Antonio Sanz
@antoniosanzalc.bsky.social
Fighting evil 24x7. Incident Response & Digital Forensic guy, infosec maniac... and a damn good cook. My team is blue #DFIR - antoniosanzalc@infosec.exchange
Reposted by Antonio Sanz
This is wild. From a recent IR engagement led by my teammate Florian Scheiber:
"The investigation showed that the attacker first compromised the Administrator’s personal Gmail account, redacted@gmail.com. Those credentials appeared in a combolist leaked on 2 June 2025.
"The investigation showed that the attacker first compromised the Administrator’s personal Gmail account, redacted@gmail.com. Those credentials appeared in a combolist leaked on 2 June 2025.
November 14, 2025 at 9:49 AM
This is wild. From a recent IR engagement led by my teammate Florian Scheiber:
"The investigation showed that the attacker first compromised the Administrator’s personal Gmail account, redacted@gmail.com. Those credentials appeared in a combolist leaked on 2 June 2025.
"The investigation showed that the attacker first compromised the Administrator’s personal Gmail account, redacted@gmail.com. Those credentials appeared in a combolist leaked on 2 June 2025.
Un honor y un placer volver a participar en las XIX Jornadas STIC del @CCNCERT
. Me tendréis el miércoles 26/nov en la sala 25 hablando de un caso de respuesta ante incidentes de un grupo APT muy muy muy jugoso. Malware, ing soc, nube ... drama !de todo! 😅🔥👩🚒🧑🚒 #STIC2025
. Me tendréis el miércoles 26/nov en la sala 25 hablando de un caso de respuesta ante incidentes de un grupo APT muy muy muy jugoso. Malware, ing soc, nube ... drama !de todo! 😅🔥👩🚒🧑🚒 #STIC2025
October 30, 2025 at 6:57 AM
Un honor y un placer volver a participar en las XIX Jornadas STIC del @CCNCERT
. Me tendréis el miércoles 26/nov en la sala 25 hablando de un caso de respuesta ante incidentes de un grupo APT muy muy muy jugoso. Malware, ing soc, nube ... drama !de todo! 😅🔥👩🚒🧑🚒 #STIC2025
. Me tendréis el miércoles 26/nov en la sala 25 hablando de un caso de respuesta ante incidentes de un grupo APT muy muy muy jugoso. Malware, ing soc, nube ... drama !de todo! 😅🔥👩🚒🧑🚒 #STIC2025
Reposted by Antonio Sanz
Check Settings > Manage Apps in your Google Drive, Gemini was enabled by default for me. I only checked because someone had pointed it on Twitter
October 27, 2025 at 1:13 PM
Check Settings > Manage Apps in your Google Drive, Gemini was enabled by default for me. I only checked because someone had pointed it on Twitter
Este 3 y 4 de noviembre repito el curso de #DFIR en la Universidad de Zaragoza. Batallitas, enfoque muy práctico (uno de los días será un CTF entero donde desgranaremos un incidente) y mucho, mucho sobre cómo abordar y responder a incidentes de ciberseguridad !Vamos! 🧑🚒🧑🚒🧑🚒
October 14, 2025 at 5:35 AM
Este 3 y 4 de noviembre repito el curso de #DFIR en la Universidad de Zaragoza. Batallitas, enfoque muy práctico (uno de los días será un CTF entero donde desgranaremos un incidente) y mucho, mucho sobre cómo abordar y responder a incidentes de ciberseguridad !Vamos! 🧑🚒🧑🚒🧑🚒
Aún queda alguna plaza suelta en la formación de #DFIR que voy a dar en la #rootedconVLC. Si tienes RAM suficiente para meterte un .tar.gz con conocimientos de respuesta ante incidentes ... !vente! La info aquí (que si no te va el DFIR, hay también cosas MUY interesantes): rootedcon.com/formaciones/
Formaciones - RootedCON
Próximas formaciones El mundo de la tecnología y, en particular, el de la ciberseguridad requieren de constante actualización. Una de […]
rootedcon.com
September 15, 2025 at 6:55 AM
Aún queda alguna plaza suelta en la formación de #DFIR que voy a dar en la #rootedconVLC. Si tienes RAM suficiente para meterte un .tar.gz con conocimientos de respuesta ante incidentes ... !vente! La info aquí (que si no te va el DFIR, hay también cosas MUY interesantes): rootedcon.com/formaciones/
Reposted by Antonio Sanz
if you are interested in apt/hacking history, this interview describing how the apt1 report came to be is for you
www.zetter-zeroday.com/how-the-infa...
www.zetter-zeroday.com/how-the-infa...
