Saltar al contenido
OSINT AI One

Threat Feeds

import { Aside } from ‘@astrojs/starlight/components’;

Que son los threat feeds

Los threat feeds son listas actualizadas de IOCs (IPs, URLs, dominios) conocidos como maliciosos, mantenidas por la comunidad de seguridad. OSINT AI One puede:

  1. Consultar si un IOC especifico aparece en los feeds
  2. Analizar los IOCs de un feed directamente (modo batch)

Feeds disponibles

Feodo Tracker

Mantenido por abuse.ch, lista las IPs de Command & Control de botnets activas (Emotet, QakBot, Dridex, etc.).

Ventana de terminal
# Analiza las 5 IPs C2 mas recientes
osint-agent --feed feodo --limit 5


# En el CLI interactivo
osint> /feeds feodo --limit 10

Actualizacion: cada hora.

URLhaus

Base de datos de URLs activas distribuyendo malware.

Ventana de terminal
osint-agent --feed urlhaus --limit 3

Actualizacion: cada pocas horas.

IPsum

Lista de IPs maliciosas ordenadas por numero de listas de bloqueo en las que aparecen. Cuanto mas alta la posicion, mas confirmada esta su malicia.

Ventana de terminal
osint-agent --feed ipsum --limit 5

C2IntelFeeds

Infraestructura C2 conocida de multiples familias de malware.

Ventana de terminal
osint-agent --feed c2intel --limit 5

Cloudflare Radar

Resumen de tendencias de trafico y amenazas de la red Cloudflare.

Ventana de terminal
osint-agent --feed cloudflare --limit 3

Uso en modo batch

El modo batch combina los feeds con el agente para investigar cada IOC automaticamente:

Ventana de terminal
# Investiga los 5 C2 mas recientes de Feodo, con salida JSON
osint-agent --feed feodo --limit 5 --json


# Guarda resultados en fichero
osint-agent --feed urlhaus --limit 10 --json > resultados.json

Batch desde fichero propio

Si tienes tu propia lista de IOCs:

Ventana de terminal
# iocs.txt — un IOC por linea
# IPs, dominios, URLs mixtos
cat iocs.txt
185.220.101.34
evil-phishing.com
http://malware-host.net/payload.exe


# Investiga todos
osint-agent --batch iocs.txt --limit 20
osint-agent --batch iocs.txt --limit 20 --json

fetch_threat_feed como herramienta

La funcion subyacente es fetch_threat_feed, que el agente puede llamar directamente:

from src.tools.threat_feeds import fetch_threat_feed


# Obtener los primeros 10 IOCs del feed
iocs = await fetch_threat_feed("feodo", limit=10)
# → lista de dicts con ip, malware_family, country, etc.

Rate limiting

Los feeds se descargan completos y se filtran localmente — no hay llamadas individuales por IOC. El rate limiting aplica a las herramientas de analisis que se invocan sobre cada IOC del feed (VirusTotal, AbuseIPDB, etc.).

Ventana de terminal
BATCH_DELAY_SECONDS=2  # Pausa entre IOCs para respetar rate limits

Configuracion del limite de feed

Ventana de terminal
THREAT_FEED_LIMIT=10  # Maximo IOCs por fetch de feed (default: 10)

Puedes sobrepasar este limite con --limit N en la CLI.