Amenazas persistentes avanzadas (APT)

APT41

Posible atribución: China

Sectores objetivo: APT41 ha atacado directamente a organizaciones en al menos 14 países desde 2012. Las campañas de espionaje del grupo han atacado la atención médica, las telecomunicaciones y el sector de alta tecnología e históricamente han incluido el robo de propiedad intelectual. Sus intrusiones de ciberdelitos son más evidentes entre los ataques a la industria de los videojuegos, incluida la manipulación de monedas virtuales y los intentos de implementación de ransomware. Las operaciones de APT41 contra la educación superior, los servicios de viajes y las empresas de noticias/medios de comunicación proporcionan algunos indicios de que el grupo también realiza seguimientos de personas y realiza vigilancia.

Descripción general: APT41 es un grupo de ciberamenazas prolífico que lleva a cabo actividades de espionaje patrocinadas por el estado chino, además de actividades con motivación financiera potencialmente ajenas al control estatal.

Software malicioso asociado: se ha observado que APT41 utiliza al menos 46 familias de códigos y herramientas diferentes.

Vectores de ataque: APT41 a menudo depende de correos electrónicos de phishing dirigido con archivos adjuntos como archivos HTML (.chm) compilados para atacar inicialmente a sus víctimas. Una vez dentro de una organización víctima, APT41 puede aprovechar TTP más sofisticados e implementar software malicioso adicional. Por ejemplo, en una campaña que duró casi un año, APT41 atacó cientos de sistemas y utilizó cerca de 150 piezas únicas de software malicioso, como puertas traseras, ladrones de credenciales, keyloggers y rootkits. APT41 también implementó rootkits y bootkits de registro de arranque maestro (Master Boot Record, MBR) de manera limitada para ocultar su software malicioso y mantener la persistencia en determinados sistemas de las víctimas.

Recursos adicionales

APT40

Posible atribución: China

Sectores objetivo: APT40 es un grupo de ciberespionaje chino que normalmente ataca países con importancia estratégica para la Iniciativa de la Franja y la Ruta. Si bien el grupo ataca a organizaciones globales (especialmente aquellas enfocadas en ingeniería y defensa), también llevó a cabo históricamente campañas contra entidades regionales en áreas como el Sudeste Asiático. Desde al menos enero de 2013, el grupo ha llevado a cabo campañas contra una variedad de verticales, como objetivos marítimos, defensa, aviación, productos químicos, investigación/educación, Gobierno y organizaciones tecnológicas.

Descripción general: Mandiant Intelligence cree que las operaciones de APT40 son una contraparte cibernética con los esfuerzos de China para modernizar sus capacidades navales; Esto también se manifiesta al atacar proyectos de investigación a gran escala en universidades y obtener diseños para equipos y vehículos marinos. Las operaciones del grupo tienden a atacar proyectos con patrocinio gubernamental y toman grandes cantidades de información específica de dichos proyectos, incluyendo propuestas, reuniones, datos financieros, información de transporte, planos y dibujos, y datos sin procesar.

Software malicioso asociado: se ha observado que APT40 utiliza al menos 51 familias de códigos diferentes. De estos, 37 no son públicos. Al menos siete de estas herramientas no públicas (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU y WIDETONE) se comparten con otros operadores sospechosos de nexo chino.

Vectores de ataque: APT40 normalmente se hace pasar por una persona prominente que probablemente le interesa a un objetivo para enviarle correos electrónicos de phishing dirigido. Esto incluye hacerse pasar por un periodista, una persona de una publicación comercial o alguien de una organización militar o no gubernamental (ONG) importante. En algunos casos, el grupo ha aprovechado direcciones de correo electrónico previamente comprometidas para enviar correos electrónicos de phishing dirigido.

Recursos adicionales

APT31

Posible atribución: China

Sectores objetivo: varios, incluidos el Gobierno, las organizaciones financieras internacionales y las organizaciones aeroespaciales y de defensa, así como alta tecnología, construcción e ingeniería, telecomunicaciones, medios de comunicación y seguros.

Descripción general: APT31 es un actor de ciberespionaje con nexo chino cuyo objetivo es obtener información que pueda proporcionar ventajas políticas, económicas y militares al Gobierno y a las empresas estatales de China.

Software malicioso asociado: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Vectores de ataque: APT31 ha aprovechado las vulnerabilidades de aplicaciones como Java y Adobe Flash para vulnerar los entornos de las víctimas.

APT30

Posible atribución: China

Sectores objetivo: miembros de la Asociación de Naciones del Sudeste Asiático (ASEAN)

Descripción general: APT30 se destaca no solo por la actividad sostenida durante un largo período de tiempo, sino también por la modificación y adaptación exitosa del código fuente para mantener las mismas herramientas, tácticas e infraestructura desde al menos 2005. La evidencia muestra que el grupo prioriza los objetivos, lo más probable es que trabaje por turnos en un entorno colaborativo y que cree software malicioso a partir de un plan de desarrollo coherente. El grupo tiene la capacidad de infectar redes aisladas desde el 2005.

Software malicioso asociado: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vectores de ataque: APT30 utiliza un conjunto de herramientas que incluyen cargadores, puertas traseras, un controlador central y varios componentes diseñados para infectar unidades extraíbles y atravesar redes aisladas para robar datos. APT30 registra con frecuencia sus propios dominios DNS para actividades CnC de software malicioso.

APT27

Posible atribución: China

Sectores objetivo: APT27 ha atacado a varias organizaciones con sede en todo el mundo, incluidas América del Norte y del Sur, Europa y Medio Oriente. Estas organizaciones se incluyen en una variedad de industrias diferentes, entre las que se incluyen los servicios empresariales, la alta tecnología, el Gobierno y la energía. Pero hay una cifra notable en las industrias aeroespacial y de transporte o viajes.

Descripción general: APT27 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vectores de ataque: APT27 a menudo utiliza ataques de phishing dirigido como método de ataque inicial. Los agentes de amenazas de APT27 no son conocidos por utilizar exploits originales de día cero, pero pueden aprovecharlos una vez que se hacen públicos. En al menos un caso, los perpetradores de APT27 utilizaron una cuenta comprometida en una organización víctima para enviar un correo electrónico de phishing dirigido a otras víctimas previstas en industrias similares. Además, APT27 puede comprometer aplicaciones web vulnerables para lograr una presencia inicial.

APT26

Posible atribución: China

Sectores objetivo: aeroespacial, de defensa y energético, entre otros

Descripción general: APT26 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vectores de ataque: el grupo utiliza con frecuencia ataques estratégicos web para obtener acceso a redes objetivo y puertas traseras personalizadas una vez que se encuentran dentro del entorno de la víctima.

APT25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Posible atribución: China

Sectores objetivo: La base industrial de defensa, los medios, los servicios financieros y los sectores de transporte en EE.UU. y Europa.

Descripción general: APT25 participa en operaciones cibernéticas cuyo objetivo es el robo de datos.

Software malicioso asociado: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vectores de ataque: APT25 históricamente ha utilizado ataques de phishing dirigido en sus operaciones, incluyendo mensajes que contienen archivos adjuntos maliciosos e hipervínculos maliciosos. Los agentes de amenazas de APT25 no suelen utilizar exploits de día cero, pero pueden aprovecharlos una vez que se hacen públicos.

APT24

Alias: PittyTiger

Posible atribución: China

Sectores objetivo: APT24 ha atacado a una amplia variedad de industrias, incluidas organizaciones del Gobierno, la atención médica, la construcción y la ingeniería, la minería, las organizaciones sin fines de lucro y las telecomunicaciones.

Descripción general: Se sabe que este grupo ha atacado a organizaciones con sede en países como EE.UU. y Taiwán. Históricamente, APT24 ha utilizado la utilidad RAR Archive para encriptar y comprimir los datos robados antes de transferirlos fuera de la red. El robo de datos exfiltrado de este actor se enfocó principalmente en documentos con importancia política, lo que sugiere que su intención es supervisar las posiciones de diversos Estados nación sobre temas aplicables a la disputa territorial o de soberanía actual de China.

