Amenazas persistentes avanzadas (APT)

Amenazas a nivel mundial: China

APT41

Posible atribución: China

Sectores objetivo: APT41 se ha orientado directamente a empresas de al menos 14 países desde el 2012. Las campañas de espionaje del grupo se han centrado en el sector sanitario, de las telecomunicaciones y de la alta tecnología, e incluyen históricamente el robo de propiedad intelectual. Sus intrusiones de ciberdelincuencia son más evidentes entre los métodos de segmentación del sector de los videojuegos, incluida la manipulación de monedas virtuales y los intentos de despliegue de ransomware. Las operaciones de APT41 contra empresas de educación superior, servicios de viajes y agencias de noticias y medios ofrecen indicios de que el grupo también hace un seguimiento de personas y realiza operaciones de vigilancia.

Descripción general: APT41 es un prolífico grupo de ciberamenazas que lleva a cabo actividades de espionaje patrocinadas por los estados chinos, además de actividades con motivación financiera potencialmente fuera del control estatal.

Malware relacionado: se ha detectado APT41 usando al menos 46 familias de código y herramientas diferentes.

Vectores de ataque: APT41 se basa a menudo en correos de phishing de objetivo definido con archivos adjuntos, como archivos HTML compilados (.chm) para, inicialmente, comprometer a las víctimas. Una vez en la organización víctima, APT41 puede utilizar TTPs más sofisticados y desplegar malware adicional. Por ejemplo, en una campaña que estuvo activa casi un año, APT41 comprometió cientos de sistemas y utilizó cerca de 150 piezas únicas de malware, como puertas traseras, robos de credenciales, keyloggers y rootkits. APT41 también ha desplegado rootkits y bootkits de registros de arranque principal (MBR) de forma limitada para ocultar su malware y mantener la persistencia en los sistemas de las víctimas.

Otros recursos

APT40

Posible atribución: China

Sectores objetivo: APT40 es un grupo de ciberespionaje chino que suele centrarse en países de importancia estratégica para la Iniciativa de la Franja y la Ruta. Aunque el grupo está orientado a organizaciones internacionales (especialmente las que se centran en la ingeniería y la defensa), históricamente también ha dirigido campañas contra entidades regionales en áreas como el Sudeste Asiático. Desde enero de 2013 como mínimo, el grupo ha llevado a cabo campañas en varios verticales, incluidos objetivos marítimos, defensa, aviación, productos químicos, investigación y educación, y organizaciones gubernamentales y tecnológicas.

Descripción general: Mandiant Intelligence cree que las operaciones de APT40 son una versión cibernética de los esfuerzos de China para modernizar sus capacidades navales; esto también se manifiesta en la orientación a proyectos de investigación a gran escala en universidades y en la obtención de diseños de equipos y vehículos marinos. Las operaciones del grupo tienden a centrarse en los proyectos patrocinados por el gobierno y requieren grandes cantidades de información específica de dichos proyectos, como propuestas, reuniones, datos financieros, información de envíos, planes y planos, y datos en bruto.

Malware relacionado: se ha detectado que APT40 ha usado al menos 51 familias de códigos diferentes. De ellas, 37 no son públicas. Al menos siete de estas herramientas no públicas (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU y WIDETONE) se comparten con otros operadores que podrían tener vínculos con China.

Vectores de ataque: APT40 suele hacerse pasar por una persona importante que probablemente sea de interés para un objetivo y así enviar correos electrónicos de phishing de objetivo definido. Esto puede incluir fingir ser un periodista, un responsable de una publicación comercial o un miembro de una organización militar o no gubernamental (ONG) pertinente. En algunos casos, el grupo ha aprovechado las direcciones de correo vulneradas anteriormente para enviar correos de phishing de objetivo definido.

Otros recursos

APT31

Posible atribución: China

Sectores objetivo: varios, entre los que se incluyen organismos públicos, organizaciones financieras internacionales y organizaciones aeroespaciales y de defensa, así como alta tecnología, construcción e ingeniería, telecomunicaciones, medios de comunicación y seguros.

Descripción general: APT31 es un agente de ciberespionaje vinculado a China centrado en obtener información que pueda proporcionar ventajas políticas, económicas y militares al gobierno chino y a las empresas estatales.

Malware relacionado: SOGU, LUCKYBIRD, SLOWGYRO y DUCKFAT

Vectores de ataque: APT31 ha aprovechado las vulnerabilidades de aplicaciones como Java y Adobe Flash para poner en peligro el entorno de la víctima.

APT30

Posible atribución: China

Sectores objetivo: miembros de la Asociación de Naciones del Sudeste Asiático(ASEAN)

Descripción general: APT30 no solo destaca por la actividad continuada durante un largo periodo de tiempo, sino también por la modificación y la adaptación del código fuente para mantener las mismas herramientas, tácticas e infraestructura desde al menos 2005. Las pruebas demuestran que el grupo prioriza los objetivos, que probablemente trabaja en turnos en un entorno colaborativo y crea malware a partir de un plan de desarrollo coherente. El grupo tiene la capacidad de infectar redes con air gap desde 2005.

Malware relacionado: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vectores de ataque: APT30 utiliza un paquete de herramientas que incluye herramientas de descarga, puertas traseras, un controlador central y varios componentes diseñados para infectar unidades extraíbles y redes con air gap cruzado para robar datos. APT30 registra con frecuencia sus propios dominios DNS para actividades de CnC de malware.

APT27

Posible atribución: China

Sectores objetivo: APT27 ha atacado a varias empresas con sedes en todo el mundo, como Europa, Oriente Medio y Norteamérica y Sudamérica. Estas organizaciones pertenecen a diferentes sectores, como servicios empresariales, alta tecnología, administración pública y energía; Sin embargo, un número importante son los de la industria aeroespacial, del transporte o de los viajes.

Descripción general: APT27 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vectores de ataque: APT27 a menudo utiliza el phishing de objetivo definido como método de riesgo inicial. Los atacantes de APT27 no suelen utilizar exploits originales de vulnerabilidad de día cero, pero pueden aprovecharlos cuando se publican. En al menos un caso, los agentes de APT27 utilizaron una cuenta vulnerada en la organización víctima de una de ellas para enviar un correo de phishing de objetivo definido a otras víctimas de sectores similares. Además, APT27 puede poner en riesgo las aplicaciones web vulnerables para afianzar la presencia inicial.

APT26

Posible atribución: China

Sectores objetivo: aeroespacial, defensa y energía, entre otros

Descripción general: APT26 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: SOGU, HTRAN, POSTSize, TWOCHAINS, BEACON

Vectores de ataque: el grupo suele utilizar riesgos estratégicos en la web para acceder a redes y puertas traseras personalizadas cuando se encuentran en el entorno de la víctima.

APT25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Posible atribución: China

Sectores objetivo: la base industrial de defensa, los medios de comunicación, los servicios financieros y el transporte de EE. UU. y Europa.

Descripción general: APT25 participa en ciberoperaciones cuyo objetivo es el robo de datos.

Malware relacionado: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vectores de ataque: APT25 siempre ha utilizado el phishing de objetivo definido en sus operaciones, incluidos los mensajes que contienen archivos adjuntos maliciosos e hiperenlaces maliciosos. Los agentes de riesgo de APT25 no suelen usar exploits de vulnerabilidad de día cero, pero pueden aprovecharlos una vez que se publican.

APT24

Alias: PittyTiger

Posible atribución: China

Sectores objetivo: APT24 se ha orientado a una amplia variedad de sectores, entre los que se incluyen organizaciones gubernamentales, sanitario, de construcción e ingeniería, de minería, de organizaciones sin ánimo de lucro y de telecomunicaciones.

Descripción general: se sabe que este grupo tiene organizaciones objetivo con sede en países como Estados Unidos y Taiwán. APT24 siempre ha utilizado la utilidad de archivo RAR para cifrar y comprimir los datos robados antes de transferirlos de la red. El robo de datos externo de este grupo se centra principalmente en documentos de importancia política, lo que sugiere que su intención es monitorizar la posición de varios estados-nación con respecto a las cuestiones aplicables a la disputa territorial o de soberanía en curso de China.

