usuario@tty503:~$ whoami

Christian
Márquez

Threat intelligence, ingeniería inversa de malware y seguridad en infraestructuras críticas. Del firmware de microcontroladores al análisis de APTs, opero en todas las capas —del registro del procesador a la topología de una red ofuscada, del PLC que controla una subestación al SIEM que correlaciona eventos en tiempo real— diseñando infraestructura resiliente, desarmando binarios a bajo nivel y documentando cada hallazgo desde Venezuela.

Threat Intelligence Reverse Engineering Malware Analysis PLC Siemens OT Security DevSecOps Ghidra Assembly x86 Evasión de Firmas
Christian Márquez - Threat Intelligence, Ingeniería Inversa y Seguridad OT

Sobre_mí

Mi ruta no ha sido lineal. He pasado del firmware de microcontroladores al análisis de amenazas persistentes avanzadas, de la shellcode artesanal a la automatización de infraestructura completa. Esa amplitud —operar con soltura desde el registro del procesador hasta la topología de una red ofuscada, desde el PLC que controla un actuador físico hasta el SIEM que correlaciona eventos en tiempo real— es lo que define mi enfoque. No me especializo en una capa: entiendo cómo se conectan todas, y eso me permite trazar vectores de ataque que otros pasan por alto. En un contexto donde la infraestructura crítica de Venezuela se ha convertido en terreno de disputa cibernética, comprender la intersección entre operational technology, redes de telecomunicaciones y threat intelligence no es un lujo: es una necesidad.

Mi trayectoria es completamente autodidacta, forjada desde 2012 a base de curiosidad técnica y práctica constante. Desde la programación de microcontroladores y el desarrollo de firmware hasta el diseño de túneles de red ofuscados, el análisis de malware a bajo nivel en Assembly x86/ARM64 y la ingeniería inversa de protocolos industriales, cada disciplina alimenta a las demás. Este perfil híbrido —que combina threat intelligence, reversing profundo y automatización DevSecOps— es el que demandan los equipos de ciberdefensa que enfrentan adversarios reales, no simulacros.

Actualmente, mi investigación se centra en la inteligencia de amenazas aplicada a fraudes financieros transfronterizos, la ingeniería inversa de malware, la seguridad de entornos industriales OT/PLC y el desarrollo de herramientas propias para automatizar el análisis forense. Mi objetivo es la maestría técnica a través de la práctica deliberada y la documentación precisa de cada hallazgo.

Ver mi ruta completa

Experiencia_Técnica

/ Infraestructura y Seguridad

+

Consultor en Automatización e Infraestructura

tty503 | Ene 2026 - Abr 2026

Qué hice: Autonomicé despliegues con Ansible y Terraform sobre Linux, configurando entornos aislados con Proxmox, QEMU y Docker.

Qué ofrecí: Infraestructura escalable y segura, junto con túneles de tráfico residenciales para facilitar el análisis de plataformas.

Qué aprendí: Orquestación avanzada de máquinas virtuales y validación de sistemas mediante automatización estricta en Python/Bash.

Especialista en Ingeniería Inversa y Seguridad

tty503 | Abr 2024 - Dic 2024

Qué hice: Ejecuté ingeniería inversa sobre binarios mediante análisis estático con Ghidra e IDA, y analicé tráfico de red con mitmproxy.

Qué ofrecí: Extracción de lógica en binarios ofuscados, manipulación de mecanismos anti-tamper y desarrollo de herramientas forenses en Bash para el triage de malware.

Qué aprendí: Interacción a bajo nivel con binarios compilados y metodologías para desmantelar mecanismos de protección en entornos restringidos.

Administrador de Sistemas Linux

tty503 | Ene 2022 - Jun 2022

Qué hice: Administré servidores Debian/Ubuntu (físicos y virtuales), configurando redes y cortafuegos.