Software malicioso asociado: PITTYTIGER, ENFAL, TAIDOOR

Vectores de ataque: APT24 ha utilizado correos electrónicos de phishing que utilizan temas militares, de energía renovable o de estrategias comerciales como señuelos. Además, APT24 se involucra en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

APT23

Posible atribución: China

Sectores objetivo: medios de comunicación y Gobierno en EE.UU. y Filipinas

Descripción general: APT23 ha robado información que tiene importancia política y militar, en lugar de propiedad intelectual. Esto sugiere que APT23 puede llevar a cabo el robo de datos para apoyar operaciones de espionaje más tradicionales.

Software malicioso asociado: NONGMIN

Vectores de ataque: APT23 ha utilizado mensajes de spear phishing para comprometer las redes de las víctimas, incluidos señuelos de phishing relacionados con la educación. Los perpetradores de APT23 no son conocidos por utilizar exploits de día cero, pero este grupo ha aprovechado esos exploits una vez que se hacen públicos.

APT22

Alias: Barista

Posible atribución: China

Sectores objetivo: Un amplio conjunto de entidades políticas, militares y económicas en Asia Oriental, Europa y EE.UU.

Descripción general: Creemos que APT22 tiene un nexo con China y ha estado operativo desde al menos principios de 2014, llevando a cabo intrusiones y actividades de ataques contra entidades del sector público y privado, incluidos disidentes.

Software malicioso asociado: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Vectores de ataque: los agentes de amenazas de APT22 han utilizado ataques estratégicos de la web para explotar de forma pasiva objetivos de interés. Los perpetradores de APT22 también han identificado servidores web vulnerables orientados al público en las redes de las víctimas y subieron webshells para obtener acceso a la red de la víctima.

APT21

Alias: Zhenbao

Posible atribución: China

Sectores objetivo: Gobierno

Descripción general: APT21 aprovecha archivos adjuntos estratégicos en ruso relacionados con problemas de seguridad nacional en documentos señuelo. Históricamente, el contenido de ingeniería social indicaba una operación de ciberespionaje que intentaba obtener acceso no autorizado a información privilegiada relacionada con la seguridad estatal en Rusia. Un análisis de las técnicas de APT21 sugiere que otra área de enfoque son los grupos disidentes que buscan una mayor autonomía o independencia de China, como los del Tíbet o Xinjiang.

Software malicioso asociado: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Vectores de ataque: APT21 aprovecha los mensajes de correo electrónico de phishing selectivo con archivos adjuntos maliciosos, enlaces a archivos maliciosos o páginas web. También han utilizado ataques estratégicos web (Strategic Web Compromises, SWC) para atacar a posibles víctimas. APT21 utiliza con frecuencia dos puertas traseras conocidas como TRAVELNET y TEMPFUN. Significativamente, APT21 generalmente utiliza principalmente puertas traseras personalizadas, y rara vez usa herramientas disponibles públicamente.

APT20

Alias: Twivy

Posible atribución: China

Sectores objetivo: Construcción e ingeniería, atención médica, organizaciones sin fines de lucro, base industrial de defensa, y empresas de investigación y producción químicas.

Descripción general: APT20 participa en operaciones cibernéticas cuyo objetivo es el robo de datos. APT20 lleva a cabo el robo de propiedad intelectual, pero también parece estar interesado en robar datos o monitorear las actividades de personas con intereses políticos particulares. En función de los datos disponibles, evaluamos que se trata de un grupo de freelancers con cierto patrocinio de Estados nación que se encuentra en China.

Software malicioso asociado: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Vectores de ataque: el uso de APT20 de vulneraciones estratégicas de la web proporciona información sobre un segundo conjunto de objetivos probables. Muchas de las SWC de APT20 se han alojado en sitios web (incluidos sitios web en chino) que abordan temas como democracia, derechos humanos, libertad de prensa, minorías étnicas en China y otros asuntos.

APT19

Alias: Codoso Team

Posible atribución: China

Sectores objetivo: legal e inversión

Descripción general: Es un grupo probablemente compuesto por trabajadores independientes, con cierto grado de patrocinio por parte del Gobierno chino.

Software malicioso asociado: BEACON, COBALTSTRIKE

Vectores de ataque: en 2017, APT19 utilizó tres técnicas diferentes para intentar comprometer objetivos. A principios de mayo, los señuelos de phishing aprovecharon los archivos adjuntos de RTF que explotaban la vulnerabilidad de Microsoft Windows descrita en CVE 2017-0199. Hacia fines de mayo, APT19 pasó a usar documentos de Microsoft Excel (XLSM) habilitados para macros. En las versiones más recientes, APT19 agregó una omisión de lista de aplicaciones seguras a los documentos XLSM. Al menos un señuelo de phishing observado entregó una carga útil de Cobalt Strike.

APT18

Alias: Wekby

Posible atribución: China

Sectores objetivo: aeroespacial y de defensa, construcción e ingeniería, educación, salud y biotecnología, alta tecnología, telecomunicaciones, transporte

Descripción general: muy poco se ha divulgado públicamente acerca de este grupo.

Software malicioso asociado: Gh0st RAT

Vectores de ataque: Con frecuencia desarrollaron o adaptaron exploits de día cero para operaciones, que probablemente se planificaron con anticipación. Se usaron datos de la filtración del equipo de hackeo, que demostraron cómo el grupo puede cambiar los recursos (como seleccionar objetivos, preparar infraestructura, diseñar mensajes, actualizar herramientas) para aprovechar oportunidades inesperadas como exploits recientemente expuestos.

Recursos adicionales: Blog: Demostrando agilidad, grupos APT chinos usan rápidamente una vulnerabilidad de día cero (CVE-2015-5119) tras filtración de equipo de hackeo

APT17

Alias: Tailgator Team, Deputy Dog

Posible atribución: China

Sectores objetivo: Gobierno estadounidense, firmas de abogados internacionales y empresas de tecnología de la información

Descripción general: lleva a cabo una intrusión en la red contra organizaciones objetivo.

Software malicioso asociado: BLACKCOFFEE

Vectores de ataque: el grupo de amenazas aprovechó la capacidad de crear perfiles y publicar en foros para incorporar CnC codificado a fin de utilizarlo con una variante del malware que utilizaba. Esta técnica puede dificultar que los profesionales de seguridad de la red determinen la ubicación real del CnC y permitir que la infraestructura del CnC permanezca activa durante un período más largo.

APT16

Posible atribución: China

Sectores objetivo: organizaciones japonesas y taiwanesas en las industrias de alta tecnología, servicios gubernamentales, medios de comunicación y servicios financieros

Descripción general: Grupo de China preocupado por asuntos políticos y periodísticos en Taiwán.

Software malicioso asociado: IRONHALO, ELMER

Vectores de ataque: Correos electrónicos de phishing dirigido enviados a organizaciones de medios de comunicación y direcciones de correo electrónico web taiwanesas. Los documentos señuelo contenían instrucciones para el registro y la posterior publicación de los productos en un sitio web de subastas taiwanés.

APT15

Posible atribución: China

Sectores objetivo: objetivos globales en los sectores comercial, económico y financiero, energético y militar en apoyo de los intereses del Gobierno chino.

Descripción general: APT15 ha atacado a organizaciones con sede en varios lugares, incluidos varios países europeos, EE.UU. y Sudáfrica. Los operadores de APT15 comparten recursos, incluidas puertas traseras e infraestructura, con otras APT chinas.

Software malicioso asociado: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE

Vectores de ataque: APT15 generalmente utiliza correos electrónicos de phishing dirigido bien desarrollados para lograr un compromiso inicial contra objetivos globales en diversos sectores que son de interés para el Gobierno chino. Significativamente, APT15 utiliza puertas traseras e infraestructura que no son exclusivas del grupo, lo que dificulta la atribución.

APT14

Posible atribución: China

Sectores objetivo: Gobierno, telecomunicaciones, construcción e ingeniería

Descripción general: APT14 participa en operaciones cibernéticas cuyo objetivo es el robo de datos, con un posible enfoque en equipamiento, operaciones y políticas militares y marítimos. Creemos que los datos robados, especialmente los cifrados y las especificaciones del equipo de comunicación por satélite, podrían utilizarse para mejorar las operaciones militares, como la intercepción de señales o, de otro modo, la interferencia en las redes de comunicación por satélite militar.