Malware relacionado: PITTYTIGER, ENFAL, TAIDOOR

Vectores de ataque: APT24 ha utilizado correos de phishing que utilizan temas militares, de energía renovable o de estrategias empresariales como señuelo. Además, APT24 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

APT23

Posible atribución: China

Sectores objetivo: medios de comunicación y administración pública de Estados Unidos y Filipinas

Descripción general: APT23 ha robado información con significado político y militar, que no tiene que ver con la propiedad intelectual. Esto sugiere que APT23 podría llevar a cabo el robo de datos a modo de apoyo para operaciones de espionaje más tradicionales.

Malware relacionado: NONGMIN

Vectores de ataque: APT23 ha utilizado mensajes de phishing de objetivo definido para poner en peligro las redes de las víctimas, incluidos los señuelos de phishing relacionados con la educación. Los agentes de APT23 no suelen utilizar exploits de vulnerabilidad de día cero, pero este grupo los ha aprovechado una vez que se han hecho públicos.

APT22

Alias: Barista

Posible atribución: China

Sectores objetivo: un amplio conjunto de entidades políticas, militares y económicas de Asia Oriental, Europa y Estados Unidos.

Resumen: creemos que APT22 tiene un vínculo con China y lleva funcionando desde principios del 2014, como mínimo, realizando intrusiones y actividades de ataque contra entidades de los sectores público y privado, incluidos los disidentes.

Malware relacionado: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Vectores de ataque: los agentes de riesgo de APT22 han utilizado riesgos estratégicos en la web para explotar de forma pasiva a los objetivos de interés. Los agentes de APT22 también han identificado servidores web vulnerables en las redes de las víctimas y han subido webshells para acceder a la red de la víctima.

APT21

Alias: Zhenbao

Posible atribución: China

Sectores objetivo: gobierno

Resumen: APT21 aprovecha los adjuntos estratégicos en ruso tematizados con cuestiones de seguridad nacional en los documentos señuelo. Históricamente, el contenido de ingeniería social indica la existencia de una operación de ciberespionaje que intenta obtener acceso no autorizado a información privilegiada sobre la seguridad estatal en Rusia. Un análisis de las técnicas de APT21 sugiere que otra de sus áreas de interés son los grupos disidentes que buscan una mayor autonomía o independencia de China, como los del Tíbet o de Xinjiang.

Malware relacionado: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Vectores de ataque: APT21 utiliza mensajes de correo electrónico de phishing de objetivo definido con archivos adjuntos maliciosos, enlaces a archivos maliciosos o páginas web. También han utilizado ataques estratégicos en la web para atacar a posibles víctimas. APT21 suele utilizar dos puertas traseras conocidas como TRAVELNET y TEMPFUN. No hay duda de que APT21 suele usar principalmente puertas traseras personalizadas y rara vez utilizan herramientas disponibles públicamente.

APT20

Alias: Twivy

Posible atribución: China

Sectores objetivo: construcción e ingeniería, sanidad, organizaciones sin ánimo de lucro, base industrial de defensa y empresas de investigación y producción química.

Descripción general: APT20 participa en ciberoperaciones cuyo objetivo es el robo de datos. APT20 roba la propiedad intelectual, pero también parece que tiene interés en robar datos o supervisar las actividades de personas con intereses políticos concretos. Según los datos disponibles, evaluamos que se trata de un grupo de autónomos con patrocinio de un estado nacional ubicado en China.

Malware relacionado: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Vectores de ataque: el uso de APT20 de ataques estratégicos en la web proporciona información sobre un segundo conjunto de posibles objetivos. Muchos de los SWC de APT20 se han alojado en sitios web (incluidos sitios web en chino) que tratan temas como la democracia, los derechos humanos, la libertad de prensa, las minorías étnicas en China, entre otros.

APT19

También conocido como: Codoso Team

Posible atribución: China

Sectores objetivo: derecho e inversión

Descripción general: un grupo probablemente compuesto por autónomos, con cierto grado de patrocinio por parte del Gobierno de China.

Malware relacionado: BEACON, COBALTSTRIKE

Vectores de ataque: en el 2017, APT19 utilizó tres técnicas diferentes para intentar atacar a los objetivos. A principios de mayo, los cebos de phishing utilizaron archivos adjuntos de RTF que aprovecharon la vulnerabilidad de Microsoft Windows descrita en la CVE 2017-0199. A finales de mayo, APT19 empezó a usar documentos de Microsoft Excel (XLSM) habilitados para macros. En las versiones más recientes, APT19 añadió una elusión de la lista de entidades seguras a los documentos XLSM. Al menos uno de los cebos de phishing que se han detectado ha enviado una carga útil de Cobalt Strike.

APT18

También conocido como: Wekby

Posible atribución: China

Sectores objetivo: aeroespacial y defensa, construcción e ingeniería, educación, salud y biotecnología, alta tecnología, telecomunicaciones y transporte

Descripción general: se ha publicado muy poco sobre este grupo.

Malware relacionado: Gh0st RAT

Vectores de ataque: se suelen desarrollar o adaptar exploits de vulnerabilidad de día cero para las operaciones, que probablemente se habían planificado con antelación. Utilizaron datos de las filtraciones de Hacking Team, que demostraron cómo el grupo puede cambiar los recursos (por ejemplo, seleccionar objetivos, preparar la infraestructura, elaborar mensajes y actualizar las herramientas) para aprovechar oportunidades inesperadas, como los exploits recién expuestos.

Recursos adicionales: blog – Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak

APT17

También conocido como: Tailgator Team, Deputy Dog

Posible atribución: China

Sectores objetivo: organismos gubernamentales de EE. UU., bufetes de abogados y empresas de tecnología de la información internacionales

Descripción general: realiza intrusiones en la red contra las organizaciones objetivo.

Malware relacionado: BLACKCOFFEE

Vectores de ataque: el grupo de amenazas aprovechó la capacidad de crear perfiles y publicar en foros para insertar CnC codificado que podía usarse con una variante del malware que utilizaba. Esta técnica puede dificultar que los profesionales de la seguridad de redes determinen la verdadera ubicación de la CnC y permitir que su infraestructura permanezca activa durante más tiempo.

APT16

Posible atribución: China

Sectores objetivo: organizaciones japonesas y taiwanesas de los sectores de alta tecnología, servicios públicos, medios de comunicación y servicios financieros

Descripción general: grupo con sede en China preocupado por asuntos políticos y periodísticos en Taiwán.

Malware relacionado: IRONHALO, ELMER

Vectores de ataque: correos electrónicos de phishing de objetivo definido enviados a medios de comunicación y direcciones de correo web taiwaneses. Los documentos señuelo contenían instrucciones para el registro y la posterior publicación de los productos en un sitio web de subastas de Taiwán.

APT15

Posible atribución: China

Sectores objetivo: objetivos mundiales de los sectores comercial, económico y financiero, energético y militar en apoyo de los intereses del gobierno chino.

Descripción general: el programa APT15 está orientado a organizaciones con sede en varios países, entre los que se incluyen Estados Unidos, Sudáfrica y algunos países europeos. Los operadores de APT15 comparten recursos, como puertas traseras e infraestructuras, con otros APTs chinos.

Malware relacionado: ENFAL, BALDEAGLE, NOISEMAKER y MIRAGE

Vectores de ataque: APT15 suele utilizar correos electrónicos de phishing de objetivo definido bien desarrollados como método de ataque inicial contra objetivos internacionales en varios sectores de interés para el gobierno chino. Considerablemente, APT15 utiliza puertas traseras e infraestructuras que no son exclusivas del grupo, lo que dificulta la atribución.

APT14

Posible atribución: China

Sectores objetivo: gobierno, telecomunicaciones y construcción e ingeniería

Descripción general: APT14 participa en ciberoperaciones cuyo objetivo es el robo de datos, con especial énfasis en el equipamiento, las operaciones y las políticas militares y marítimos. Creemos que los datos robados, especialmente las especificaciones de los equipos de comunicación por satélite y cifrado, podrían utilizarse para mejorar operaciones militares, como interceptar señales o interferir de cualquier otra forma en las redes de comunicaciones por satélite militares.