Qué ofrecí: Conectividad segura y automatización de mantenimientos/backups para garantizar la continuidad operativa de servicios internos.

Qué aprendí: Diagnóstico resolutivo de incidencias mediante auditoría profunda de logs del sistema.

/ Desarrollo de Software y Firmware

+

Desarrollador Backend y Scripting

tty503 | Mar 2024 - May 2024

Qué hice: Desarrollé APIs REST con FastAPI (Python) integradas con bases SQL (PostgreSQL, MySQL) a través de SQLAlchemy.

Qué ofrecí: Backend robusto y documentado desplegado sobre contenedores Docker, con tareas automatizadas en Bash.

Qué aprendí: Arquitectura ágil de bases de datos y orquestación limpia de microservicios.

Desarrollador de .NET

Kexe | Nov 2023 - Mar 2024

Qué hice: Mantuve y desarrollé un sistema empresarial modular en C# (.NET Framework/Core) colaborando bajo metodología SCRUM.

Qué ofrecí: Implementación íntegra de un módulo de reportes de gastos con filtros dinámicos, integrado con DevExpress.

Qué aprendí: Refactorización crítica de lógica de negocio y controladores sin interrumpir operativas existentes.

Profesional de Apoyo (Hardware/Firmware)

CENDIT | Oct 2022 - Nov 2023

Qué hice: Programé firmware en C para microcontroladores PIC (18 y 24) en entornos de proyectos médicos y educativos.

Qué ofrecí: Implementación estable de protocolos I2C/UART y documentación algorítmica precisa en LaTeX y PlantUML.

Qué aprendí: Rigurosidad en el desarrollo orientado a hardware, electrónica básica y control de versiones institucional.

Desarrollador Web y Scripting

Independiente | Jul 2021 - Dic 2021

Qué hice: Desarrollé scripts en Python/PHP y colaboré en la construcción de proyectos web usando HTML y jQuery.

Qué ofrecí: Automatización temprana de flujos de trabajo e inicialización de entornos LAMP/LEMP en servidores VPS.

Qué aprendí: El ciclo base de despliegue web y los fundamentos de automatización de servidor.

/ Divulgación y Redacción Técnica

+

Blog Contributor

ReldSec | Jun 2017 - Nov 2019

Qué hice: Escribí artículos técnicos centrados en ciberseguridad y programación, apoyando con scripts internos (Python/PHP).

Qué ofrecí: Contenido formativo valioso para la comunidad y herramientas personalizadas para el equipo editorial.

Qué aprendí: Sistematización de la investigación técnica, dinámicas de trabajo colaborativo y control de versiones a nivel básico.

Investigaciones_Temáticas

/ Análisis de Malware y Threat Intel

+
Dic 2025

Campaña NetSupport RAT: "Caja de Belleza Lancôme"

Deconstrucción de una campaña de infección activa dirigida a usuarios en España utilizando señuelos de marcas de belleza reconocidas.

 Nov 2025

Triage Rápido: Desmontando el Dropper Nexilo-CC-Checker

Aislamiento en Proxmox VE, scripting para volcado de memoria (dump.sh) y levantamiento a pseudo-C en Ghidra de un dropper evasivo.

 Nov 2025

Nexilo-CC-Checker: Dropper multi-etapa

Análisis de malware distribuido vía Telegram, uso de API Hashing para evasión y despliegue modular de un Clipper e InfoStealer.

 Nov 2025

Mirai 0/65 en VirusTotal: Evasión de firmas estáticas con ASM

Prueba de concepto de ofuscación (Builder en C + Stub ASM x86) usando aritmética para reducir la detección de malware a cero. Publicación completa en el sitio.

 Oct 2025

Ciclo Completo de Fraude Financiero: Lumma Stealer

Desmantelamiento de campaña BEC desde el robo de credenciales y acceso a VPS hasta la monetización mediante Crypto Scams en Telegram.