Software malicioso asociado: Gh0st, POISONIVY, CLUBSEAT, GROOVY

Vectores de ataque: los agentes de amenazas de APT14 no tienden a utilizar exploits de día cero, pero pueden aprovecharlos una vez que se hacen públicos. Pueden aprovechar una herramienta de correo SMTP personalizada para enviar sus mensajes de phishing dirigido. Los mensajes de phishing de APT14 suelen estar diseñados para aparentar que provienen de organizaciones de confianza.

APT12

Alias: Calc Team

Posible atribución: China

Sectores objetivo: periodistas, Gobierno, base industrial de defensa

Descripción general: Se cree que APT12 es un grupo de ciberespionaje presuntamente vinculado con el Ejército Popular de Liberación Chino. Los objetivos de APT12 son consistentes con objetivos más amplios de la República Popular China (RPC). Las intrusiones y las campañas realizadas por este grupo están alineadas con los objetivos de la República Popular China y el interés propio en Taiwán.

Software malicioso asociado: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vectores de ataque: Mandiant observó que APT12 entrega estos documentos de explotación a través de correos electrónicos de phishing desde cuentas válidas pero comprometidas. Según la actividad anterior de APT12, esperamos que el grupo de amenazas continúe utilizando el phishing como método de entrega de software malicioso.

Recursos adicionales

APT10

Alias: Menupass Team

Posible atribución: China

Sectores objetivo: empresas de construcción e ingeniería, aeroespaciales y de telecomunicaciones, y Gobiernos de Estados Unidos, Europa y Japón

Descripción general: APT10 es un grupo de ciberespionaje chino que Mandiant ha rastreado desde 2009. Históricamente, han atacado a empresas de construcción e ingeniería, aeroespacial y de telecomunicaciones, y a Gobiernos de Estados Unidos, Europa y Japón. Creemos que los ataques a estas industrias han estado en apoyo de los objetivos de seguridad nacional china, incluida la adquisición de información militar e información de inteligencia, así como el robo de datos comerciales confidenciales para respaldar a las corporaciones chinas.

Software malicioso asociado: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vectores de ataque: esta actividad reciente de APT10 ha incluido tanto los ataques de phishing dirigido tradicional como el acceso a las redes de la víctima a través de proveedores de servicios administrados. Para obtener más información sobre la infección a través de proveedores de servicios, consulta M-Trends 2016. Los suplantaciones de identidad selectivas de APT10 han sido relativamente poco sofisticadas, aprovechando archivos .lnk dentro de archivos, archivos con extensiones dobles (por ejemplo, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) y, en algunos casos, simplemente nombran de forma idéntica a documentos señuelo y selectores maliciosos dentro del mismo archivo. Además de los suplantaciones de identidad selectivas, Mandiant Threat Intelligence ha observado que APT10 accede a las víctimas a través de proveedores de servicios globales.

Recursos adicionales

Recursos adicionales

APT9

Posible atribución: En función de los datos disponibles, evaluamos que se trata de un grupo de trabajadores independientes con cierto patrocinio de un Estado nación, posiblemente China.

Sectores objetivo: organizaciones con sede en varios países y sectores como el de la salud y la industria farmacéutica, la construcción y la ingeniería, y la industria aeroespacial y de defensa.

Descripción general: APT9 participa en operaciones cibernéticas cuyo objetivo es el robo de datos, generalmente concentrándose en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vectores de ataque: Históricamente, APT9 estuvo muy activo en la industria farmacéutica y de la biotecnología. Hemos observado que este perpetrador utiliza el ataque de phishing dirigido, cuentas válidas, así como servicios remotos para el acceso inicial. En al menos una ocasión, Mandiant observó a APT9 en dos empresas en la industria de la biotecnología y sospecha que los perpetradores de APT9 pueden haber obtenido acceso inicial a una de las empresas mediante una relación de confianza entre las dos empresas. APT9 utiliza una amplia gama de puertas traseras, incluyendo puertas traseras disponibles públicamente, así como puertas traseras que se cree que son personalizadas, pero que son utilizadas por múltiples grupos de APT.

APT 8

Posible atribución: China

Sectores objetivo: Una amplia gama de industrias, que incluyen medios de comunicación y entretenimiento, construcción e ingeniería, y las industrias aeroespacial y de defensa.

Descripción general: APT8 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización sea competitiva en su campo. Evaluamos que se trata de un grupo de trabajadores independientes ubicado en China y con cierto patrocinio de un Estado nación. APT8 ha atacado a organizaciones con sede en varios países, incluidos los EE.UU., Alemania, el Reino Unido, la India y Japón.

Software malicioso asociado: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vectores de ataque: los perpetradores de APT8 a menudo utilizan mensajes de correo electrónico de phishing dirigido con enlaces o archivos adjuntos maliciosos, o explota servidores web vulnerables conectados a Internet para comprometer a las organizaciones objetivo. Además, en varias intrusiones, los actores APT8 enviaron vínculos maliciosos a posibles víctimas a través de chats o programas de mensajería instantánea.

APT 7

Posible atribución: China

Sectores objetivo: construcción, ingeniería, aeroespacial y base industrial de defensa

Descripción general: APT7 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en datos y proyectos que hacen que una organización sea competitiva en su campo. Se sabe que este grupo ha atacado a organizaciones con sede en EE.UU. y el Reino Unido.

Software malicioso asociado: DIGDUG, TRACKS

Vectores de ataque: los agentes de amenazas de APT7 han utilizado el acceso a una organización para infiltrarse en otra organización bajo la misma empresa matriz. Esta es una forma de movimiento lateral, pero en este caso también fue el método de ataque inicial para la segunda organización.

APT6

Posible atribución: China

Sectores objetivo: transporte, industria automotriz, ingeniería y construcción, telecomunicaciones, electrónica, construcción y materiales

Descripción general: APT6 participa en operaciones cibernéticas cuyo objetivo es el robo de datos, probablemente los datos y proyectos que hagan que una organización sea competitiva en su campo. APT6 atacó a organizaciones con sede en EE.UU. y el Reino Unido.

Software malicioso asociado: BELUGA, EXCHAI N, PUPTENT

Vectores de ataque: APT6 utiliza varias puertas traseras personalizadas, incluidas algunas utilizadas por otros grupos APT, además de las que son exclusivas del grupo.

APT 5

Posible atribución: China

Sectores objetivo: Proveedores de telecomunicaciones regionales, empleados ubicados en Asia de empresas globales de tecnología y telecomunicaciones, manufactura de alta tecnología y tecnología de aplicaciones militares en EE.UU., Europa y Asia.

Descripción general: APT5 ha estado activo por lo menos desde 2007. APT5 ha atacado o vulnerado organizaciones en múltiples sectores, pero su enfoque parece estar en las empresas de telecomunicaciones y tecnología, especialmente información sobre comunicaciones satelitales. Ya en 2014, Mandiant Incident Response descubrió que APT5 realizaba modificaciones de código no autorizadas en los archivos del sistema operativo integrado de otra plataforma tecnológica. En 2015, APT5 atacó a una organización de telecomunicaciones estadounidense que prestaba servicios y tecnologías a entidades privadas y gubernamentales. Durante esta intrusión, los perpetradores descargaron y modificaron algunas de las imágenes del router relacionadas con los routers de red de la empresa. También durante este tiempo, APT5 robó archivos relacionados con tecnología militar a una organización de defensa del sur de Asia. Los nombres de archivo observados sugieren que los perpetradores estaban interesados en las especificaciones de los productos, los correos electrónicos relacionados con productos técnicos, las ofertas y propuestas de adquisición y los documentos sobre vehículos aéreos no tripulados (UAV).

Software malicioso asociado: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vectores de ataque: parece ser un gran grupo de amenazas que consta de varios subgrupos, a menudo con infraestructura y tácticas distintas. El grupo utiliza software malicioso con capacidades de keylogging para atacar específicamente las redes corporativas, los empleados y los ejecutivos de empresas de telecomunicaciones. APT5 ha demostrado un gran interés en comprometer los dispositivos de red y manipular el software subyacente que respalda estos dispositivos.