Malware relacionado: Gh0st, POISONIVY, CLUBSEAT, GROOVY

Vectores de ataque: los atacantes de APT14 no suelen utilizar exploits de vulnerabilidad de día cero, pero pueden aprovecharlos una vez que se han hecho públicos. Es posible que utilicen una herramienta de correo SMTP personalizada para enviar sus mensajes de phishing de objetivo definido. Los mensajes de phishing de APT14 se suelen crear para que parezca que proceden de organizaciones de confianza.

APT12

También conocido como: Calc Team

Posible atribución: China

Sectores objetivo: periodistas, gobierno, base industrial de defensa

Descripción general: se cree que APT12 es un grupo de ciberespionaje que puede estar relacionado con el Ejército Popular de Liberación chino. Los objetivos de APT12 son coherentes con los objetivos generales de la República Popular de China. Las intrusiones y las campañas que lleva a cabo este grupo se ajustan a los objetivos de la RPC y al interés propio en Taiwán.

Malware relacionado: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vectores de ataque: Mandiant ha observado que APT12 proporciona estos documentos de explotación a través de correos de phishing desde cuentas válidas pero vulneradas. Basándonos en la actividad anterior de APT12, se espera que el grupo de amenazas siga utilizando el phishing como método de distribución de malware.

Otros recursos

APT10

También conocido como: Menupass Team

Posible atribución: China

Sectores objetivo: empresas aeroespaciales, de construcción e ingeniería, y de telecomunicaciones, así como gobiernos de Estados Unidos, Europa y Japón

Descripción general: APT10 es un grupo de ciberespionaje chino que Mandiant lleva monitorizando desde el 2009. Desde siempre, se han centrado en empresas de construcción e ingeniería, empresas aeroespaciales y de telecomunicaciones, y en gobiernos de Estados Unidos, Europa y Japón. Creemos que el ataque a estos sectores está en línea con los objetivos de seguridad nacional de China, como la adquisición de información militar y de inteligencia, y el robo de datos empresariales confidenciales para respaldar a empresas chinas.

Malware relacionado: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vectores de ataque: esta actividad reciente de APT10 incluye tanto el phishing de objetivo definido tradicional como el acceso a las redes de la víctima a través de proveedores de servicios gestionados. (Para obtener más información sobre la infección a través de proveedores de servicios, consulta M-Trends 2016.) Los ataques de phishing de objetivo definido de APT10 son relativamente sencillos, ya que utilizan archivos .lnk dentro de archivos, archivos con extensiones dobles (por ejemplo, [Oculto]_Group_Meeting_Document_20170222_doc_.exe) y, en algunos casos, simplemente documentos señuelo con nombres idénticos y ejecutores maliciosos dentro del mismo archivo. Además de los ataques de phishing de objetivo definido, Mandiant Threat Intelligence ha observado que APT10 accede a las víctimas a través de proveedores de servicios globales.

Otros recursos

Otros recursos

APT9

Posible atribución: según los datos disponibles, evaluamos que se trata de un grupo de autónomos que está patrocinado por algún estado nacional, posiblemente China.

Sectores objetivo: organizaciones con sede en varios países y sectores como la sanidad y los productos farmacéuticos, la construcción y la ingeniería, y la industria aeroespacial y la defensa.

Descripción general: APT9 se dedica a las ciberoperaciones cuyo objetivo es el robo de datos, y suele centrarse en los datos y los proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vectores de ataque: APT9 ha sido siempre muy activo en el sector farmacéutico y de la biotecnología. Hemos observado que este agente usa phishing de objetivo definido, cuentas válidas y servicios remotos para el acceso inicial. En al menos una ocasión, Mandiant observó APT9 en dos empresas del sector de la biotecnología y sospechaba que los actores de APT9 podrían haber obtenido acceso inicial a una de las empresas mediante el establecimiento de una relación de confianza entre las dos empresas. APT9 utiliza una amplia variedad de puertas traseras, incluidas las que están disponibles públicamente, así como las que se cree que son personalizadas, pero que utilizan varios grupos de APT.

APT8

Posible atribución: China

Sectores objetivo: una amplia variedad de sectores, entre los que se incluyen los de medios de comunicación y entretenimiento, la construcción y la ingeniería, y el sector aeroespacial y de defensa.

Descripción general: APT8 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y los proyectos que hacen que una empresa sea competitiva en su campo. Consideramos que se trata de un grupo de autónomos ubicado en China que cuenta con el patrocinio de un estado nacional. APT8 está orientado a organizaciones con sede en varios países, como Alemania, Estados Unidos, India, Japón y Reino Unido.

Malware relacionado: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vectores de ataque: los agentes de APT8 suelen utilizar mensajes de correo electrónico de phishing de objetivo definido con archivos adjuntos o enlaces maliciosos, o aprovechan los servidores web vulnerables para poner en riesgo a las empresas objetivo. Además, en varias intrusiones, los agentes de la APT8 enviaron enlaces maliciosos a las posibles víctimas a través de programas de chat o de mensajería instantánea.

APT7

Posible atribución: China

Sectores objetivo: construcción, ingeniería, aeroespacial y base industrial de defensa

Descripción general: APT7 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente se centra en datos y proyectos que hacen que una empresa sea competitiva en su campo. Se sabe que este grupo tiene como objetivo a organizaciones con sede en Estados Unidos y el Reino Unido.

Malware relacionado: DIGDUG, TRACKS

Vectores de ataque: los agentes de riesgo APT7 han utilizado el acceso a una empresa para infiltrarse en otra con la misma empresa matriz. Se trata de una forma de movimiento lateral, pero en este caso también fue el método de compromiso inicial para la segunda organización.

APT6

Posible atribución: China

Sectores objetivo: transporte, automoción, construcción e ingeniería, telecomunicaciones, electrónica, construcción y materiales

Descripción general: APT6 se encarga de las ciberoperaciones, cuyo objetivo es el robo de datos, probablemente datos y proyectos que hacen que una empresa sea competitiva en su campo. APT6 se ha centrado en organizaciones con sede en Estados Unidos y el Reino Unido.

Malware relacionado: BELUGA, EXCHAIN, PUPTENT

Vectores de ataque: APT6 utiliza varias puertas traseras personalizadas, incluidos algunas utilizadas por otros grupos APT y algunas que son exclusivas del grupo.

APT5

Posible atribución: China

Sectores objetivo: proveedores regionales de telecomunicaciones, empleados asiáticos de empresas tecnológicas y de telecomunicaciones internacionales, fabricación de alta tecnología y tecnología de aplicaciones militares en Estados Unidos, Europa y Asia.

Descripción general: APT5 lleva activo al menos desde el 2007. APT5 ha atacado o ha causado brechas en empresas de varios sectores, pero parece que se centra en las empresas de telecomunicaciones y tecnología, especialmente la información sobre comunicaciones por satélite. Ya en el 2014, Mandiant Incident Response descubrió que APT5 hacía modificaciones no autorizadas en el código de los archivos del sistema operativo insertado de otra plataforma tecnológica. En el 2015, APT5 comprometió a una organización de telecomunicaciones de EE. UU. que ofrece servicios y tecnologías a entidades públicas y privadas. Durante la intrusión, los autores descargaron y modificaron algunas de las imágenes de los routers relacionadas con los routers de la red de la empresa. Además, durante ese tiempo, APT5 robó archivos relacionados con tecnología militar a una organización de defensa del sur de Asia. Los nombres de archivo observados sugieren que los actores estaban interesados en especificaciones de productos, correos electrónicos sobre productos técnicos, propuestas y pujas de aprovisionamiento, y documentos sobre vehículos aéreos no tripulados (UAV).

Malware relacionado: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vectores de ataque: parece ser un gran grupo de amenazas formado por varios subgrupos, a menudo con tácticas e infraestructura diferenciadas. El grupo utiliza malware con funciones de keylogging para dirigirse específicamente a las redes corporativas, empleados y ejecutivos de las empresas de telecomunicaciones. APT5 ha mostrado un interés considerable en poner en peligro los dispositivos de red y en la manipulación del software subyacente que sustenta dichos dispositivos.

