Dataset y metodología

Name: TroyanosYVirus Threat Intelligence Dataset
Creator: TroyanosYVirus
License: https://creativecommons.org/licenses/by-nc/4.0/
Keywords: threat intelligence, honeypot, malware, CVE, KEV, phishing, IOC, ciberseguridad

Conjuntos de datos generados por TroyanosYVirus a partir de telemetría propia y feeds públicos enriquecidos.

TroyanosYVirus mantiene un dataset operativo de threat intelligence construido desde el 25 de diciembre de 2025. Los datos provienen mayoritariamente de observación directa: una red propia de honeypots T-Pot desplegada en cuatro continentes (Asia, Canadá, Francia, Polonia) que captura cada conexión, intento de credenciales, comando y muestra de malware lanzada contra los sensores.

A esa telemetría se añaden enriquecimientos públicos verificables: catálogo CVE de NIST National Vulnerability Database, Known Exploited Vulnerabilities de CISA, URLs maliciosas de abuse.ch URLhaus, dominios de phishing del Community Feed de OpenPhish, nodos de salida de Tor Project, contexto Shodan InternetDB y clasificación GreyNoise Community.

Esta página describe los datasets disponibles, el alcance, las decisiones de privacidad y las vías de acceso. No publicamos credenciales completas, binarios descargables ni contenido que pudiera facilitar ataques. El acceso operativo a la API y a los datasets crudos se evalúa caso por caso para fines defensivos, académicos o de investigación.

Datasets

Honeypot threat events

Más de 60 millones de eventos observados directamente por los sensores. Cada evento incluye timestamp, tipo de honeypot involucrado (cowrie, dionaea, conpot, etc.), IP origen, país, ASN y metadatos derivados según la naturaleza de la interacción.

Malicious IPs

Más de 210.000 IPs únicas atacantes con su histórico observado, ASN, país, score de riesgo, tipos de honeypot interactuados y enriquecimiento Tor / GreyNoise / Shodan / ThreatFox / URLhaus.

Malware hashes

Más de 75.000 hashes SHA-256 distintos capturados in situ por los honeypots, con sus IPs origen, primeros y últimos avistamientos. Para los hashes con familia identificada o firma confirmada por MalwareBazaar se publica una página de detalle.

SSH/Telnet credential attempts

Más de 3,4 millones de intentos de credenciales registrados en honeypots SSH/Telnet. Solo se publican rankings agregados (top usernames, top contraseñas más débiles); no se exponen pares user/password completos en el frontend.

Phishing domains

Catálogo de dominios marcados por OpenPhish y, cuando aplica, correlacionados con URLs maliciosas observadas en URLhaus.

Malicious URLs

URLs activas con clasificación de amenaza desde URLhaus y enriquecimiento propio de relación con IPs y dominios observados.

CVE & KEV enrichment

Catálogo completo de CVE desde NIST NVD con scoring CVSS v3.1, marcaje del catálogo Known Exploited Vulnerabilities de CISA y, cuando aplica, vinculación con malware o IPs observadas.

IOC correlation graph

Grafo de relaciones entre los distintos tipos de IOC con dos clases de aristas: observación interna (telemetría propia) y enriquecimiento externo (feeds públicos).

Acceso

El frontend público (este sitio) ofrece consulta libre de los datasets en formato curado y agregado.

Para acceso programático defensivo o de investigación a la API REST puedes contactar con el equipo. La API expone endpoints de búsqueda, detalle y agregación, todos cacheados y sin requerir autenticación para el uso de lectura razonable.

No publicamos descargas masivas de binarios ni dumps completos de credenciales. Las muestras de malware se referencian por hash; la obtención del binario corresponde a fuentes externas autorizadas (MalwareBazaar, VirusTotal).

Alcance temporal

Captura activa desde el 25 de diciembre de 2025 hasta hoy.

Sin baches mayores conocidos en la ingesta más allá de las ventanas de mantenimiento documentadas.

El feed-collector refresca el enriquecimiento externo en ciclos: URLhaus 30 min, KEV 12 h, NVD 2 h, OpenPhish 6 h, Tor 1 h, Shodan 15 min, GreyNoise diario.

Privacidad y ética

Los datos publicados se refieren a actividad detectada contra infraestructura propia de honeypots; no recogemos información de visitantes legítimos del sitio web más allá de lo descrito en la política de privacidad.

Las IPs publicadas en este dataset son IPs origen de actividad maliciosa observada, no IPs de víctimas. Cualquier persona u organización que considere que su IP fue atribuida incorrectamente puede solicitar revisión por contacto.

No publicamos doxxing, no publicamos credenciales personales, no facilitamos exfiltración de datos sensibles ni descargas de malware ejecutable.