Personalmente, utilizzo strumenti e tecniche avversarie per testare i miei sistemi, reti e app di destinazione. Per il livello Web, ad esempio, strumenti come Acunetix WVS sono stati storicamente archiviati da criminali online.
Metasploit è un cattivo esempio di questo scenario proposto dall'interrogante (e come accennato in alcuni dei commenti). Un esempio migliore potrebbe essere l'utilizzo della simulazione dell'avversario tramite il Malleable C2 di Cobalt Strike per riutilizzare gli IoC reali e avversari reali come il traffico di rete e gli hash dei file di malware su disco (o anche in memoria).
Le tecniche di ingegneria sociale, o in realtà qualsiasi TTP, possono essere abbinate a eventi realistici. Questo è più dello scopo di un'analisi di squadra rossa, da utilizzare durante un esercizio di cyber, che in un test di penetrazione. I test di penetrazione cercano di comprendere la prospettiva di un insider di fiducia, come lo sviluppatore stesso, non quello di un semplice utente non intenzionale, come ad esempio tramite spear phishing, attacchi waterhole o simili.