APT4

Alias: Maverick Panda, Sykipot Group, Wisp

Posible atribución: China

Sectores objetivo: aeroespacial y defensa, ingeniería industrial, electrónica, automoción, administraciones públicas, telecomunicaciones y transporte

Descripción general: parece que APT4 se dirige a la base industrial de defensa (DIB) con una frecuencia mayor que otras organizaciones comerciales. Sin embargo, el historial de intrusiones objetivo de APT4 es muy amplio.

Malware relacionado: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO y SOGO

Vectores de ataque: los agentes de APT4 suelen aprovechar los mensajes de phishing de objetivo definido mediante el Departamento de Defensa del gobierno de EE. UU. o temas básicos industriales de defensa. Los agentes de APT4 pueden reutilizar contenido válido del Gobierno o de sitios web del Departamento de Defensa de EE. UU. en sus cuerpos de mensajes para darles legitimidad.

APT3

Alias: UPS Team

Posible atribución: China

Sectores objetivo: aeroespacial y defensa, construcción e ingeniería, alta tecnología, telecomunicaciones y transporte

Descripción general: el grupo de amenazas de China que Mandiant monitoriza como APT3 es uno de los grupos de amenazas más sofisticados que Mandiant Threat Intelligence registra, y tiene un historial de uso de exploits basados en el navegador de día cero (por ejemplo, Internet Explorer, Firefox y Adobe Flash Player). Después de explotar correctamente un host de destino, este grupo volcará las credenciales rápidamente, se moverá lateralmente a otros hosts e instalará puertas traseras personalizadas. La infraestructura de comando y control (CnC) de APT3 es difícil de monitorizar, ya que hay poca superposición entre las campañas.

Malware relacionado: SHOTPUT, COOKIECUTTER, SOGU

Vectores de ataque: los correos de phishing que utiliza APT3 suelen ser de naturaleza genérica y casi parecen spam. Los ataques han aprovechado una vulnerabilidad sin parches en la forma en que Adobe Flash Player analiza los archivos de vídeo Flash (FLV). El exploit utiliza técnicas de daño de vectores habituales para evitar la aleatorización del diseño del espacio de direcciones (ASLR) y utiliza programación orientada a devoluciones (ROP) para evitar la prevención de ejecución de datos (DEP). Un buen truco para su técnica de ROP hace que sea más fácil aprovecharla y sorteará algunas técnicas de detección de ROP. El shellcode se almacena en el archivo de exploit de Adobe Flash Player comprimido junto con una clave que se utiliza para su descifrado. La carga útil está codificada en xor y se oculta dentro de una imagen.

Otros recursos

Otros recursos

APT2

Posible atribución: China

Sectores objetivo: militar y aeroespacial

Descripción general: este grupo se observó por primera vez en el 2010. APT2 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y los proyectos que hacen que una empresa sea competitiva en su campo.

Malware relacionado: MOOSE, WARP

Vectores de ataque: correos de phishing de objetivo definido que aprovechan la CVE-2012-0158.

APT30

Posible atribución: China

Sectores objetivo: miembros de la Asociación de Naciones del Sudeste Asiático(ASEAN)

Descripción general: APT30 no solo destaca por la actividad continuada durante un largo periodo de tiempo, sino también por la modificación y la adaptación del código fuente para mantener las mismas herramientas, tácticas e infraestructura desde al menos 2005. Las pruebas demuestran que el grupo prioriza los objetivos, que probablemente trabaja en turnos en un entorno colaborativo y crea malware a partir de un plan de desarrollo coherente. El grupo tiene la capacidad de infectar redes con air gap desde 2005.

Malware relacionado: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vectores de ataque: APT30 utiliza un paquete de herramientas que incluye herramientas de descarga, puertas traseras, un controlador central y varios componentes diseñados para infectar unidades extraíbles y redes con air gap cruzado para robar datos. APT30 registra con frecuencia sus propios dominios DNS para actividades de CnC de malware.

APT27

Posible atribución: China

Sectores objetivo: APT27 ha atacado a varias empresas con sedes en todo el mundo, como Europa, Oriente Medio y Norteamérica y Sudamérica. Estas organizaciones pertenecen a diferentes sectores, como servicios empresariales, alta tecnología, administración pública y energía; Sin embargo, un número importante son los de la industria aeroespacial, del transporte o de los viajes.

Descripción general: APT27 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vectores de ataque: APT27 a menudo utiliza el phishing de objetivo definido como método de riesgo inicial. Los atacantes de APT27 no suelen utilizar exploits originales de vulnerabilidad de día cero, pero pueden aprovecharlos cuando se publican. En al menos un caso, los agentes de APT27 utilizaron una cuenta vulnerada en la organización víctima de una de ellas para enviar un correo de phishing de objetivo definido a otras víctimas de sectores similares. Además, APT27 puede poner en riesgo las aplicaciones web vulnerables para afianzar la presencia inicial.

APT26

Posible atribución: China

Sectores objetivo: aeroespacial, defensa y energía, entre otros

Descripción general: APT26 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: SOGU, HTRAN, POSTSize, TWOCHAINS, BEACON

Vectores de ataque: el grupo suele utilizar riesgos estratégicos en la web para acceder a redes y puertas traseras personalizadas cuando se encuentran en el entorno de la víctima.

APT25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Posible atribución: China

Sectores objetivo: la base industrial de defensa, los medios de comunicación, los servicios financieros y el transporte de EE. UU. y Europa.

Descripción general: APT25 participa en ciberoperaciones cuyo objetivo es el robo de datos.

Malware relacionado: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vectores de ataque: APT25 siempre ha utilizado el phishing de objetivo definido en sus operaciones, incluidos los mensajes que contienen archivos adjuntos maliciosos e hiperenlaces maliciosos. Los agentes de riesgo de APT25 no suelen usar exploits de vulnerabilidad de día cero, pero pueden aprovecharlos una vez que se publican.

APT24

Alias: PittyTiger

Posible atribución: China

Sectores objetivo: APT24 se ha orientado a una amplia variedad de sectores, entre los que se incluyen organizaciones gubernamentales, sanitario, de construcción e ingeniería, de minería, de organizaciones sin ánimo de lucro y de telecomunicaciones.

Descripción general: se sabe que este grupo tiene organizaciones objetivo con sede en países como Estados Unidos y Taiwán. APT24 siempre ha utilizado la utilidad de archivo RAR para cifrar y comprimir los datos robados antes de transferirlos de la red. El robo de datos externo de este grupo se centra principalmente en documentos de importancia política, lo que sugiere que su intención es monitorizar la posición de varios estados-nación con respecto a las cuestiones aplicables a la disputa territorial o de soberanía en curso de China.

Malware relacionado: PITTYTIGER, ENFAL, TAIDOOR

Vectores de ataque: APT24 ha utilizado correos de phishing que utilizan temas militares, de energía renovable o de estrategias empresariales como señuelo. Además, APT24 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y proyectos que hacen que una empresa concreta sea competitiva en su campo.

APT23

Posible atribución: China

Sectores objetivo: medios de comunicación y administración pública de Estados Unidos y Filipinas

Descripción general: APT23 ha robado información con significado político y militar, que no tiene que ver con la propiedad intelectual. Esto sugiere que APT23 podría llevar a cabo el robo de datos a modo de apoyo para operaciones de espionaje más tradicionales.

Malware relacionado: NONGMIN

Vectores de ataque: APT23 ha utilizado mensajes de phishing de objetivo definido para poner en peligro las redes de las víctimas, incluidos los señuelos de phishing relacionados con la educación. Los agentes de APT23 no suelen utilizar exploits de vulnerabilidad de día cero, pero este grupo los ha aprovechado una vez que se han hecho públicos.

APT12

También conocido como: Calc Team

Posible atribución: China

Sectores objetivo: periodistas, gobierno, base industrial de defensa

Descripción general: se cree que APT12 es un grupo de ciberespionaje que puede estar relacionado con el Ejército Popular de Liberación chino. Los objetivos de APT12 son coherentes con los objetivos generales de la República Popular de China. Las intrusiones y las campañas que lleva a cabo este grupo se ajustan a los objetivos de la RPC y al interés propio en Taiwán.

