cuestión de segundos.
La investigación debe priorizar si esta contraseña ha sido reutilizada en múltiples sistemas o cuentas.
Respuesta: PicassoBaguette99
¿Qué herramienta de minería de criptomonedas utilizó el insider?
La minería de criptomonedas es el proceso de validar transacciones en una red blockchain resolviendo acertijos criptográficos complejos.
Cuando los atacantes despliegan software de minería en sistemas comprometidos sin autorización, esta práctica se denomina cryptojacking, y provoca degradación del rendimiento, aumento del consumo energético y pérdidas financieras para la víctima.
Al revisar los repositorios del perfil de GitHub, encontramos un fork de XMRig, un software de minería de código abierto utilizado principalmente para minar Monero (XMR), una criptomoneda centrada en la privacidad.
XMRig soporta algoritmos como RandomX, CryptoNight, AstroBWT y Argon2, optimizados tanto para CPU como GPU. ´
Aunque es una herramienta legítima de código abierto, es ampliamente abusada en campañas de cryptojacking por su eficiencia y configurabilidad, y porque las transacciones de Monero son anónimas por diseño.
Respuesta: xmrig
¿En qué sitio web de juegos tenía una cuenta el insider?
Para ampliar la huella digital del sospechoso, recurrimos a Sherlock, una herramienta OSINT especializada en buscar nombres de usuario en cientos de plataformas y servicios online.
Su capacidad de automatizar la búsqueda y devolver enlaces directos a perfiles existentes la convierte en un recurso indispensable en investigaciones de este tipo.
sherlock EMarseille99
Entre los resultados, Sherlock identifica un perfil en Steam Community, la plataforma de juegos ampliamente utilizada.
El enlace directo al perfil permite a los investigadores examinar listas de amigos, grupos, actividad reciente y posibles conexiones relacionadas con el incidente.
usando un visualizador anónimo de perfiles de Instagram observamos
Respuesta: Steam
¿Cuál es el enlace al perfil de Instagram del insider?
La misma salida de Sherlock nos proporciona también el perfil de Instagram asociado al nombre de usuario EMarseille99.
El perfil pertenece a Émilie Marseille, que se describe como "Backend programmer for Software Consultants Inc.".
Este perfil se convierte en una fuente crucial de información para las siguientes preguntas, ya que las publicaciones y fotos del insider revelan datos sobre sus desplazamientos + ubicación familiar.
Respuesta: https://www.instagram.com/EMarseille99/
¿A dónde fue el insider durante las vacaciones? (Solo país)
Analizando las publicaciones del perfil de Instagram, encontramos fotografías que documentan un viaje reciente.
Las imágenes y la geolocalización de las publicaciones revelan que el insider visitó Singapore durante sus vacaciones.
Respuesta: Singapore
¿Dónde vive la familia del insider? (Solo ciudad)
El perfil de Instagram del sospechoso contiene dos fotografías geolocalizadas en Dubai, lo que sugiere que su familia reside en esta ciudad.
Tiene muchas fotos desde la misma ubicación refuerza mi hipótesis frente a una visita puntual, es decir su familia está allí.
Respuesta: Dubai
Se le ha proporcionado una fotografía del edificio en el que la empresa tiene una oficina. ¿En qué ciudad está ubicada la empresa?
Para esta pregunta aplicamos una técnica clásica de OSINT que es la búsqueda inversa de imágenes.
Subimos el archivo office.jpg proporcionado por el laboratorio a Google Image Search para identificar el edificio y su ubicación geográfica.
Los resultados de la búsqueda identifican el edificio como parte del complejo de la estación Birmingham New Street y el centro comercial Grand Central, ubicados en la ciudad de Birmingham, Reino Unido.
Respuesta: Birmingham
Nuestra unidad de vigilancia terrestre siguió al sospechoso hasta el aeropuerto. Su avión despegó y aterrizó en otro país.
Nuestro equipo de inteligencia detectó al objetivo con esta cámara IP. ¿En qué estado se encuentra esta cámara?
Aplicamos el mismo enfoque que en la pregunta anterior usamos la búsqueda inversa de imágenes con el archivo Webcam.png proporcionado por el laboratorio.
La imagen corresponde a una webcam pública de EarthCam ubicada en la Universidad de Notre Dame (De noche por la diferencia horaria)
Investigando la ubicación de la Universidad de Notre Dame, confirmamos que se encuentra en el condado de St. Joseph, en Indiana, EEUU.
Respuesta: Indiana
0x03 — Resumen de la Investigación
| Fase | Hallazgo | IOC / Artefacto |
|---|---|---|
| Credenciales expuestas | API Key hardcodeada en código fuente | aJFRaLHjMXvYZgLPwiJkroYLGRkNBW |
| Credenciales expuestas | Contraseña en Base64 en repositorio público | PicassoBaguette99 |
| Cryptojacking | Fork de herramienta de minería Monero | XMRig |
| Huella digital | Perfiles correlacionados vía Sherlock | GitHub · Instagram · Steam |
| Geolocalización | Oficina identificada por imagen | Birmingham, UK |
| Rastreo | Cámara IP localizada por búsqueda inversa | Indiana, USA (Notre Dame) |
0x04 — Lecciones Aprendidas
1. Repositorios públicos como vector de fuga
Las claves API y contraseñas hardcodeadas en repositorios de GitHub son una de las fuentes de fuga de credenciales más frecuentes.
Herramientas como git-secrets o truffleHog deben integrarse en los pipelines de CI/CD para detectar y bloquear estos commits antes de que lleguen al repositorio remoto.
2. Base64 no es cifrado
La codificación Base64 proporciona ofuscación visual pero cero protección real.
Cualquier analista puede revertirla en segundos con herramientas como CyberChef.
Las credenciales deben almacenarse en gestores de secretos dedicados, nunca en código fuente.
3. Correlación de identidades con OSINT
Herramientas como Sherlock permiten mapear la huella digital completa de un sospechoso a partir de un único nombre de usuario.
Este caso sencillo se demuestra cómo un mismo handle enlaza perfiles en GitHub, Instagram, Steam y otras plataformas, ofreciendo una visión integral del sujeto investigado.
4. Cryptojacking como indicador de compromiso
La presencia de herramientas como XMRig en repositorios de un empleado es una señal clara de abuso de recursos corporativos.
La monitorización de uso de CPU/GPU y la restricción de ejecución de binarios no autorizados son contramedidas esenciales.
5. Búsqueda inversa de imágenes para geolocalización
Google Image Search y herramientas similares permiten identificar edificios, ubicaciones y cámaras a partir de una sola fotografía.
Esta técnica es fundamental en investigaciones OSINT para vincular a un sospechoso con ubicaciones físicas concretas.
6. Las redes sociales como fuente de inteligencia
Los perfiles de Instagram del insider revelaron información crítica sobre sus desplazamientos (Singapore) y la ubicación de su familia (Dubai).
Esto subraya la importancia de que las organizaciones conciencien a sus empleados sobre la información que comparten públicamente.
[EOF] "The insider left breadcrumbs everywhere — OSINT just follows the trail"