How the Infamous APT 1 Report Exposing China’s PLA Hackers Came to Be
This is the first in a series of pieces I’ll publish that take an in-depth look at significant events, people and cases in security and surveillance from the past. If there’s something you think would...
www.zetter-zeroday.com
September 11, 2025 at 4:25 PM
if you are interested in apt/hacking history, this interview describing how the apt1 report came to be is for you
www.zetter-zeroday.com/how-the-infa...
www.zetter-zeroday.com/how-the-infa...
Reposted by Antonio Sanz
🌟New report out today!🌟
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Key Takeaways Initial access was via a password spray attack against an exposed RDP server, targeting numerous accounts over a four-hour period. Mimikatz and Nirsoft were used to harvest credential…
thedfirreport.com
June 30, 2025 at 11:17 AM
🌟New report out today!🌟
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Reposted by Antonio Sanz
Ha llegado la hora de ir regalando contenido a la gente que le pueda interesar. Voy a liberar mis presentaciones para gente de la ESO, por si a alguien le sirven de algo :). Subiré una nueva cada viernes al principio y luego, pues iremos viendo. También las haré en video
github.com/jose-r-lopez...
github.com/jose-r-lopez...
Home
Formación en ciberseguridad para jóvenes de José Manuel Redondo López - jose-r-lopez/Formacion_-Seguridad_Joven
github.com
June 27, 2025 at 3:50 PM
Ha llegado la hora de ir regalando contenido a la gente que le pueda interesar. Voy a liberar mis presentaciones para gente de la ESO, por si a alguien le sirven de algo :). Subiré una nueva cada viernes al principio y luego, pues iremos viendo. También las haré en video
github.com/jose-r-lopez...
github.com/jose-r-lopez...
Reposted by Antonio Sanz
DFIR Labs Subscriptions are live 🎉
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
June 23, 2025 at 5:32 PM
DFIR Labs Subscriptions are live 🎉
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
Reposted by Antonio Sanz
IR isn’t about mastering tools. It’s about building structured investigation habits:
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
June 19, 2025 at 6:36 PM
IR isn’t about mastering tools. It’s about building structured investigation habits:
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
Muchas gracias a la ##c1b3rwall por otro año en el que todo ha ido como la seda. Como es habitual, aquí tenéis las slides de mi presentación sobre cómo mejorar en la gestión de incidentes de ciberseguridad #DFIR: bit.ly/c1b3rwall_incidentes
c1b3rwall2025: Errores frecuentes en incidentes de ciberseguridad
bit.ly
June 4, 2025 at 6:46 AM
Muchas gracias a la ##c1b3rwall por otro año en el que todo ha ido como la seda. Como es habitual, aquí tenéis las slides de mi presentación sobre cómo mejorar en la gestión de incidentes de ciberseguridad #DFIR: bit.ly/c1b3rwall_incidentes
Reposted by Antonio Sanz
1/ In one of our recent incident response cases, we found a cleverly hidden backdoor that the attacker had installed on various computers and servers in the network. Disguised as a Microsoft Edge service, a Mesh agent was running under the path:
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
May 14, 2025 at 10:37 AM
1/ In one of our recent incident response cases, we found a cleverly hidden backdoor that the attacker had installed on various computers and servers in the network. Disguised as a Microsoft Edge service, a Mesh agent was running under the path:
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
Encantado con la gente de hackademics-forum.com por un viernes la mar de guapo hablando de #ransomware. La gente majísima, Córdoba preciosa, !un lujazo! Y las slides, aquí: bit.ly/ransom2025 (ojo que van con extras como os dije) 😉😎👩🚒
Hackademics Forum 2025
Hackademics Forum es un espacio de encuentro dedicado a la ciberseguridad que consistirá en una mañana de charlas y una mesa redonda.