Malware relacionado: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vectores de ataque: Mandiant ha observado que APT12 proporciona estos documentos de explotación a través de correos de phishing desde cuentas válidas pero vulneradas. Basándonos en la actividad anterior de APT12, se espera que el grupo de amenazas siga utilizando el phishing como método de distribución de malware.

Otros recursos

APT10

También conocido como: Menupass Team

Posible atribución: China

Sectores objetivo: empresas aeroespaciales, de construcción e ingeniería, y de telecomunicaciones, así como gobiernos de Estados Unidos, Europa y Japón

Descripción general: APT10 es un grupo de ciberespionaje chino que Mandiant lleva monitorizando desde el 2009. Desde siempre, se han centrado en empresas de construcción e ingeniería, empresas aeroespaciales y de telecomunicaciones, y en gobiernos de Estados Unidos, Europa y Japón. Creemos que el ataque a estos sectores está en línea con los objetivos de seguridad nacional de China, como la adquisición de información militar y de inteligencia, y el robo de datos empresariales confidenciales para respaldar a empresas chinas.

Malware relacionado: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vectores de ataque: esta actividad reciente de APT10 incluye tanto el phishing de objetivo definido tradicional como el acceso a las redes de la víctima a través de proveedores de servicios gestionados. Para obtener más información sobre la infección a través de proveedores de servicios, consulta M-Trends 2016. Los ataques de phishing de objetivo definido de APT10 son relativamente sencillos, ya que utilizan archivos .lnk dentro de archivos, archivos con extensiones dobles (por ejemplo, [Oculto]_Group_Meeting_Document_20170222_doc_.exe) y, en algunos casos, simplemente documentos señuelo con nombres idénticos y ejecutores maliciosos dentro del mismo archivo. Además de los ataques de phishing de objetivo definido, Mandiant Threat Intelligence ha observado que APT10 accede a las víctimas a través de proveedores de servicios globales.

Otros recursos

Otros recursos

APT9

Posible atribución: según los datos disponibles, evaluamos que se trata de un grupo de autónomos que está patrocinado por algún estado nacional, posiblemente China.

Sectores objetivo: organizaciones con sede en varios países y sectores como la sanidad y los productos farmacéuticos, la construcción y la ingeniería, y la industria aeroespacial y la defensa.

Descripción general: APT9 se dedica a las ciberoperaciones cuyo objetivo es el robo de datos, y suele centrarse en los datos y los proyectos que hacen que una empresa concreta sea competitiva en su campo.

Malware relacionado: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vectores de ataque: APT9 ha sido siempre muy activo en el sector farmacéutico y de la biotecnología. Hemos observado que este agente usa phishing de objetivo definido, cuentas válidas y servicios remotos para el acceso inicial. En al menos una ocasión, Mandiant observó APT9 en dos empresas del sector de la biotecnología y sospechaba que los actores de APT9 podrían haber obtenido acceso inicial a una de las empresas mediante el establecimiento de una relación de confianza entre las dos empresas. APT9 utiliza una amplia variedad de puertas traseras, incluidas las que están disponibles públicamente, así como las que se cree que son personalizadas, pero que utilizan varios grupos de APT.

APT8

Posible atribución: China

Sectores objetivo: una amplia variedad de sectores, entre los que se incluyen los de medios de comunicación y entretenimiento, la construcción y la ingeniería, y el sector aeroespacial y de defensa.

Descripción general: APT8 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y los proyectos que hacen que una empresa sea competitiva en su campo. Consideramos que se trata de un grupo de autónomos ubicado en China que cuenta con el patrocinio de un estado nacional. APT8 está orientado a organizaciones con sede en varios países, como Alemania, Estados Unidos, India, Japón y Reino Unido.

Malware relacionado: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vectores de ataque: los agentes de APT8 suelen utilizar mensajes de correo electrónico de phishing de objetivo definido con archivos adjuntos o enlaces maliciosos, o aprovechan los servidores web vulnerables para poner en riesgo a las empresas objetivo. Además, en varias intrusiones, los agentes de la APT8 enviaron enlaces maliciosos a las posibles víctimas a través de programas de chat o de mensajería instantánea.

APT7

Posible atribución: China

Sectores objetivo: construcción, ingeniería, aeroespacial y base industrial de defensa

Descripción general: APT7 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente se centra en datos y proyectos que hacen que una empresa sea competitiva en su campo. Se sabe que este grupo tiene como objetivo a organizaciones con sede en Estados Unidos y el Reino Unido.

Malware relacionado: DIGDUG, TRACKS

Vectores de ataque: los agentes de riesgo APT7 han utilizado el acceso a una empresa para infiltrarse en otra con la misma empresa matriz. Se trata de una forma de movimiento lateral, pero en este caso también fue el método de compromiso inicial para la segunda organización.

APT6

Posible atribución: China

Sectores objetivo: transporte, automoción, construcción e ingeniería, telecomunicaciones, electrónica, construcción y materiales

Descripción general: APT6 se encarga de las ciberoperaciones, cuyo objetivo es el robo de datos, probablemente datos y proyectos que hacen que una empresa sea competitiva en su campo. APT6 se ha centrado en organizaciones con sede en Estados Unidos y el Reino Unido.

Malware relacionado: BELUGA, EXCHAIN, PUPTENT

Vectores de ataque: APT6 utiliza varias puertas traseras personalizadas, incluidos algunas utilizadas por otros grupos APT y algunas que son exclusivas del grupo.

APT5

Posible atribución: China

Sectores objetivo: proveedores regionales de telecomunicaciones, empleados asiáticos de empresas tecnológicas y de telecomunicaciones internacionales, fabricación de alta tecnología y tecnología de aplicaciones militares en Estados Unidos, Europa y Asia.

Descripción general: APT5 lleva activo al menos desde el 2007. APT5 ha atacado o ha causado brechas en empresas de varios sectores, pero parece que se centra en las empresas de telecomunicaciones y tecnología, especialmente la información sobre comunicaciones por satélite. Ya en el 2014, Mandiant Incident Response descubrió que APT5 hacía modificaciones no autorizadas en el código de los archivos del sistema operativo insertado de otra plataforma tecnológica. En el 2015, APT5 comprometió a una organización de telecomunicaciones de EE. UU. que ofrece servicios y tecnologías a entidades públicas y privadas. Durante la intrusión, los autores descargaron y modificaron algunas de las imágenes de los routers relacionadas con los routers de la red de la empresa. Además, durante ese tiempo, APT5 robó archivos relacionados con tecnología militar a una organización de defensa del sur de Asia. Los nombres de archivo observados sugieren que los actores estaban interesados en especificaciones de productos, correos electrónicos sobre productos técnicos, propuestas y pujas de aprovisionamiento, y documentos sobre vehículos aéreos no tripulados (UAV).

Malware relacionado: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vectores de ataque: parece ser un gran grupo de amenazas formado por varios subgrupos, a menudo con tácticas e infraestructura diferenciadas. El grupo utiliza malware con funciones de keylogging para dirigirse específicamente a las redes corporativas, empleados y ejecutivos de las empresas de telecomunicaciones. APT5 ha mostrado un interés considerable en poner en peligro los dispositivos de red y en la manipulación del software subyacente que sustenta dichos dispositivos.

APT4

Alias: Maverick Panda, Sykipot Group, Wisp

Posible atribución: China

Sectores objetivo: aeroespacial y defensa, ingeniería industrial, electrónica, automoción, administraciones públicas, telecomunicaciones y transporte

Descripción general: parece que APT4 se dirige a la base industrial de defensa (DIB) con una frecuencia mayor que otras organizaciones comerciales. Sin embargo, el historial de intrusiones objetivo de APT4 es muy amplio.

Malware relacionado: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO y SOGO

Vectores de ataque: los agentes de APT4 suelen aprovechar los mensajes de phishing de objetivo definido mediante el Departamento de Defensa del gobierno de EE. UU. o temas básicos industriales de defensa. Los agentes de APT4 pueden reutilizar contenido válido del Gobierno o de sitios web del Departamento de Defensa de EE. UU. en sus cuerpos de mensajes para darles legitimidad.