APT 4

Alias: Maverick Panda, Sykipot Group y Wisp

Posible atribución: China

Sectores objetivo: aeroespacial y de defensa, ingeniería industrial, electrónica, automotriz, gubernamental, telecomunicaciones y transporte

Descripción general: APT4 parece atacar la base industrial de defensa (Defensa Industrial Base, DIB) con una frecuencia más alta que otras organizaciones comerciales. Sin embargo, el historial de intrusiones selectivas de APT4 tiene un amplio alcance.

Software malicioso asociado: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vectores de ataque: los perpetradores de APT4 a menudo aprovechan los mensajes de ataque de phishing dirigido utilizando el Gobierno de los EE.UU., el Departamento de Defensa o temas de la base industrial de defensa. Los perpetradores de APT4 pueden reutilizar contenido válido de sitios web del Gobierno o del Departamento de Defensa de EE.UU. dentro de los cuerpos de sus mensajes para prestarles legitimidad.

APT 3

Alias: UPS Team

Posible atribución: China

Sectores objetivo: aeroespacial y de defensa, construcción e ingeniería, alta tecnología, telecomunicaciones, transporte

Descripción general: El grupo de amenazas con sede en China que Mandiant rastrea como APT3 es uno de los grupos de amenazas más sofisticados que Mandiant Threat Intelligence rastrea, y tiene un historial de uso de exploits basados en el navegador como día cero (por ejemplo, Internet Explorer, Firefox y Adobe Flash Player). Después de vulnerar con éxito un host objetivo, este grupo volcará rápidamente las credenciales, se moverá lateralmente a hosts adicionales e instalará puertas traseras personalizadas. La infraestructura de comando y control (CnC) de APT3 es difícil de rastrear, ya que hay poca superposición entre las campañas.

Software malicioso asociado: SHOTPUT, COOKIECUTTER, SOGU

Vectores de ataque: los correos electrónicos de phishing utilizados por APT3 suelen ser genéricos y casi parecen ser spam. Los ataques han aprovechado una vulnerabilidad no corregida en la forma en que Adobe Flash Player analiza archivos de Flash Video (FLV). El exploit utiliza técnicas comunes de corrupción de vectores para eludir la aleatorización del diseño del espacio de direcciones (ASLR) y usa la programación orientada al retorno (ROP) para evadir la Prevención de ejecución de datos (DEP). Un buen truco para su técnica de ROP facilita su explotación y evade algunas técnicas de detección de ROP. Shellcode se almacena en el archivo de vulnerabilidad de Adobe Flash Player empaquetado junto con una clave utilizada para su desencriptación. La carga útil está codificada con xor y oculta dentro de una imagen.

Recursos adicionales

Recursos adicionales

APT 2

Posible atribución: China

Sectores objetivo: militar y aeroespacial

Descripción general: este grupo se observó por primera vez en 2010. APT2 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización sea competitiva en su campo.

Software malicioso asociado: MOOSE, WARP

Vectores de ataque: correos electrónicos de ataque de phishing dirigido que explotan CVE-2012-0158.

APT 30

Posible atribución: China

Sectores objetivo: miembros de la Asociación de Naciones del Sudeste Asiático (ASEAN)

Descripción general: APT30 se destaca no solo por la actividad sostenida durante un largo período de tiempo, sino también por la modificación y adaptación exitosa del código fuente para mantener las mismas herramientas, tácticas e infraestructura desde al menos 2005. La evidencia muestra que el grupo prioriza los objetivos, lo más probable es que trabaje por turnos en un entorno colaborativo y que cree software malicioso a partir de un plan de desarrollo coherente. El grupo tiene la capacidad de infectar redes aisladas desde el 2005.

Software malicioso asociado: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vectores de ataque: APT30 utiliza un conjunto de herramientas que incluyen cargadores, puertas traseras, un controlador central y varios componentes diseñados para infectar unidades extraíbles y atravesar redes aisladas para robar datos. APT30 registra con frecuencia sus propios dominios DNS para actividades CnC de software malicioso.

APT 27

Posible atribución: China

Sectores objetivo: APT27 ha atacado a varias organizaciones con sede en todo el mundo, incluidas América del Norte y del Sur, Europa y Medio Oriente. Estas organizaciones se incluyen en una variedad de industrias diferentes, entre las que se incluyen los servicios empresariales, la alta tecnología, el Gobierno y la energía. Pero hay una cifra notable en las industrias aeroespacial y de transporte o viajes.

Descripción general: APT27 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vectores de ataque: APT27 a menudo utiliza ataques de phishing dirigido como método de ataque inicial. Los agentes de amenazas de APT27 no son conocidos por utilizar exploits originales de día cero, pero pueden aprovecharlos una vez que se hacen públicos. En al menos un caso, los perpetradores de APT27 utilizaron una cuenta comprometida en una organización víctima para enviar un correo electrónico de phishing dirigido a otras víctimas previstas en industrias similares. Además, APT27 puede comprometer aplicaciones web vulnerables para lograr una presencia inicial.

APT 26

Posible atribución: China

Sectores objetivo: aeroespacial, de defensa y energético, entre otros

Descripción general: APT26 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vectores de ataque: el grupo utiliza con frecuencia ataques estratégicos web para obtener acceso a redes objetivo y puertas traseras personalizadas una vez que se encuentran dentro del entorno de la víctima.

APT 25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Posible atribución: China

Sectores objetivo: La base industrial de defensa, los medios, los servicios financieros y los sectores de transporte en EE.UU. y Europa.

Descripción general: APT25 participa en operaciones cibernéticas cuyo objetivo es el robo de datos.

Software malicioso asociado: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vectores de ataque: APT25 históricamente ha utilizado ataques de phishing dirigido en sus operaciones, incluyendo mensajes que contienen archivos adjuntos maliciosos e hipervínculos maliciosos. Los agentes de amenazas de APT25 no suelen utilizar exploits de día cero, pero pueden aprovecharlos una vez que se hacen públicos.

APT 24

Alias: PittyTiger

Posible atribución: China

Sectores objetivo: APT24 ha atacado a una amplia variedad de industrias, incluidas organizaciones del Gobierno, la atención médica, la construcción y la ingeniería, la minería, las organizaciones sin fines de lucro y las telecomunicaciones.

Descripción general: Se sabe que este grupo ha atacado a organizaciones con sede en países como EE.UU. y Taiwán. Históricamente, APT24 ha utilizado la utilidad RAR Archive para encriptar y comprimir los datos robados antes de transferirlos fuera de la red. El robo de datos exfiltrado de este actor se enfocó principalmente en documentos con importancia política, lo que sugiere que su intención es supervisar las posiciones de diversos Estados nación sobre temas aplicables a la disputa territorial o de soberanía actual de China.

Software malicioso asociado: PITTYTIGER, ENFAL, TAIDOOR

Vectores de ataque: APT24 ha utilizado correos electrónicos de phishing que utilizan temas militares, de energía renovable o de estrategias comerciales como señuelos. Además, APT24 se involucra en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

APT 23

Posible atribución: China

Sectores objetivo: medios de comunicación y Gobierno en EE.UU. y Filipinas

Descripción general: APT23 ha robado información que tiene importancia política y militar, en lugar de propiedad intelectual. Esto sugiere que APT23 puede llevar a cabo el robo de datos para apoyar operaciones de espionaje más tradicionales.

Software malicioso asociado: NONGMIN

Vectores de ataque: APT23 ha utilizado mensajes de spear phishing para comprometer las redes de las víctimas, incluidos señuelos de phishing relacionados con la educación. Los perpetradores de APT23 no son conocidos por utilizar exploits de día cero, pero este grupo ha aprovechado esos exploits una vez que se hacen públicos.

APT 12

Alias: Calc Team

Posible atribución: China

Sectores objetivo: periodistas, Gobierno, base industrial de defensa

Descripción general: Se cree que APT12 es un grupo de ciberespionaje presuntamente vinculado con el Ejército Popular de Liberación Chino. Los objetivos de APT12 son consistentes con objetivos más amplios de la República Popular China (RPC). Las intrusiones y las campañas realizadas por este grupo están alineadas con los objetivos de la República Popular China y el interés propio en Taiwán.