 Oct 2025

MagisTV: Evasión, persistencia y posible botnet

Auditoría a la app de streaming pirata. Arquitectura del APK, técnicas de evasión (DGA, HTTP DNS) y riesgos del modelo de negocio oculto.
Notas técnicas exportadas
~12 min de lectura

analystty — Automatización de Triage de Malware NOTAS

Herramienta interna en Python para automatizar el análisis estático de archivos PE, detección de APIs maliciosas, mapeo de TTPs e integración con x64dbg. Stack: Capstone, pefile, malapi.json.

 May 2026 · ~25 min de lectura

Evasión Estática a Bajo Nivel: Destruyendo Firmas de Mirai con Aritmética en ASM ARTÍCULO

Polimorfismo manual en Assembly para tumbar detecciones de 16/64 a 0/65 en VirusTotal. Stub descifrador en NASM con claves dinámicas, propuesta de arquitectura DGA mutante con validación Denuvo-like, 8 diagramas PlantUML y correlación con MITRE ATT&CK (T1027, T1562.001, T1568.002).

 May 2026 · ~45 min de lectura

Threat Hunter Recollection: Una Crónica de Caza Conectando Campañas NOTAS

Cinco investigaciones reales conectadas por un mismo hilo metodológico. Del mapeo OSINT de una red de estafa piramidal global al reversing de un dropper multi-etapa, pasando por la deconstrucción de NetSupport RAT y el análisis de infraestructura BEC.

 May 2026 · ~30 min de lectura

Red de Estafa "Pig Butchering" — Fake Crypto Exchange Multi-Dominio NOTAS

Investigación técnica de una red de estafa tipo Pig Butchering con rotación rápida de dominios, WebSocket con Workerman PHP, API con captcha roto y certificados falsos. Incluye IoCs, diagramas de infraestructura y referencias al FBI, DOJ y Europol.

 Oct 2025–May 2026 · ~60 min de lectura

Operación FakeWealth: Inteligencia de Amenazas sobre cmdxcapital NOTAS

Investigación de threat intelligence sobre una red de fraude financiero con infraestructura en Cloudflare y Google Cloud. Crash de Laravel con appDebug:true en producción, bypass de captcha, migración de wallets Bitcoin y spoofing de Companies House UK.

 Jun 2025 · ~55 min de lectura

Operaciones General JP y SilentWarn: Dos Campañas de Phishing Conectadas NOTAS

Investigación de threat intelligence sobre dos campañas de phishing activas. General JP: redirección multi-capa, Google Cloud Storage, Filemail API y kit PHP con exfiltración a Telegram. SilentWarn: React + EmailJS + SMTPjs, geofencing para Vietnam. IoCs, patrones de infraestructura y correlación con investigaciones previas.

/ Ingeniería Inversa y Low-Level

+
Feb 2026

Reversing iOS y Virtualización Crítica

Destripando binarios para entender la "confianza" en iOS. Orquestación con QEMU, validación por GPU (Metal) y low-level scripting en Swift/Bash.

 Dic 2025

Ghost Commander v2: Disco fantasma en RAM de Linux

Herramienta en C que simula corrupción de memoria usando syscalls oscuras y visualización con mapas de calor hexadecimal en tiempo real.

 Nov 2025

Herramienta TUI en Bash para Análisis Forense

Desarrollo de utilidad en terminal para cálculo de entropía, extracción de metadata y hashing SHA-256 automatizado al vuelo.
Notas técnicas exportadas
~2 horas de lectura

Assembly para Ingeniería Inversa (RE) NOTAS

Referencia de consulta rápida: stack frames, variables globales/locales, clases vs structs, malloc/new, pilas, colas, listas enlazadas, convenciones de llamada (cdecl/stdcall/SystemV/Windows x64) y heurísticas para identificación de funciones.