APT3

Alias: UPS Team

Posible atribución: China

Sectores objetivo: aeroespacial y defensa, construcción e ingeniería, alta tecnología, telecomunicaciones y transporte

Descripción general: el grupo de amenazas de China que Mandiant monitoriza como APT3 es uno de los grupos de amenazas más sofisticados que Mandiant Threat Intelligence registra, y tiene un historial de uso de exploits basados en el navegador de día cero (por ejemplo, Internet Explorer, Firefox y Adobe Flash Player). Después de explotar correctamente un host de destino, este grupo volcará las credenciales rápidamente, se moverá lateralmente a otros hosts e instalará puertas traseras personalizadas. La infraestructura de comando y control (CnC) de APT3 es difícil de monitorizar, ya que hay poca superposición entre las campañas.

Malware relacionado: SHOTPUT, COOKIECUTTER, SOGU

Vectores de ataque: los correos de phishing que utiliza APT3 suelen ser de naturaleza genérica y casi parecen spam. Los ataques han aprovechado una vulnerabilidad sin parches en la forma en que Adobe Flash Player analiza los archivos de vídeo Flash (FLV). El exploit utiliza técnicas de daño de vectores habituales para evitar la aleatorización del diseño del espacio de direcciones (ASLR) y utiliza programación orientada a devoluciones (ROP) para evitar la prevención de ejecución de datos (DEP). Un buen truco para su técnica de ROP hace que sea más fácil aprovecharla y sorteará algunas técnicas de detección de ROP. El shellcode se almacena en el archivo de exploit de Adobe Flash Player comprimido junto con una clave que se utiliza para su descifrado. La carga útil está codificada en xor y se oculta dentro de una imagen.

Otros recursos

Otros recursos

APT2

Posible atribución: China

Sectores objetivo: militar y aeroespacial

Descripción general: este grupo se observó por primera vez en el 2010. APT2 se dedica a las ciberoperaciones cuyo objetivo es el robo de la propiedad intelectual, normalmente centrándose en los datos y los proyectos que hacen que una empresa sea competitiva en su campo.

Malware relacionado: MOOSE, WARP

Vectores de ataque: correos de phishing de objetivo definido que aprovechan la CVE-2012-0158.

APT1

Alias: Unit 61398, Comment Crew

Posible atribucuón: el tercer departamento (总参三部二会) del Ejército Popular de Liberación de China, más conocido por su clasificación de cobertura de unidad militar (MUCD) como Unidad 61398 (61398部队).

Sectores objetivo: tecnología de la información, aeroespacial, administración pública, satélites y telecomunicaciones, investigación y consultoría científica, energía, transporte, construcción e fabricación, servicios de ingeniería, electrónica de alta tecnología, organizaciones internacionales, servicios jurídicos, medios de comunicación, publicidad y entretenimiento, navegación, productos químicos, servicios financieros, alimentación y agricultura, sanidad, metales y minería, educación

Descripción general: APT1 ha robado sistemáticamente cientos de terabytes de datos de al menos 141 organizaciones y ha demostrado su capacidad y su intención de robar a decenas de organizaciones simultáneamente. El grupo se centra en poner en riesgo a organizaciones de una gran variedad de sectores en países de habla inglesa. El tamaño de la infraestructura de APT1 implica una gran empresa que cuenta con decenas de operadores humanos, aunque posiblemente, cientos.

Malware relacionado: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vectores de ataque: el método de ataque inicial más comúnmente observado es el phishing de objetivo definido Estos correos de phishing de objetivo definido contienen archivos adjuntos maliciosos o hiperenlaces a archivos maliciosos. El asunto y el texto del cuerpo del correo suelen ser relevantes para el destinatario. APT1 también crea cuentas de correo web utilizando nombres de personas reales. Aunque los intrusos de APT1 a veces utilizan puertas traseras disponibles públicamente como Poison Ivy y Gh0st RAT, la gran mayoría de las veces usan lo que parecen ser sus propias puertas traseras personalizadas. Durante su estancia en la red (que pueden durar años), APT1 suele instalar puertas traseras nuevas a medida que reclaman más sistemas en el entorno. Después, si se descubre y elimina una puerta trasera, aún tendrá otras puertas abiertas que pueda utilizar. Normalmente, detectamos varias familias de puertas traseras con APT1 dispersas por la red de las víctimas cuando APT1 lleva más de unas pocas semanas presente.

Amenazas a nivel mundial: Corea del Norte

APT43

Posible atribución: Corea del Norte

Sectores objetivo: APT43 está estrechamente alineado con los intereses del Estado y se correlaciona considerablemente con los acontecimientos geopolíticos que afectan a Kim Jong-un. El grupo APT43 ha llevado a cabo actividades de espionaje contra empresas de Corea del Sur y de EE. UU. En el 2021, el interés se ha desplazado hacia el sector de la sanidad como respuesta a la pandemia del COVID‑19.

Descripción general: APT43 es un prolífico operador cibernético que apoya los intereses del régimen norcoreano. El grupo combina unas competencias técnicas moderadamente sofisticadas con unas tácticas agresivas de ingeniería social, especialmente contra empresas gubernamentales de Corea del Sur y de EE. UU, académicos y gruposde reflexión en problemas geopolíticos que se centran en la península de Corea. Además de sus campañas de espionaje, creemos que APT43 se financia a través de operaciones de ciberdelincuencia para apoyar su misión principal de recopilar inteligencia estratégica. APT43 ha colaborado con otros operadores de espionaje norcoreano en varias operaciones, lo que pone de manifiesto el importante papel que desempeña APT43 en el ciberaparato del régimen.

Malware relacionado: el grupo utiliza muchas familias de malware, incluidas, entre otras, gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS y LATEOP.

Vectores de ataque: APT43 ha confiado en las campañas de phishing de objetivo definido para ejecutar sus elaboradas tácticas de ingeniería social. El grupo crea numerosas identidades falsas y fraudulentas para usarlas en ingeniería social, así como identidades clandestinas para comprar herramientas operativas e infraestructura.

Otros recursos

Otros recursos

Otros recursos

Otros recursos

APT38

Posible atribución: Corea del Norte

Sectores objetivo: instituciones financieras de todo el mundo

Resumen: nuestro análisis del grupo de amenazas respaldado por el régimen de Corea del Norte al que denominamos APT38 revela que es responsable de llevar a cabo los ciberataques más importantes que se han observado. Aunque APT38 comparte recursos para el desarrollo de malware y el patrocinio del estado de Corea del Norte con un grupo al que la comunidad de seguridad se refiere como "Lazarus", creemos que la motivación financiera, el conjunto de herramientas único, las tácticas, las técnicas y los procedimientos (TTPs) de APT38 son lo suficientemente distintos como para poder monitorizarlos de forma independiente de otras actividades cibernéticas de Corea del Norte.

Malware relacionado: este grupo grande y prolífico utiliza una variedad de familias de malware personalizadas, como puertas traseras, túneles, mineros de datos y malware destructivo para robar millones de dólares a las instituciones financieras y hacer que las redes de las víctimas no funcionen.

Vectores de ataque: APT38 ha llevado a cabo operaciones en más de 16 organizaciones de al menos 11 países. Este grupo es cuidadoso, calculador, y ha demostrado su deseo de mantener el acceso a los entornos de las víctimas durante el tiempo que sea necesario para comprender el diseño de la red, los permisos necesarios y las tecnologías del sistema para lograr sus objetivos. APT38 es único en el sentido de que no temen destruir de forma agresiva las pruebas o las redes de las víctimas como parte de sus operaciones.

Otros recursos

APT37

Posible atribución: Corea del Norte

Sectores objetivo: principalmente Corea del Sur, aunque también Japón, Vietnam y Oriente Medio, en diversos verticales de sectores, como química, electrónica, fabricación, aeroespacial, automoción y sanidad.