Software malicioso asociado: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vectores de ataque: Mandiant observó que APT12 entrega estos documentos de exploit a través de correos electrónicos de phishing desde cuentas válidas pero comprometidas. Según la actividad anterior de APT12, esperamos que el grupo de amenazas continúe utilizando el phishing como método de entrega de software malicioso.

Recursos adicionales

APT 10

Alias: Menupass Team

Posible atribución: China

Sectores objetivo: empresas de construcción e ingeniería, aeroespaciales y de telecomunicaciones, y Gobiernos de Estados Unidos, Europa y Japón

Descripción general: APT10 es un grupo de ciberespionaje chino que Mandiant ha rastreado desde 2009. Históricamente, han atacado a empresas de construcción e ingeniería, aeroespacial y de telecomunicaciones, y a Gobiernos de Estados Unidos, Europa y Japón. Creemos que los ataques a estas industrias han estado en apoyo de los objetivos de seguridad nacional china, incluida la adquisición de información militar e información de inteligencia, así como el robo de datos comerciales confidenciales para respaldar a las corporaciones chinas.

Software malicioso asociado: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vectores de ataque: esta actividad reciente de APT10 ha incluido tanto los ataques de phishing dirigido tradicional como el acceso a las redes de la víctima a través de proveedores de servicios administrados. Para obtener más información sobre la infección a través de proveedores de servicios, consulta M-Trends 2016. Los suplantaciones de identidad selectivas de APT10 han sido relativamente poco sofisticadas, aprovechando archivos .lnk dentro de archivos, archivos con extensiones dobles (por ejemplo, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) y, en algunos casos, simplemente nombran de forma idéntica a documentos señuelo y selectores maliciosos dentro del mismo archivo. Además de los suplantaciones de identidad selectivas, Mandiant Threat Intelligence ha observado que APT10 accede a las víctimas a través de proveedores de servicios globales.

Recursos adicionales

Recursos adicionales

APT 9

Posible atribución: En función de los datos disponibles, evaluamos que se trata de un grupo de trabajadores independientes con cierto patrocinio de un Estado nación, posiblemente China.

Sectores objetivo: organizaciones con sede en varios países y sectores como el de la salud y la industria farmacéutica, la construcción y la ingeniería, y la industria aeroespacial y de defensa.

Descripción general: APT9 participa en operaciones cibernéticas cuyo objetivo es el robo de datos, generalmente concentrándose en los datos y proyectos que hacen que una organización en particular sea competitiva en su campo.

Software malicioso asociado: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vectores de ataque: Históricamente, APT9 estuvo muy activo en la industria farmacéutica y de la biotecnología. Hemos observado que este perpetrador utiliza el ataque de phishing dirigido, cuentas válidas, así como servicios remotos para el acceso inicial. En al menos una ocasión, Mandiant observó a APT9 en dos empresas en la industria de la biotecnología y sospecha que los perpetradores de APT9 pueden haber obtenido acceso inicial a una de las empresas mediante una relación de confianza entre las dos empresas. APT9 utiliza una amplia gama de puertas traseras, incluyendo puertas traseras disponibles públicamente, así como puertas traseras que se cree que son personalizadas, pero que son utilizadas por múltiples grupos de APT.

APT 8

Posible atribución: China

Sectores objetivo: Una amplia gama de industrias, que incluyen medios de comunicación y entretenimiento, construcción e ingeniería, y las industrias aeroespacial y de defensa.

Descripción general: APT8 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización sea competitiva en su campo. Evaluamos que se trata de un grupo de trabajadores independientes ubicado en China y con cierto patrocinio de un Estado nación. APT8 ha atacado a organizaciones con sede en varios países, incluidos los EE.UU., Alemania, el Reino Unido, la India y Japón.

Software malicioso asociado: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vectores de ataque: los perpetradores de APT8 a menudo utilizan mensajes de correo electrónico de phishing dirigido con enlaces o archivos adjuntos maliciosos, o explota servidores web vulnerables conectados a Internet para comprometer a las organizaciones objetivo. Además, en varias intrusiones, los actores APT8 enviaron vínculos maliciosos a posibles víctimas a través de chats o programas de mensajería instantánea.

APT 7

Posible atribución: China

Sectores objetivo: construcción, ingeniería, aeroespacial y base industrial de defensa

Descripción general: APT7 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente con un enfoque en datos y proyectos que hacen que una organización sea competitiva en su campo. Se sabe que este grupo ha atacado a organizaciones con sede en EE.UU. y el Reino Unido.

Software malicioso asociado: DIGDUG, TRACKS

Vectores de ataque: los agentes de amenazas de APT7 han utilizado el acceso a una organización para infiltrarse en otra organización bajo la misma empresa matriz. Esta es una forma de movimiento lateral, pero en este caso también fue el método de ataque inicial para la segunda organización.

APT 6

Posible atribución: China

Sectores objetivo: transporte, industria automotriz, ingeniería y construcción, telecomunicaciones, electrónica, construcción y materiales

Descripción general: APT6 participa en operaciones cibernéticas cuyo objetivo es el robo de datos, probablemente los datos y proyectos que hagan que una organización sea competitiva en su campo. APT6 atacó a organizaciones con sede en EE.UU. y el Reino Unido.

Software malicioso asociado: BELUGA, EXCHAI N, PUPTENT

Vectores de ataque: APT6 utiliza varias puertas traseras personalizadas, incluidas algunas utilizadas por otros grupos APT, además de las que son exclusivas del grupo.

APT 5

Posible atribución: China

Sectores objetivo: Proveedores de telecomunicaciones regionales, empleados ubicados en Asia de empresas globales de tecnología y telecomunicaciones, manufactura de alta tecnología y tecnología de aplicaciones militares en EE.UU., Europa y Asia.

Descripción general: APT5 ha estado activo por lo menos desde 2007. APT5 ha atacado o vulnerado organizaciones en múltiples sectores, pero su enfoque parece estar en las empresas de telecomunicaciones y tecnología, especialmente información sobre comunicaciones satelitales. Ya en 2014, Mandiant Incident Response descubrió que APT5 realizaba modificaciones de código no autorizadas en los archivos del sistema operativo integrado de otra plataforma tecnológica. En 2015, APT5 atacó a una organización de telecomunicaciones estadounidense que prestaba servicios y tecnologías a entidades privadas y gubernamentales. Durante esta intrusión, los perpetradores descargaron y modificaron algunas de las imágenes del router relacionadas con los routers de red de la empresa. También durante este tiempo, APT5 robó archivos relacionados con tecnología militar a una organización de defensa del sur de Asia. Los nombres de archivo observados sugieren que los perpetradores estaban interesados en las especificaciones de los productos, los correos electrónicos relacionados con productos técnicos, las ofertas y propuestas de adquisición y los documentos sobre vehículos aéreos no tripulados (UAV).

Software malicioso asociado: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vectores de ataque: parece ser un gran grupo de amenazas que consta de varios subgrupos, a menudo con infraestructura y tácticas distintas. El grupo utiliza software malicioso con capacidades de keylogging para atacar específicamente las redes corporativas, los empleados y los ejecutivos de empresas de telecomunicaciones. APT5 ha demostrado un gran interés en comprometer los dispositivos de red y manipular el software subyacente que respalda estos dispositivos.

APT 4

Alias: Maverick Panda, Sykipot Group y Wisp

Posible atribución: China

Sectores objetivo: aeroespacial y de defensa, ingeniería industrial, electrónica, automotriz, gubernamental, telecomunicaciones y transporte

Descripción general: APT4 parece atacar la base industrial de defensa (Defensa Industrial Base, DIB) con una frecuencia más alta que otras organizaciones comerciales. Sin embargo, el historial de intrusiones selectivas de APT4 tiene un amplio alcance.

