Personalmente, utilizo herramientas y técnicas adversas para probar mis sistemas, redes y aplicaciones de destino. Para la capa web, como ejemplo, las herramientas como Acunetix WVS históricamente han sido invocadas por delincuentes en línea.
Metasploit es un mal ejemplo para este escenario propuesto por el interrogador (y como se alude en algunos de los comentarios). Un ejemplo mejor sería utilizar la simulación de adversarios a través del C2 maleable de Cobalt Strike para reutilizar las IoC del adversario real activo, como el tráfico de red y los hashes de archivos de malware en disco (o incluso en memoria).
Las técnicas de ingeniería social, o en realidad cualquier TTP, se pueden combinar estrechamente con eventos realistas. Este es más el propósito de un análisis de formación de equipos rojos, que se utilizará durante un ejercicio cibernético, que en una prueba de penetración. Las pruebas de penetración buscan comprender la perspectiva de un experto de confianza, como el desarrollador mismo, no la de un experto no intencional simple, como el phishing de lanza, los ataques de pozo de agua o similar.