hackademics-forum.com
April 28, 2025 at 6:18 AM
Encantado con la gente de hackademics-forum.com por un viernes la mar de guapo hablando de #ransomware. La gente majísima, Córdoba preciosa, !un lujazo! Y las slides, aquí: bit.ly/ransom2025 (ojo que van con extras como os dije) 😉😎👩🚒
Este viernes 25 estaré en Córdoba en el Hackademics Forum 2025 hablando de lo que hemos visto en #DFIR de incidentes de #ransomware hackademics-forum.com Como digo siempre, de lo que se aprende mejor es de los errores de los demás, así que... !vente! 😉🔥👨🚒
Hackademics Forum 2025
Hackademics Forum es un espacio de encuentro dedicado a la ciberseguridad que consistirá en una mañana de charlas y una mesa redonda.
hackademics-forum.com
April 22, 2025 at 6:09 AM
Este viernes 25 estaré en Córdoba en el Hackademics Forum 2025 hablando de lo que hemos visto en #DFIR de incidentes de #ransomware hackademics-forum.com Como digo siempre, de lo que se aprende mejor es de los errores de los demás, así que... !vente! 😉🔥👨🚒
Segunda entrada de la resolución del CTF #DFIR Baklava : www.securityartwork.es/2025/04/08/s...
Baklava CTF Writeup – Incident Report Style (II) - Security Art Work
Contenido 4.2. WS02 – 192.168.20.42 Se ejecuta la herramienta Hayabusa sobre los logs, encontrando las siguientes alertas: ──────────────────────────────────────╮ │ Top critical alerts: ...
www.securityartwork.es
April 9, 2025 at 8:20 PM
Segunda entrada de la resolución del CTF #DFIR Baklava : www.securityartwork.es/2025/04/08/s...
Hacía tiempo que no publicaba nada en el blog de @s2grupo
, y ya tocaba: securityartwork.es/2025/04/07/b... Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐
, y ya tocaba: securityartwork.es/2025/04/07/b... Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐
Baklava CTF Writeup – Incident Report Style (I) - Security Art Work
Contenido Informe de Incidente BAKLAVA Parte 1 1. ¡WARNING! ¡LÉEME PRIMERO! Este documento que estás leyendo es un informe “real” de un incidente ficticio, basado en el CTF DFIR que los compañeros And...
securityartwork.es
April 8, 2025 at 1:45 PM
Hacía tiempo que no publicaba nada en el blog de @s2grupo
, y ya tocaba: securityartwork.es/2025/04/07/b... Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐
, y ya tocaba: securityartwork.es/2025/04/07/b... Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐
Reposted by Antonio Sanz
Autopsy is finally back! 🐕🦺🕵🏼♂️ #DFIR
New Autopsy release is out! 🎉
It's been a minute, but it's out. Notable features are BitLocker support and it can run side-by-side with Cyber Triage. Plus, a bunch of library updates.
Now Cyber Triage and Autopsy can be used on the same case at the same time!
www.autopsy.com/autopsy-4-22...
It's been a minute, but it's out. Notable features are BitLocker support and it can run side-by-side with Cyber Triage. Plus, a bunch of library updates.
Now Cyber Triage and Autopsy can be used on the same case at the same time!
www.autopsy.com/autopsy-4-22...