Software malicioso asociado: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vectores de ataque: los perpetradores de APT4 a menudo aprovechan los mensajes de ataque de phishing dirigido utilizando el Gobierno de los EE.UU., el Departamento de Defensa o temas de la base industrial de defensa. Los perpetradores de APT4 pueden reutilizar contenido válido de sitios web del Gobierno o del Departamento de Defensa de los Estados Unidos dentro de los cuerpos de sus mensajes para prestarles legitimidad.

APT 3

Alias: UPS Team

Posible atribución: China

Sectores objetivo: aeroespacial y de defensa, construcción e ingeniería, alta tecnología, telecomunicaciones, transporte

Descripción general: El grupo de amenazas con sede en China que Mandiant rastrea como APT3 es uno de los grupos de amenazas más sofisticados que Mandiant Threat Intelligence rastrea, y tiene un historial de uso de exploits basados en el navegador como día cero (por ejemplo, Internet Explorer, Firefox y Adobe Flash Player). Después de vulnerar con éxito un host objetivo, este grupo volcará rápidamente las credenciales, se moverá lateralmente a hosts adicionales e instalará puertas traseras personalizadas. La infraestructura de comando y control (CnC) de APT3 es difícil de rastrear, ya que hay poca superposición entre las campañas.

Software malicioso asociado: SHOTPUT, COOKIECUTTER, SOGU

Vectores de ataque: los correos electrónicos de phishing utilizados por APT3 suelen ser genéricos y casi parecen ser spam. Los ataques han aprovechado una vulnerabilidad no corregida en la forma en que Adobe Flash Player analiza archivos de Flash Video (FLV). El exploit utiliza técnicas comunes de corrupción de vectores para eludir la aleatorización del diseño del espacio de direcciones (ASLR) y usa la programación orientada al retorno (ROP) para evadir la Prevención de ejecución de datos (DEP). Un buen truco para su técnica de ROP facilita su explotación y evade algunas técnicas de detección de ROP. Shellcode se almacena en el archivo de vulnerabilidad de Adobe Flash Player empaquetado junto con una clave utilizada para su desencriptación. La carga útil está codificada con xor y oculta dentro de una imagen.

Recursos adicionales

Recursos adicionales

APT 2

Posible atribución: China

Sectores objetivo: militar y aeroespacial

Descripción general: este grupo se observó por primera vez en 2010. APT2 participa en operaciones cibernéticas cuyo objetivo es el robo de propiedad intelectual, generalmente concentrándose en los datos y proyectos que hacen que una organización sea competitiva en su campo.

Software malicioso asociado: MOOSE, WARP

Vectores de ataque: correos electrónicos de ataque de phishing dirigido que explotan CVE-2012-0158.

APT 1

Alias: Unit 61398, Comment Crew

Posible atribución: Tercer Departamento (总参三部二局) del Departamento de Staff General (GSD) del Ejército de Liberación Popular Chino (PLA), mejor conocido por su designador de cubierta de unidad militar (MUCD) como Unidad 61398 (61398部队).

Sectores objetivo: tecnología de la información, aeroespacial, administración pública, satélites y telecomunicaciones, investigación y consultoría científica, energía, transporte, construcción y fabricación, servicios de ingeniería, electrónica de alta tecnología, organizaciones internacionales, servicios legales, medios, publicidad y entretenimiento, navegación, productos químicos, servicios financieros, alimentos y agricultura, salud, metales y minería, educación

Descripción general: APT1 ha robado de forma sistemática cientos de terabytes de datos de al menos 141 organizaciones y ha demostrado la capacidad y la intención de robarles a docenas de organizaciones de forma simultánea. El grupo se centra en comprometer a organizaciones de una amplia variedad de industrias en países de habla inglesa. El tamaño de la infraestructura de APT1 implica una gran organización con al menos docenas de operadores humanos, pero posiblemente cientos de ellos.

Software malicioso asociado: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vectores de ataque: El método de ataque inicial observado con mayor frecuencia es el ataque de phishing dirigido. Los correos electrónicos de ataque de phishing dirigido contienen un archivo adjunto malicioso o un hipervínculo a un archivo malicioso. La línea del asunto y el texto del cuerpo del correo electrónico suelen ser relevantes para el destinatario. APT1 también crea cuentas de correo electrónico web con nombres de personas reales. Si bien los intrusos de APT1 a veces utilizan puertas traseras disponibles públicamente, como Poison Ivy y Gh0st RAT, la gran mayoría de las veces utilizan lo que parecen ser sus propias puertas traseras personalizadas. A lo largo de su permanencia en la red (lo que podría demorar años), APT1 generalmente instala puertas traseras nuevas a medida que afirman tener más sistemas en el entorno. Luego, si se descubre y se borra una puerta trasera, sigue teniendo otras puertas traseras que puede usar. Normalmente, detectamos varias familias de puertas traseras de APT1 dispersas alrededor de la red de la víctima cuando APT1 ha estado presente por más de unas pocas semanas.

APT43

Posible atribución: Corea del Norte

Sectores objetivo: APT43 está estrechamente alineado con los intereses estatales y se correlaciona fuertemente con los acontecimientos geopolíticos que afectan a Kim Jong-un. APT43 ha llevado a cabo actividades de espionaje contra organizaciones de Corea del Sur y EE.UU. En 2021, los intereses se centraron en la vertical de atención médica en respuesta a la pandemia del COVID-19.

Descripción general: APT43 es un operador cibernético prolífico que apoya los intereses del régimen norcoreano. El grupo combina capacidades técnicas moderadamente sofisticadas con tácticas de ingeniería social agresivas, especialmente contra organizaciones gubernamentales, académicas y de investigación de Corea del Sur y EE.UU. que se enfocan en problemas geopolíticos de la península coreana. Además de sus campañas de espionaje, creemos que APT43 se financia a sí mismo a través de operaciones de ciberdelincuencia para respaldar su misión principal de recopilar inteligencia estratégica. APT43 colaboró con otros operadores de espionaje norcoreanos en varias operaciones, lo que subraya el importante papel que desempeña en el aparato cibernético del régimen.

Software malicioso asociado: El grupo usa muchas familias de software malicioso, incluidos, sin limitaciones, gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS y LATEOP.

Vectores de ataque: APT43 ha utilizado campañas de ataques de phishing dirigido como una forma de ejecutar sus elaboradas tácticas de ingeniería social. El grupo crea numerosas identidades falsas y fraudulentas para usarlas en ingeniería social, así como identidades falsas para comprar herramientas e infraestructura operativa.

Recursos adicionales

Recursos adicionales

Recursos adicionales

Recursos adicionales

APT 38

Posible atribución: Corea del Norte

Sectores objetivo: Instituciones financieras de todo el mundo

Descripción general: Nuestro análisis del grupo de amenazas respaldado por el régimen norcoreano al que llamamos APT38 revela que son responsables de llevar a cabo los mayores robos cibernéticos observados. Aunque APT38 comparte recursos de desarrollo de software malicioso y el patrocinio estatal de Corea del Norte con un grupo al que la comunidad de seguridad se refiere como “Lazarus”, creemos que la motivación financiera, el conjunto de herramientas único y las tácticas, técnicas y procedimientos (TTP) de APT38 son lo suficientemente diferentes como para que se los pueda rastrear por separado de otras actividades cibernéticas norcoreanas.

Software malicioso asociado: Este grupo grande y prolífico utiliza una variedad de familias de software malicioso personalizadas, incluyendo puertas traseras, tunelizadores, mineros de datos y software malicioso destructivo para robar millones de dólares de instituciones financieras y hacer que las redes de las víctimas sean inoperables.

Vectores de ataque: APT38 ha llevado a cabo operaciones en más de 16 organizaciones en al menos 11 países. Este grupo es cuidadoso, calculado y ha demostrado el deseo de mantener el acceso a los entornos de las víctimas durante el tiempo necesario para comprender el diseño de la red, los permisos requeridos y las tecnologías del sistema para lograr sus objetivos. APT38 es único en el sentido de que no teme destruir agresivamente la evidencia o las redes de víctimas como parte de sus operaciones.

Recursos adicionales

APT 37

Posible atribución: Corea del Norte

Sectores objetivo: Principalmente en Corea del Sur (aunque también en Japón, Vietnam y Oriente Medio) en varias verticales de la industria, como químicos, electrónica, manufactura, la industria aeroespacial y la automotriz, y la salud.