Resumen: nuestro análisis de la actividad reciente de APT37 revela que las operaciones del grupo están aumentando en alcance y sofisticación, con un conjunto de herramientas que incluye acceso a vulnerabilidades de día cero y malware wiper. Creemos con total confianza que esta actividad se lleve a cabo en nombre del Gobierno de Corea del Norte con artefactos de desarrollo de malware y objetivos que se ajustan a los intereses estatales de Corea del Norte. Mandiant Threat Intelligence cree que APT37 está en sintonía con la actividad sobre la que se ha informado públicamente como Scarcruft y Group123.

Malware relacionado: conjunto diverso de malware para la intrusión inicial y la filtración externa. Además del malware personalizado que se utiliza con fines de espionaje, APT37 también tiene acceso a malware destructivo.

Vectores de ataque: tácticas de ingeniería social adaptadas específicamente a los objetivos deseados, los riesgos estratégicos web típicos de las operaciones de ciberespionaje selectivos y el uso de sitios de uso compartido de archivos torrent para distribuir malware de forma más indiscriminada. Explotación frecuente de vulnerabilidades en el procesador de texto Hangul (HWP) y Adobe Flash El grupo ha demostrado tener acceso a las vulnerabilidades de día cero (CVE-2018-0802) y la capacidad de incorporarlas en sus operaciones.

Otros recursos

Amenazas a nivel mundial: Irán

APT42

Posible atribución: Irán

Sectores objetivo: APT42 se centra principalmente en personas o grupos que se oponen al régimen iraní actual e intenta acceder a sus cuentas personales y dispositivos móviles. El grupo también ha atacado de forma constante a grupos de reflexión occidentales, investigadores, periodistas, funcionarios actuales de gobiernos occidentales, antiguos funcionarios del gobierno iraní y la diáspora iraní en el extranjero.

Descripción general: APT42 es un grupo de ciberespionaje patrocinado por el Estado iraní que tiene la misión de llevar a cabo operaciones de vigilancia y recogida de información contra personas y empresas de interés estratégico para el Gobierno iraní. Las operaciones del grupo, diseñadas para generar confianza y afinidad con sus víctimas, han incluido el acceso a cuentas de correo personales y corporativas de funcionarios públicos, antiguos responsables políticos iraníes o figuras políticas, miembros de la diáspora iraní y grupos de la oposición, periodistas y académicos que investigan sobre Irán. 

Malware relacionado: el grupo utiliza muchas familias de malware, incluidas, entre otras, TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK y ASYNCRAT.

Vectores de ataque: como la mayoría, APT42 ha confiado en campañas de phishing. Sin embargo, un vector de ataque principal ha sido el uso de malware móvil para rastrear la ubicación de las víctimas, grabar conversaciones telefónicas, acceder a vídeos e imágenes y extraer buzones de entrada de SMS.

Otros recursos

Otros recursos

Otros recursos

Otros recursos

APT39

Posible atribución: Irán

Sectores objetivo: aunque el ámbito de objetivos de APT39 es internacional, sus actividades se concentran en Oriente Medio. APT39 ha dado prioridad al sector de las telecomunicaciones y se ha orientado hacia los sectores turísticos y a las empresas de TI que lo respaldan, así como al sector de la alta tecnología.

Resumen: el enfoque del grupo en los sectores de las telecomunicaciones y los viajes sugiere la intención de llevar a cabo operaciones de monitorización, seguimiento o vigilancia contra personas concretas, recoger datos propios o de clientes con fines comerciales u operativos que cumplan requisitos estratégicos relacionados con las prioridades nacionales, o crear accesos y vectores adicionales para facilitar futuras campañas. La orientación por entidades gubernamentales sugiere una posible intención secundaria de recoger datos geopolíticos que puedan beneficiar a la toma de decisiones de los estados y países.

Malware relacionado: el grupo utiliza principalmente las puertas traseras SEAWEED y CACHEMONEY junto con una variante específica de la puerta trasera POWBAT.

Vectores de ataque: para la intrusión inicial, Mandiant Intelligence ha observado que APT39 utiliza el phishing de objetivo definido con archivos adjuntos o hiperenlaces maliciosos que suelen provocar una infección por POWBAT. En algunos casos, también se han aprovechado cuentas de correo electrónico vulneradas anteriormente, lo que podría abusar de las confianzas inherentes y aumentar las posibilidades de que un ataque tenga éxito. APT39 registra y utiliza con frecuencia dominios que se hacen pasar por servicios y organizaciones web legítimos que son relevantes para el destino previsto. Además, este grupo ha identificado y explotado habitualmente los servidores web vulnerables de las organizaciones objetivo para instalar shells web, como ANTAK y ASPXSPY, y ha utilizado credenciales legítimas robadas para poner en riesgo los recursos de acceso web de Outlook Web Access (OWA) que se encuentran fuera de la organización. No hemos detectado vulnerabilidades de explotación de APT39.

Otros recursos

APT34

Posible atribución: Irán

Sectores objetivo: este grupo de amenazas ha puesto el objetivo en varios sectores, incluidos los sectores financieros, gubernamentales, energéticos, químicos y de telecomunicaciones, y ha centrado principalmente sus operaciones en Oriente Medio.

Descripción general: creemos que APT34 está involucrado en una operación de ciberespionaje a largo plazo centrada principalmente en los esfuerzos de reconocimiento para beneficiar los intereses de los estados nacionales de Irán y que lleva operativa desde al menos 2014. Creemos que APT34 trabaja en nombre del Gobierno iraní basándonos en detalles de infraestructura que contienen referencias a Irán, el uso de infraestructuras iraníes y unos objetivos que se ajustan a los intereses de los estados y países.

Malware relacionado: POWBAT, POWRUNER, BONDUPDATER

Vectores de ataque: en su última campaña, APT34 aprovechó la reciente vulnerabilidad de Microsoft Office CVE-2017-11882 para desplegar POWRUNER y BONDUPDATER.

Otros recursos

APT33

Posible atribución: Irán

Sectores objetivo: aeroespacial y energía

Descripción general: APT33 está dirigido a organizaciones de varios sectores con sede en Arabia Saudí, Corea del Sur y Estados Unidos. APT33 ha mostrado un interés especial por las organizaciones del sector de la aviación involucradas en capacidades tanto militares como comerciales, así como por las organizaciones del sector de la energía vinculadas con la producción petroquímica.

Malware relacionado: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vectores de ataque: APT33 ha enviado correos electrónicos de phishing de objetivo definido a los empleados con puestos de trabajo relacionados con el sector de la aviación. Esos correos electrónicos incluían señuelos con temáticas de contratación y enlaces a archivos de aplicaciones HTML maliciosas (.hta). Los archivos .hta contenían descripciones de puestos de trabajo y enlaces a ofertas de empleo legítimas en sitios web de empleo populares que serían relevantes para las personas objetivo.

Otros recursos

Amenazas a nivel mundial: Rusia

APT28

También conocido como: Tsar Team

Posible atribución: gobierno ruso

Sectores objetivo: el Cáucaso, en especial Georgia, los países y ejércitos de Europa del Este, la Organización del Tratado del Atlántico Norte (OTAN) y otras empresas de seguridad y empresas de defensa europeas

Descripción general: APT28 es un equipo cualificado de desarrolladores y operadores que recopila información sobre cuestiones geopolíticas y de defensa, información que sería útil solo para un Gobierno. Este grupo de APT recopila muestras de malware con la configuración en ruso durante el horario laboral (de 8:00 a 18:00), en línea con la zona horaria de las principales ciudades de Rusia, como Moscú y San Petersburgo. Esto sugiere que APT28 recibe recursos financieros directos y de otro tipo de una organización consolidada, probablemente el Gobierno ruso.

Malware relacionado: CHOPSTICK, SOURFACE

Vectores de ataque: entre las herramientas más utilizadas por APT28 se incluyen el programa de descarga SOURFACE, el sistema de puerta trasera de segunda fase EVILTOSS y una familia modular de implantes denominada CHOPSTICK. APT28 ha utilizado el cifrado RSA para proteger los archivos y la información robada transferida de la red de la víctima al responsable del tratamiento. Además, desde el 2007, se han introducido cambios incrementales y sistemáticos en la herramienta de descarga SOURFACE y en el ecosistema que la rodea, lo que indica una labor de desarrollo especializada desde hace tiempo.