 Jun–Ago 2024 · ~30 min de lectura

Pentesting a Web API Financiera: Token Reuse, IDOR y Fuga de Datos NOTAS

Auditoría de seguridad ofensiva freelance a una Web API del sector financiero. Ingeniería inversa de APK, bypass de certificate pinning, token reuse con JWT, IDOR y extracción automatizada de datos sensibles.

/ Malware Dev y Técnicas Ofensivas

+
Nov 2025

Mirai 0/65 en VirusTotal: Evasión de firmas estáticas

Prueba de concepto de ofuscación (Builder en C + Stub ASM x86) usando aritmética básica para reducir la detección de malware a cero.
Notas técnicas exportadas
May 2026 · ~25 min de lectura

Evasión Estática a Bajo Nivel: Destruyendo Firmas de Mirai con Aritmética en ASM ARTÍCULO

De 16/64 a 0/65 en VirusTotal sin packers ni crypters. Polimorfismo manual en Assembly, stub descifrador en NASM con fórmula ((A^B)+(C-1))-(D+1), propuesta de arquitectura DGA mutante con validación Denuvo-like, 8 diagramas y correlación MITRE ATT&CK.

 ~120 min de lectura

De la Shellcode Artesanal al C2 Builder NOTAS

Evolución técnica de un dropper de shellcode en C/Assembly (WinExec/ExitProcess) a un framework de malware con panel C2 en C#. Incluye compendio extenso de técnicas: inyección clásica, DLL injection, APC injection, thread hijacking, API hooking, XOR encryption, API hashing, y persistencia.

 ~30 min de lectura

Infraestructura Ofuscada: WireGuard sobre TCP Falso + Proxy Residencial NOTAS

Diseño de túnel privado con udp2raw (faketcp + XOR), enmascaramiento de salida con redsocks + SOCKS5 residencial, DNS blindado con dnscrypt-proxy (DoH) y automatización completa del despliegue en bash.

/ Seguridad OT e Infraestructura Crítica

+
May 2026

El problema no era el exploit. Era que nadie podría probarlo.

Investigación sobre la arquitectura de PLCs Siemens y la ausencia total de registros de eventos en sistemas industriales reales. Análisis de casos como Ucrania, Oldsmar y TRITON, y propuesta de forensic readiness con SIEM industrial.

 Abr 2026

Lotus Wiper y la fragilidad OT en Venezuela

Análisis de infraestructura crítica, exposición de PLC Schneider Modicon Quantum sobre Modbus TCP y vulnerabilidades por falta de segmentación IT/OT.

 Oct 2025

Ingeniería Inversa en PLC Siemens S5/S7

Análisis de bajo nivel de la arquitectura interna de autómatas, máquina virtual MC7, protocolos industriales y vectores de seguridad ofensiva.
Notas técnicas exportadas
~40 min de lectura

PLC Siemens S5/S7: Arquitectura, MC7, Seguridad OT y Hallazgos en Infraestructuras Venezolanas NOTAS

Investigación extendida: fundamentos de STEP5/AWL, transición a STEP7, máquina virtual MC7, ingeniería inversa de bytecodes, hallazgos en Venalum y CorpoElec, y exploración de shellcode para PLCs.

/ Blue Team y Defensa Activa

+
Oct 2025

Arquitectura y despliegue de Laboratorio SOC Automatizado

Implementación defensiva con infraestructura como código (Terraform/Ansible). Despliegue de Wazuh, Grafana y segmentación con OPNsense en Proxmox.

 Oct 2025

Sensores Defensivos: Honeypots y Canarytokens

Técnicas poco convencionales para Blue Teams. Implementación de activos falsos y uso de WebRTC para revelar IPs reales detrás de VPNs.

 Oct 2025

Explotación de SMTP Smuggling

Demostración práctica de cómo las configuraciones inconsistentes entre servidores de correo permiten eludir controles de seguridad perimetrales.
Notas técnicas exportadas
~35 min de lectura

Laboratorio SOC/Honeypot: Arquitectura de Aislamiento y Automatización NOTAS

Documentación completa del diseño, despliegue y operación de un laboratorio Blue Team con Proxmox, OPNsense, T-Pot, Tailscale, Podman rootless, Terraform, Ansible y stack de monitoreo con Wazuh, Zabbix, Prometheus y Grafana.