Descripción general: Nuestro análisis de la actividad reciente de APT37 revela que las operaciones del grupo están ampliando su alcance y sofisticación, con un conjunto de herramientas que incluye acceso a vulnerabilidades de día cero y software malicioso wiper. Evaluamos con un alto nivel de confianza que esta actividad se lleva a cabo en nombre del Gobierno de Corea del Norte debido a los artefactos de desarrollo de software malicioso y los objetivos que se alinean con los intereses estatales de Corea del Norte. Mandiant Threat Intelligence cree que APT37 está alineado con la actividad informada públicamente como Scarcruft y Group123.

Software malicioso asociado: Un conjunto diverso de software malicioso para la intrusión y el robo iniciales. Junto con el software malicioso personalizado que se utiliza con fines de espionaje, APT37 también tiene acceso a software malicioso destructivo.

Vectores de ataque: tácticas de ingeniería social adaptadas específicamente a objetivos deseados, ataques web estratégicos típicos de operaciones de ciberespionaje selectivas y el uso de sitios para compartir archivos torrent para distribuir software malicioso de manera más indiscriminada. Explotación frecuente de vulnerabilidades en Hangul Word Processor (HWP) y Adobe Flash El grupo demostró tener acceso a vulnerabilidades de día cero (CVE-2018-0802) y la capacidad de incorporarlas en las operaciones.

Recursos adicionales

APT42

Posible atribución: Irán

Sectores objetivo: APT42 se enfoca en gran medida en personas o grupos que se oponen al régimen iraní actual, y trata de obtener acceso a sus cuentas personales y dispositivos móviles. El grupo también atacó sistemáticamente a grupos de expertos, investigadores y periodistas occidentales, funcionarios gubernamentales occidentales actuales, exfuncionarios gubernamentales iraníes y la diáspora iraní en el extranjero.

Descripción general: APT42 es un grupo de ciberespionaje patrocinado por el Estado de Irán encargado de realizar operaciones de recopilación de información y vigilancia contra personas y organizaciones de interés estratégico para el Gobierno iraní. Las operaciones del grupo, que están diseñadas para generar confianza y afinidad con las víctimas, incluyeron el acceso a las cuentas de correo electrónico personales y corporativas de funcionarios gubernamentales, exlegisladores o figuras políticas iraníes, miembros de la diáspora iraní y grupos de oposición, periodistas y académicos que participan en investigaciones sobre Irán. 

Software malicioso asociado: El grupo usa muchas familias de software malicioso, incluidos, sin limitaciones, TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK y ASYNCRAT.

Vectores de ataque: Como la mayoría, APT42 se ha basado en campañas de phishing, pero un vector de ataque principal ha sido el uso de malware móvil para rastrear las ubicaciones de las víctimas, grabar conversaciones telefónicas, acceder a videos y fotos, y extraer bandejas de entrada de SMS completas.

Recursos adicionales

Recursos adicionales

Recursos adicionales

Recursos adicionales

APT 39

Posible atribución: Irán

Sectores objetivo: si bien el alcance de los ataques de APT39 es global, sus actividades se concentran en el Medio Oriente. APT39 ha priorizado el sector de telecomunicaciones, con ataques adicionales al sector de viajes y a las empresas de TI que lo apoyan, así como al sector de alta tecnología.

Descripción general: El enfoque del grupo en las industrias de telecomunicaciones y viajes sugiere la intención de realizar operaciones de supervisión, seguimiento o vigilancia contra personas específicas, recopilar datos de clientes o de propiedad con fines comerciales u operativos que cumplan con los requisitos estratégicos relacionados con las prioridades nacionales, o crear accesos y vectores adicionales para facilitar futuras campañas. El ataque a entidades gubernamentales sugiere una intención secundaria posible de recopilar datos geopolíticos que podrían beneficiar a la toma de decisiones del Estado nación.

Software malicioso asociado: El grupo aprovecha principalmente las puertas traseras SEAWEED y CACHEMONEY junto con una variante específica de la puerta trasera POWBAT.

Vectores de ataque: Para un ataque inicial, Mandiant Intelligence ha observado que APT39 aprovecha el ataque de phishing dirigido con adjuntos maliciosos o hipervínculos que, por lo general, causan una infección POWBAT. En algunos casos, también se aprovecharon las cuentas de correo electrónico comprometidas en el pasado, lo que probablemente abusa de las confianzas inherentes y aumenta las posibilidades de un ataque exitoso. APT39 registra y aprovecha con frecuencia dominios que se hacen pasar por servicios web y organizaciones legítimas que son relevantes para el objetivo previsto. Además, este grupo ha identificado y explotado sistemáticamente los servidores web vulnerables de las organizaciones objetivo para instalar web shell, como ANTAK y ASPXSPY, y ha utilizado credenciales legítimas robadas para comprometer los recursos externos de Outlook Web Access (OWA). No hemos observado vulnerabilidades de explotación de APT39.

Recursos adicionales

APT 34

Posible atribución: Irán

Sectores objetivo: este grupo de amenazas ha llevado a cabo ataques amplios en una variedad de industrias, incluidas financieras, gubernamentales, de energía, química y telecomunicaciones, y ha centrado en gran medida sus operaciones en Medio Oriente.

Descripción general: creemos que APT34 está involucrado en una operación de ciberespionaje a largo plazo centrada en gran medida en esfuerzos de reconocimiento para beneficiar los intereses del Estado nación iraní y ha estado operativo desde al menos 2014. Evaluamos que APT34 trabaja en nombre del Gobierno iraní basándose en detalles de infraestructura que contienen referencias a Irán, el uso de infraestructura iraní y ataques que se alinean con los intereses de los Estados nación.

Software malicioso asociado: POWBAT, POWRUNER, BONDUPDATER

Vectores de ataque: en su última campaña, APT34 aprovechó la reciente vulnerabilidad de Microsoft Office CVE-2017-11882 para implementar POWRUNER y BONDUPDATER.

Recursos adicionales

APT 33

Posible atribución: Irán

Sectores objetivo: aeroespacial, energía

Descripción general: APT33 ha atacado organizaciones de múltiples sectores, con sede en los Estados Unidos, Arabia Saudita y Corea del Sur. APT33 ha mostrado especial interés en organizaciones del sector de la aviación involucradas en capacidades militares y comerciales, así como en organizaciones del sector energético vinculadas a la producción petroquímica.

Software malicioso asociado: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vectores de ataque: APT33 envió correos electrónicos de phishing dirigido a empleados con trabajos relacionados con la industria de la aviación. Estos correos electrónicos incluían señuelos con temática de reclutamiento y enlaces a archivos de aplicación HTML (.hta) maliciosos. Los archivos .hta contenían descripciones laborales y vínculos a publicaciones de empleo legítimas en sitios web de empleo populares que podrían ser relevantes para las personas atacadas.

Recursos adicionales

APT 28

Alias: Tsar Team

Posible atribución: Gobierno ruso

Sectores objetivo: el Cáucaso, especialmente Georgia, países y militares del este de Europa, Organización del Tratado del Atlántico Norte (NATO) y otras organizaciones de seguridad y empresas de defensa europeas

Descripción general: APT28 es un equipo habilidoso de desarrolladores y operadores que recopila información sobre temas de defensa y geopolítica; información que sería útil solo para un Gobierno. Este grupo de APT compila muestras de software malicioso con configuraciones en idioma ruso durante el horario laboral (de 8 a.m. a 6 p.m.), de acuerdo con la zona horaria de las principales ciudades de Rusia, incluidas Moscú y San Petersburgo. Esto sugiere que APT28 recibe continuamente recursos financieros y de otro tipo de una organización bien establecida, muy probablemente el Gobierno ruso.

Software malicioso asociado: CHOPSTICK, SOURFACE

Vectores de ataque: las herramientas comúnmente utilizadas por APT28 incluyen el gestor de descarga SOURFACE, su puerta trasera de segunda etapa EVILTOSS y una familia modular de implantes denominada CHOPSTICK. APT28 ha utilizado encriptación RSA para proteger archivos e información robada trasladada desde la red de la víctima al responsable del tratamiento de datos. También ha realizado cambios graduales y sistemáticos en el cargador de SOURFACE y su ecosistema desde 2007, lo que indica un esfuerzo de desarrollo dedicado y de larga data.

