El pasado mes cuando las autoridades arrestaron a Paunch en Rusia, el presunto creador del kit de explotación Blackhole, investigadores de seguridad y vigilantes de malware clandestino, predijeron que al retirarlo de la plataforma se haría un hueco en el uso de Blackhole obligando a sus clientes a usar otras plataformas. Seis semanas después, parece que Blackhole casi ha desaparecido y el kit de explotación Cool, otra supuesta creación de Paunch, también.

El kit de explotación Cool no es tan bueno como Blackhole, pero es igual de peligroso y se vendía a un precio mucho más alto durante su apogeo. Blackhole es uno de los marcos de explotación que se encuentra a la venta en los mercados clandestinos y ha sido muy popular entre gran variedad de atacantes y grupos de malware en los últimos años. A menudo se utiliza en los escenrios drive-by download para comprometer equipos de los usuarios mediante el uso de exploits del navegador o exploits para plug-ins, como Java o Flash. Los clientes de Blackhole podían comprar una licencia anual de alrededor de 1,500 dólares o incluso sólo rentarlo por un día por 50 dólares. Cool podría rentar como máximo 10,000 dólares por mes.

Un investigador de malware que utiliza el nombre Kafeine y sigue de cerca la venta y el uso de marcos de explotación, analizó los principales grupos que han estado utilizando Cool y Blackhole en los últimos años y encontró que Cool virtualmente ha desaparecido del escenario de los marcos de explotación. El único grupo que aún usa Cool es REVETON. Kafeine declaró que era el primer cliente importante para el marco de explotación y ha sido usado por más de un año para impulsar su ransomware. REVETON ha tomado muchas formas a lo largo del tiempo, apareciendo como falsas advertencias del FBI o del Departamento de Justicia, sobre supuestos contenidos ilegales en la máquina del usuario.

Aunque los cibercriminales REVETON siguen utilizando Cool, no es la versión principal del kit.  Al igual que muchos de los otros marcos de explotación, existen las llamadas versiones privadas de Cool, disponibles para la venta a los clientes de primera calidad a precios más altos. A menudo se incluyen las vulnerabilidades de cero días que no están disponibles para otros usuarios y características adicionales. Kafeine mencionó por correo electrónico que la tripulación REVETON está utilizando su propia versión de Cool actualmente.

"Cool ha desaparecido con Paunch. REVETON Team, el usurio principal,  se encuentra ahora en un EK privado que decidimos nombrar Angler EK ", dijo Kafeine.

El marco de explotación Angler  fue el primero en añadir la vulnerabilidad de Microsoft Silverlight CVE-2013 -0074. En cuanto a Blackhole, todavía hay un puñado de grupos de ataque que lo usan, pero Kafeine declaró que ha visto una caída del 98% en el uso de ese marco de explotación desde la detención de Paunch. "Blackhole está casi muerto", dijo.

El grupo principal que está utilizando Blackhole es conocido como "closets" y ha estado creando spam de LinkedIn con enlaces maliciosos a páginas que ofrecen los exploits. La tripulación está utilizando Blackhole para una variedad de propósitos, incluyendo el bot Cutwail, pay-per-click de malware y otras amenazas.