Autopsy - Autopsy 4.22.0: BitLocker Support, Cyber Triage Sidecar, Library Updates
Autopsy 4.22.0 includes BitLocker support, ability to run alongside Cyber Triage, and updates to lower-level libraries.
www.autopsy.com
March 11, 2025 at 9:13 PM
Autopsy is finally back! 🐕🦺🕵🏼♂️ #DFIR
Mis slides de la charla de la #RootedCON2025 "12 años luchando contra grupos #APT: Qué cojones hemos aprendido", están disponibles aquí: bit.ly/joputasAPT (y sí, con los adoquines del Pilar se bastiona de lujo, altamente recomendados 😂🥳🧐)
March 10, 2025 at 7:08 AM
Mis slides de la charla de la #RootedCON2025 "12 años luchando contra grupos #APT: Qué cojones hemos aprendido", están disponibles aquí: bit.ly/joputasAPT (y sí, con los adoquines del Pilar se bastiona de lujo, altamente recomendados 😂🥳🧐)
Ya soy persona después de una nueva edición de la #rootedcon2025, intensa como pocas. Como siempre, una locura de charlas, gente, amigos y cosas que aprender. Volquetes de gracias a la Organización de la @rootedcon
por hacer que todo fuera como la seda (!y sin bajas!) 🥳👏🤘💪
por hacer que todo fuera como la seda (!y sin bajas!) 🥳👏🤘💪
March 10, 2025 at 7:04 AM
Ya soy persona después de una nueva edición de la #rootedcon2025, intensa como pocas. Como siempre, una locura de charlas, gente, amigos y cosas que aprender. Volquetes de gracias a la Organización de la @rootedcon
por hacer que todo fuera como la seda (!y sin bajas!) 🥳👏🤘💪
por hacer que todo fuera como la seda (!y sin bajas!) 🥳👏🤘💪
Ayer me alegraron el mes: a dos de mis compañeros del equipo de #DFIR de @s2grupo (@nomed__1 y @alejandrochiri_
) !!! les han aceptado su charla en la #RootedCON2025 !!! -> Wiiiiiiiiiiiiiiiiiiiiiiiiiiii 🥳🥳🥳🥳🥳🥳🥳
) !!! les han aceptado su charla en la #RootedCON2025 !!! -> Wiiiiiiiiiiiiiiiiiiiiiiiiiiii 🥳🥳🥳🥳🥳🥳🥳
February 7, 2025 at 7:28 AM
Ayer me alegraron el mes: a dos de mis compañeros del equipo de #DFIR de @s2grupo (@nomed__1 y @alejandrochiri_
) !!! les han aceptado su charla en la #RootedCON2025 !!! -> Wiiiiiiiiiiiiiiiiiiiiiiiiiiii 🥳🥳🥳🥳🥳🥳🥳
) !!! les han aceptado su charla en la #RootedCON2025 !!! -> Wiiiiiiiiiiiiiiiiiiiiiiiiiiii 🥳🥳🥳🥳🥳🥳🥳
Muchos ya sabéis que @unizar es mi segunda casa😊. Este 17 de febrero de 17 a 18h en la @einaunizar.bsky.social daré una charla sobre cómo es trabajar en #ciberseguridad dentro de las NeoCOM24/25 organizadas por la @AATUZ. Si te pica la curiosidad (buena señal), !pásate y pregunta! 🤘💪👍
February 5, 2025 at 7:41 AM
Muchos ya sabéis que @unizar es mi segunda casa😊. Este 17 de febrero de 17 a 18h en la @einaunizar.bsky.social daré una charla sobre cómo es trabajar en #ciberseguridad dentro de las NeoCOM24/25 organizadas por la @AATUZ. Si te pica la curiosidad (buena señal), !pásate y pregunta! 🤘💪👍
Un verdadero placer volver a estar en la #RootedCON2025 este año, además contando algo que conozco muy bien (hostias mediante): Cómo luchar contra APT (Advanced Persistent Threats). Muchas batallitas, algún que otro salseo, !y como siempre mucha mala baba! ¿A qué esperáis? 😎🥳🤘
February 3, 2025 at 7:05 AM
Un verdadero placer volver a estar en la #RootedCON2025 este año, además contando algo que conozco muy bien (hostias mediante): Cómo luchar contra APT (Advanced Persistent Threats). Muchas batallitas, algún que otro salseo, !y como siempre mucha mala baba! ¿A qué esperáis? 😎🥳🤘