Otros recursos

APT29

Posible atribución: Rusia

Sectores objetivo: históricamente, los objetivos han incluido gobiernos occidentales, organismos de asuntos exteriores y de elaboración de políticas, contratistas públicos, universidades y posiblemente medios de comunicación internacionales.

Descripción general: APT29 es un grupo de ciberespionaje patrocinado por el Estado ruso. El grupo posee unas competencias fantásticas, como una serie de herramientas desarrolladas a medida, una amplia red de mando y control (C2) que incluye infraestructuras comprometidas y con satélites (a través de proveedores de servicios evidentes) y altos niveles de seguridad operativa. En las investigaciones en las que estaba presente APT29, ha demostrado un alto grado de conciencia sobre la postura defensiva de sus víctimas y familiaridad con los métodos para eludir a los investigadores y los intentos de reparación.

Malware relacionado: el grupo utiliza muchas familias de malware, incluidas, entre otras, BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY y SUNBURST.

Vectores de ataque: APT29 suele utilizar el phishing de objetivo definido para acceder a las redes objetivo, pero también puede ejecutar formas más avanzadas de intrusión, como poner en riesgo las cadenas de suministro. Mientras que algunos grupos de amenazas envían mensajes de phishing de objetivo definido muy personalizados, los correos de APT29 pueden ser muy genéricos. Una vez que se ha establecido una base, el grupo suele instalar malware para crear una puerta trasera que le permita mantener el acceso a lo largo del tiempo.

Otros recursos 

Otros recursos

Otros recursos

Otros recursos

Amenazas a nivel mundial: el resto del mundo

APT36

Posible atribución: Pakistán

Sectores objetivo: las campañas de intrusión de APT36, activo desde al menos el 2013, reflejan una estrategia coordinada para atacar a la India, su rival territorial, y también demuestran una predisposición a atacar a empresas militares e intergubernamentales que tienen intereses en el territorio, como la Organización del Tratado del Atlántico Norte (OTAN) y las Naciones Unidas (ONU). Además, APT36 ha atacado a varios sectores en países fuera del territorio, como Estados Unidos.

Descripción general: APT36 es un agente de ciberespionaje que lleva mucho tiempo recopilando inteligencia para apoyar los intereses diplomáticos y militares de Pakistán.

Malware relacionado: el grupo utiliza muchas familias de malware, incluidas, entre otras, MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT y SEEGAP.

Vectores de ataque: APT36 suele emplear el phishing de objetivo definido como método principal de ataque inicial, utilizando archivos adjuntos maliciosos que incluyen ejecutables de Microsoft Windows y documentos de Microsoft Office (que aprovechan macros y exploits conocidos). Los señuelos de phishing de este agente suelen tratar temas militares y políticos. Además, hemos observado que estos agentes utilizan una técnica de ataque de abrevadero única que emplea la ingeniería social (en lugar de vulnerabilidades web) para convencer a las víctimas de que descarguen y abran documentos maliciosos de Microsoft Office.

APT35

Sectores objetivo: personal militar, diplomático y gubernamental de Estados Unidos, Europa Occidental y de Oriente Medio, organizaciones de los sectores de los medios de comunicación, la energía y la base industrial de defensa, la ingeniería, los servicios empresariales y las telecomunicaciones.

Descripción general: APT35 (también conocido como Newscaster Team) es un equipo de ciberespionaje patrocinado por el gobierno iraní que lleva a cabo operaciones a largo plazo que consumen muchos recursos para recopilar inteligencia estratégica. Mandiant Threat Intelligence ha observado operaciones de APT35 que se remontan al 2014. APT35 siempre se ha basado en herramientas ligeramente sofisticadas, como shells web y herramientas de pruebas de penetración disponibles públicamente, lo que sugiere una capacidad de desarrollo relativamente incipiente. Sin embargo, la amplitud y el alcance de las operaciones de APT35, especialmente en lo que se refiere a sus complejos esfuerzos de ingeniería social, probablemente indique que el grupo cuenta con muchos recursos en otras áreas.

Malware relacionado: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Vectores de ataque: APT35 se suele basar en el phishing de objetivo definido para comprometer inicialmente a una organización, a menudo utilizando señuelos relacionados con la atención sanitaria, ofertas de empleo, currículos o políticas de contraseñas. Sin embargo, también hemos observado que el grupo usa cuentas vulneradas con credenciales extraídas de operaciones anteriores, riesgos estratégicos en la web y ataques de propagación de contraseñas contra aplicaciones web externas como técnicas adicionales para obtener acceso inicial.

APT32

También conocido como: OceanLotus Group

Posible atribución: Vietnam

Sectores objetivo: empresas extranjeras que invierten en los sectores de fabricación, productos de consumo, consultoría y hostelería de Vietnam

Descripción general: las actividades recientes orientadas a intereses privados en Vietnam sugieren que APT32 supone una amenaza para las empresas que hacen negocios, fabrican o se preparan para invertir en el país. Aunque la motivación específica de esta actividad sigue siendo opaca, podría, en última instancia, mermar la ventaja competitiva de las organizaciones objetivo.

Malware relacionado: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vectores de ataque: los agentes de APT32 aprovechan los archivos ActiveMime, que emplean métodos de ingeniería social para animar a la víctima a habilitar macros. Cuando se ejecuta, el archivo inicializado suele descargar varias cargas útiles maliciosas de un servidor remoto. Los agentes de APT32 envían los archivos adjuntos maliciosos mediante correos de phishing de objetivo definido. Se ha demostrado que algunos se han enviado a través de Gmail.

APT1

Alias: Unit 61398, Comment Crew

Posible atribucuón: el tercer departamento (总参三部二会) del Ejército Popular de Liberación de China, más conocido por su clasificación de cobertura de unidad militar (MUCD) como Unidad 61398 (61398部队).

Sectores objetivo: tecnología de la información, aeroespacial, administración pública, satélites y telecomunicaciones, investigación y consultoría científica, energía, transporte, construcción e fabricación, servicios de ingeniería, electrónica de alta tecnología, organizaciones internacionales, servicios jurídicos, medios de comunicación, publicidad y entretenimiento, navegación, productos químicos, servicios financieros, alimentación y agricultura, sanidad, metales y minería, educación

Descripción general: APT1 ha robado sistemáticamente cientos de terabytes de datos de al menos 141 organizaciones y ha demostrado su capacidad y su intención de robar a decenas de organizaciones simultáneamente. El grupo se centra en poner en riesgo a organizaciones de una gran variedad de sectores en países de habla inglesa. El tamaño de la infraestructura de APT1 implica una gran empresa que cuenta con decenas de operadores humanos, aunque posiblemente, cientos.

Malware relacionado: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vectores de ataque: el método de ataque inicial más comúnmente observado es el phishing de objetivo definido Estos correos de phishing de objetivo definido contienen archivos adjuntos maliciosos o hiperenlaces a archivos maliciosos. El asunto y el texto del cuerpo del correo suelen ser relevantes para el destinatario. APT1 también crea cuentas de correo web utilizando nombres de personas reales. Aunque los intrusos de APT1 a veces utilizan puertas traseras disponibles públicamente como Poison Ivy y Gh0st RAT, la gran mayoría de las veces usan lo que parecen ser sus propias puertas traseras personalizadas. Durante su estancia en la red (que pueden durar años), APT1 suele instalar puertas traseras nuevas a medida que reclaman más sistemas en el entorno. Después, si se descubre y elimina una puerta trasera, aún tendrá otras puertas abiertas que pueda utilizar. Normalmente, detectamos varias familias de puertas traseras con APT1 dispersas por la red de las víctimas cuando APT1 lleva más de unas pocas semanas presente.

Descubre de quién eres el objetivo

Obtén visibilidad y contexto exhaustivos sobre las amenazas más importantes para tu empresa.

En estos momentos, Google está monitorizando más de 450 agentes maliciosos. Descubre cómo puede ayudarte Google Threat Intelligence a ir un paso por delante.

¿Tienes alguna pregunta? Hablemos.

Google Cloud