Recursos adicionales

APT29

Posible atribución: Rusia

Sectores objetivo: Históricamente, entre los objetivos se han incluido gobiernos occidentales, organismos de relaciones exteriores y de formulación de políticas, contratistas del Gobierno, universidades y, posiblemente, medios de noticias internacionales.

Descripción general: APT29 es un grupo de ciberespionaje patrocinado por el estado ubicado en Rusia. El grupo posee capacidades formidables, como una variedad de herramientas desarrolladas a medida, una extensa red de comando y control (C2) que incluye infraestructura comprometida y satelital (a través de proveedores de servicios aparentes) y altos niveles de seguridad operativa. En las investigaciones en las que trabajamos y en las que estuvo presente el APT29, demostraron tener un alto nivel de conocimiento de la postura defensiva de sus víctimas y familiaridad con los métodos para evadir a los investigadores y los intentos de corrección.

Software malicioso asociado: El grupo usa muchas familias de software malicioso, incluidos, entre otros, BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY y SUNBURST.

Vectores de ataque: APT29 a menudo utiliza ataques de phishing dirigido para obtener acceso a las redes objetivo, pero es capaz de ejecutar formas más avanzadas de actividad de intrusión, como comprometer cadenas de suministro. Mientras que algunos grupos de amenazas envían mensajes de phishing dirigido muy personalizados y específicos, los correos electrónicos de APT29 pueden ser muy genéricos. Una vez que logran establecer un punto de acceso, el grupo suele instalar software malicioso para crear una puerta trasera que ayude a mantener el acceso a lo largo del tiempo.

Recursos adicionales 

Recursos adicionales

Recursos adicionales

Recursos adicionales

APT36

Posible atribución: Pakistán

Sectores objetivo: Las campañas de intrusión de APT36, que están activas desde, al menos, el 2013, reflejan un esfuerzo concertado para atacar a su rival regional, India, y también demuestran un interés en atacar a organizaciones militares y gubernamentales, como la Organización del Tratado del Atlántico Norte (OTAN) y las Naciones Unidas (ONU), que tienen intereses en la región. Además, APT36 ha atacado a múltiples industrias en países fuera de la región, incluido EE.UU.

Descripción general: APT36 es un actor de ciberespionaje de larga data que lleva a cabo la recopilación de inteligencia para respaldar los intereses militares y diplomáticos de Pakistán.

Software malicioso asociado: El grupo usa muchas familias de software malicioso, incluidos, sin limitaciones, MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT y SEEGAP.

Vectores de ataque: APT36 suele emplear ataques de phishing dirigido como método principal de compromiso inicial, con archivos adjuntos maliciosos que incluyen archivos ejecutables de Microsoft Windows y documentos de Microsoft Office (que aprovechan macros y exploits conocidos). Los señuelos de phishing de este actor suelen seguir temas militares y políticos. Además, observamos que estos agentes usan una técnica de abrevadero única que emplea ingeniería social (en lugar de vulnerabilidades web) para atraer a las víctimas a descargar y abrir documentos de Microsoft Office maliciosos.

APT 35

Sectores objetivo: personal militar, diplomático y gubernamental de EE.UU., Europa Occidental y Oriente Medio, organizaciones de medios, energía y bases industriales de defensa, y sectores de ingeniería, servicios comerciales y telecomunicaciones.

Descripción general: APT35 (también conocido como Newscaster Team) es un equipo de ciberespionaje patrocinado por el Gobierno iraní que lleva a cabo operaciones intensivas en cuanto a recursos y a largo plazo para recopilar inteligencia estratégica. Mandiant Threat Intelligence ha observado operaciones de APT35 que se remontan a 2014. Históricamente, APT35 ha dependido de herramientas apenas sofisticadas, como webshells disponibles públicamente y herramientas de prueba de penetración, lo que sugiere una capacidad de desarrollo relativamente incipiente. Sin embargo, la amplitud y el alcance de las operaciones de APT35, en particular en lo que se refiere a sus complejos esfuerzos de ingeniería social, probablemente indica que el grupo cuenta con recursos suficientes en otras áreas.

Software malicioso asociado: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Vectores de ataque: APT35 generalmente se basa en ataques de phishing dirigido para vulnerar inicialmente una organización, a menudo utilizando señuelos relacionados con la atención médica, las publicaciones de empleo, los currículums o las políticas de contraseñas. Sin embargo, también hemos observado que el grupo utiliza cuentas comprometidas con credenciales obtenidas de operaciones anteriores, vulneraciones estratégicas web y ataques de fuerza bruta inversa contra aplicaciones web con conexión externa como técnicas adicionales para obtener acceso inicial.

APT 32

Alias: OceanLotus Group

Posible atribución: Vietnam

Sectores objetivo: empresas extranjeras que invierten en los sectores de fabricación, productos de consumo, consultoría y hotelería de Vietnam

Descripción general: Las actividades recientes dirigidas a intereses privados en Vietnam sugieren que APT32 representa una amenaza para las empresas que hacen negocios, producen o se preparan para invertir en el país. Si bien la motivación específica para esta actividad sigue siendo oscura, en última instancia podría erosionar la ventaja competitiva de las organizaciones atacadas.

Software malicioso asociado: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vectores de ataque: los perpetradores de APT32 aprovechan los archivos ActiveMime que emplean métodos de ingeniería social para atraer a la víctima a fin de que habilite macros. Tras su ejecución, el archivo inicializado generalmente descarga múltiples cargas útiles maliciosas desde un servidor remoto. Los perpetradores de APT32 entregan los archivos adjuntos maliciosos a través de correos electrónicos de phishing dirigido. Las pruebas demuestran que parte de la información se envió a través de Gmail.

APT 1

Alias: Unit 61398, Comment Crew

Posible atribución: Tercer Departamento (总参三部二局) del Departamento de Staff General (GSD) del Ejército de Liberación Popular Chino (PLA), mejor conocido por su designador de cubierta de unidad militar (MUCD) como Unidad 61398 (61398部队).

Sectores objetivo: tecnología de la información, aeroespacial, administración pública, satélites y telecomunicaciones, investigación y consultoría científica, energía, transporte, construcción y fabricación, servicios de ingeniería, electrónica de alta tecnología, organizaciones internacionales, servicios legales, medios, publicidad, entretenimiento, navegación, productos químicos, servicios financieros, alimentos y agricultura, salud, metales y minería, educación

Descripción general: APT1 ha robado de forma sistemática cientos de terabytes de datos de al menos 141 organizaciones y ha demostrado la capacidad y la intención de robarles a docenas de organizaciones de forma simultánea. El grupo se centra en comprometer a organizaciones de una amplia variedad de industrias en países de habla inglesa. El tamaño de la infraestructura de APT1 implica una gran organización con al menos docenas de operadores humanos, pero posiblemente cientos de ellos.

Software malicioso asociado: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vectores de ataque: El método de ataque inicial observado con mayor frecuencia es el ataque de phishing dirigido. Los correos electrónicos de ataque de phishing dirigido contienen un archivo adjunto malicioso o un hipervínculo a un archivo malicioso. La línea del asunto y el texto del cuerpo del correo electrónico suelen ser relevantes para el destinatario. APT1 también crea cuentas de correo electrónico web con nombres de personas reales. Si bien los intrusos de APT1 a veces utilizan puertas traseras disponibles públicamente, como Poison Ivy y Gh0st RAT, la gran mayoría de las veces utilizan lo que parecen ser sus propias puertas traseras personalizadas. A lo largo de su permanencia en la red (lo que podría demorar años), APT1 generalmente instala puertas traseras nuevas a medida que afirman tener más sistemas en el entorno. Luego, si se descubre y se borra una puerta trasera, sigue teniendo otras puertas traseras que puede usar. Normalmente, detectamos varias familias de puertas traseras de APT1 dispersas alrededor de la red de la víctima cuando APT1 ha estado presente por más de unas pocas semanas.