Artículos_del_Sitio

Documentación técnica en profundidad publicada exclusivamente en tty503.com. Análisis de malware a nivel de bytes, deconstrucción de infraestructuras criminales, automatización de laboratorios y auditorías de seguridad ofensiva.

/ Malware Analysis & Ingeniería Inversa

+
May 2026 · ~25 min de lectura

Evasión Estática a Bajo Nivel: Destruyendo Firmas de Mirai con Aritmética en ASM ARTÍCULO

Cómo pasé una muestra real de Mirai de 16/64 a 0/65 en VirusTotal sin packers ni crypters. Polimorfismo manual en Assembly, stub descifrador en NASM con fórmula aritmética dinámica, y propuesta de arquitectura de entrega mutante con DGA y validación Denuvo-like. 8 diagramas PlantUML, correlación con MITRE ATT&CK (T1027, T1562.001, T1568.002) y paralelismos con MBA.

 ~12 min de lectura

analystty — Automatización de Triage PE con Python, Capstone y pefile ARTÍCULO

Herramienta que extrae imports, detecta TTPs, desensambla la sección .text y genera breakpoints para x64dbg de forma automática. Incluye caso real con un Dropper multi-etapa y API Hashing, volcado de memoria con Radare2 e identificación de Clipper e InfoStealer.

 ~120 min de lectura

De winshellcode a BugBuilder: Compendio de Técnicas de Inyección y C2 en Windows ARTÍCULO

Tres años de evolución documentados. Más de 20 técnicas: inyección clásica, APC, thread hijacking, API hooking, cifrado XOR, API hashing y persistencia. Incluye panel C2 estructurado y sistema de compilación automatizada de payloads.

 ~40 min de lectura

Ingeniería Inversa de PLC Siemens MC7: Deficiencia Estructural de Logs en Infraestructuras Críticas ARTÍCULO

Laboratorio de reversing sobre la máquina virtual MC7 y el lenguaje AWL. Correlación de volcado hexadecimal con rizin. La investigación revela la ausencia total de registros de auditoría en sistemas reales, anulando cualquier intento de atribución forense.

 ~2 horas de lectura

Assembly para Ingeniería Inversa: Guía de Referencia Rápida ARTÍCULO

Stack frames, convenciones de llamada (cdecl/stdcall/SystemV/Windows x64), estructuras en memoria, heurísticas de identificación de funciones y patrones de desensamblado para threat analysts.

/ Threat Intelligence & Investigaciones de Fraude

+
~45 min de lectura

Threat Hunter Recollection: Bitácora de 5 Investigaciones Reales de Caza ARTÍCULO

Un año de laboratorio resumido: rastreo OSINT de infraestructuras criminales, análisis de fraude con Lumma Stealer, ingeniería inversa con Ghidra y deconstrucción completa de la Kill Chain de NetSupport RAT (phishing Druni, TDS en Google Cloud, PowerShell ofuscado y DLL Sideloading).

 ~30 min de lectura

Deconstrucción de Red de Pig Butchering: Exchange Falso en Vue3 con WebSocket y Fugas en Backend ARTÍCULO

Análisis forense de un exchange falso con frontend Vue3 y WebSocket en tiempo real alojado en Hong Kong. El backend entrega la clave de validación del captcha en el propio JSON. Rotación de dominios, arquitectura de exfiltración y modelo de estafa documentados.

 ~60 min de lectura

Caso cmdxcapital: Fuga de Datos en Laravel por appDebug Activo y Red de Fraude con Smurfing Bitcoin ARTÍCULO

El modo depuración de Laravel en producción expuso consultas SQL, tokens y rutas del servidor. Diez dominios satélite bajo Cloudflare, suplantación de identidad UK y smurfing hacia wallets Bitcoin Bech32. Incluye diagramas PlantUML, grafos on-chain y script PoC.

 ~15 min de lectura

Operaciones General JP y SilentWarn: Dos Campañas de Phishing Conectadas ARTÍCULO

General JP: kit PHP clásico con exfiltración a Telegram. SilentWarn: SPA en React sobre Cloudflare Pages con bloqueo de DevTools, splash screen y geofencing a Vietnam validado por comentarios en el código. IoCs y código desofuscado incluidos.

/ Infraestructura Defensiva & Ofensiva

+
~30 min de lectura

Bypass de DPI con WireGuard + udp2raw: Túnel TCP Falso simulando HTTPS (Despliegue en 90s) ARTÍCULO

Arquitectura de túnel WireGuard encapsulado en TCP falso mediante udp2raw, combinando iptables con redsocks para enmascarar tráfico a través de proxy residencial. Blindaje DNS sobre HTTPS con dnscrypt-proxy y dnsmasq. Automatización completa en Bash.

 ~35 min de lectura

Laboratorio SOC/Honeypot: Arquitectura de Aislamiento y Automatización Blue Team ARTÍCULO

Diseño y despliegue de laboratorio defensivo con Proxmox, OPNsense, T-Pot, Tailscale, Podman rootless, Terraform, Ansible y stack de monitoreo con Wazuh, Zabbix, Prometheus y Grafana. Infraestructura como código para entornos de detección.

/ AppSec & Pentesting

+
~25 min de lectura

Pentesting a Web API Financiera: IDOR por Validación Incompleta de JWT (OWASP API Top 10) ARTÍCULO

Auditoría freelance a una API financiera con Certificate Pinning, cifrado y ofuscación burlados por una falla de autorización a nivel de objeto. El backend validaba la firma JWT pero no la pertenencia del recurso. Un script con un único token legítimo extrajo datos de todo el sistema. Diagramas de secuencia y correlación con OWASP.

/ Red Team & Técnicas de Evasión

+
May 2026 · ~25 min de lectura

Evasión Estática a Bajo Nivel: Destruyendo Firmas de Mirai con Aritmética en ASM ARTÍCULO

Polimorfismo manual en Assembly x86 para evadir firmas YARA. Stub descifrador en NASM, generador de claves dinámicas en C++, y propuesta de infraestructura DGA mutante con validación Denuvo-like. De 16/64 a 0/65 en VirusTotal. 8 diagramas PlantUML y referencias MITRE ATT&CK.

 ~15 min de lectura

El Arte de la Paciencia: Cómo un Script de 15 Líneas Puede Iniciar una Brecha sin un Solo 0-Day ARTÍCULO

PoC que abusa del mecanismo de caché de sudo (T1548.003). Elevación a escenario de ataque real con ofuscación y evasión, conectado con casos documentados desde Baron Samedit hasta APT28. Incluye reglas de auditd para detección Blue Team.

 ~120 min de lectura

De winshellcode a BugBuilder: Compendio de Técnicas de Inyección, API Hashing y C2 en Windows ARTÍCULO

Compendio extenso de desarrollo de malware ofensivo: shellcode artesanal en C/Assembly, inyección clásica, DLL injection, APC injection, thread hijacking, API hooking, cifrado XOR, API hashing, persistencia en registro y builder con panel C2 en C#.

 ~30 min de lectura

Infraestructura Ofuscada: WireGuard sobre TCP Falso + Proxy Residencial ARTÍCULO

Túnel WireGuard encapsulado en TCP falso mediante udp2raw para simular tráfico HTTPS legítimo. Enmascaramiento de salida TCP con redsocks + SOCKS5 residencial. Blindaje DNS con dnscrypt-proxy. Despliegue automatizado en 90 segundos.