Ancaman persisten tingkat lanjut (APT)

APT41

Dugaan atribusi: China

Sektor target: APT41 telah secara langsung menargetkan organisasi di setidaknya 14 negara sejak tahun 2012. Kampanye spionase kelompok ini menarget layanan kesehatan, telekomunikasi, dan sektor berteknologi tinggi, serta pernah mencakup pencurian kekayaan intelektual. Penyusupan kejahatan cyber mereka paling jelas terlihat pada sasaran industri video game, termasuk manipulasi mata uang virtual, dan percobaan deployment ransomware. Operasi APT41 terhadap pendidikan tinggi, layanan perjalanan, dan perusahaan berita/media memberikan beberapa indikasi bahwa kelompok tersebut juga melacak individu dan melakukan pengawasan.

Ringkasan: APT41 adalah kelompok ancaman cyber produktif yang melakukan aktivitas spionase yang disponsori negara China, selain aktivitas bermotivasi keuangan yang berpotensi di luar kendali negara.

Malware terkait: APT41 telah diamati menggunakan setidaknya 46 kelompok kode dan alat yang berbeda.

Vektor serangan: APT41 sering mengandalkan email spear phishing dengan lampiran seperti file HTML yang dikompilasi (.chm) untuk menyusupi korbannya terlebih dahulu. Setelah berada di organisasi korban, APT41 dapat memanfaatkan TTP yang lebih canggih dan men-deploy malware tambahan. Misalnya, dalam kampanye yang berjalan hampir setahun, APT41 menyusupi ratusan sistem dan menggunakan hampir 150 malware unik termasuk backdoor, pencuri kredensial, keylogger, dan rootkit. APT41 juga telah men-deploy rootkit dan bootkit Master Boot Record (MBR) secara terbatas untuk menyembunyikan malware mereka dan mempertahankan persistensi pada sistem korban tertentu.

Referensi lainnya

APT40

Dugaan atribusi: China

Sektor target: APT40 adalah kelompok spionase cyber China yang biasanya menarget negara-negara yang secara strategis penting bagi Belt and Road Initiative. Meskipun menargetkan organisasi global—terutama yang berfokus pada rekayasa dan pertahanan—kelompok ini juga pernah melakukan kampanye terhadap entitas regional di area seperti Asia Tenggara. Sejak Januari 2013, kelompok ini telah melakukan kampanye terhadap berbagai vertical, termasuk target maritim, pertahanan, penerbangan, bahan kimia, riset/pendidikan, pemerintah, dan organisasi teknologi.

Ringkasan: Mandiant Intelligence percaya bahwa operasi APT40 merupakan bagian cyber dari upaya China untuk memodernisasi kemampuan angkatan lautnya. Hal ini juga diwujudkan dalam menargetkan project riset berskala luas di universitas dan mendapatkan desain untuk peralatan dan kendaraan laut. Operasi kelompok ini cenderung menargetkan project yang disponsori pemerintah dan mengambil sejumlah besar informasi khusus untuk project tersebut, termasuk proposal, pertemuan, data keuangan, informasi pengiriman, rencana dan gambar, serta data mentah.

Malware terkait: APT40 telah diamati menggunakan setidaknya 51 kelompok kode berbeda. Dari jumlah tersebut, 37 di antaranya adalah non-publik. Setidaknya tujuh dari alat non-publik ini (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU, dan WIDETONE) dibagikan kepada operator China-nexus lainnya yang dicurigai.

Vektor serangan: APT40 biasanya berpura-pura sebagai individu terkenal yang mungkin berminat dengan target yang akan mengirim email spear phishing. Hal ini mencakup berpura-pura menjadi jurnalis, individu dari publikasi perdagangan, atau seseorang dari organisasi militer atau lembaga swadaya masyarakat (LSM) yang relevan. Dalam beberapa kasus, kelompok ini telah memanfaatkan alamat email yang sebelumnya disusupi untuk mengirim email spear phishing.

Referensi lainnya

APT31

Dugaan atribusi: China

Sektor target: Beberapa, termasuk pemerintah, organisasi keuangan internasional, dan organisasi kedirgantaraan dan pertahanan, serta teknologi tinggi, konstruksi dan rekayasa, telekomunikasi, media, dan asuransi.

Ringkasan: APT31 adalah aktor spionase cyber China-nexus yang berfokus untuk memperoleh informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah dan perusahaan milik negara China.

Malware terkait: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

Vektor serangan: APT31 telah mengeksploitasi kerentanan dalam aplikasi seperti Java dan Adobe Flash untuk membahayakan lingkungan korban.

APT30

Dugaan atribusi: China

Sektor target: Anggota Perhimpunan Bangsa-Bangsa Asia Tenggara (ASEAN)

Ringkasan: APT30 tidak hanya dikenal untuk aktivitas berkelanjutan dalam jangka waktu yang lama, tetapi juga karena berhasil memodifikasi dan menyesuaikan kode sumber untuk mempertahankan alat, taktik, dan infrastruktur yang sama setidaknya sejak tahun 2005. Bukti menunjukkan bahwa kelompok tersebut memprioritaskan target, kemungkinan besar bekerja secara bergantian dalam lingkungan yang kolaboratif, dan membangun malware dari rencana pengembangan yang koheren. Kelompok ini telah memiliki kemampuan untuk menginfeksi jaringan dengan air gap sejak tahun 2005.

Malware terkait: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Serangan vektor: APT30 menggunakan serangkaian alat yang mencakup downloader, backdoor, pengontrol pusat, dan beberapa komponen yang dirancang untuk menginfeksi drive yang dapat dilepas dan jaringan cross dengan air gap untuk mencuri data. APT30 sering mendaftarkan domain DNS-nya sendiri untuk aktivitas CnC malware.

APT27

Dugaan atribusi: China

Sektor target: APT27 telah menarget beberapa organisasi yang berkantor pusat di seluruh dunia, termasuk Amerika Utara dan Selatan, Eropa, serta Timur Tengah. Organisasi ini termasuk dalam berbagai industri yang berbeda, termasuk layanan bisnis, teknologi tinggi, pemerintah, dan energi; namun banyak yang terutama berada di industri kedirgantaraan dan transportasi atau perjalanan.

Ringkasan: APT27 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vektor serangan: APT27 sering menggunakan spear phishing sebagai metode penyusupan awal. Pelaku ancaman APT27 tidak dikenal karena menggunakan eksploit zero-day asli, tetapi mereka dapat memanfaatkan eksploit tersebut setelah dipublikasikan. Setidaknya dalam satu kasus, pelaku APT27 menggunakan akun yang disusupi di satu organisasi korban untuk mengirim email spear phishing ke korban lain dalam industri serupa. Selain itu, APT27 dapat menyusupi aplikasi web yang rentan untuk mendapatkan dukungan awal.

APT26

Dugaan atribusi: China

Sektor target: Sektor kedirgantaraan, pertahanan, energi, dan lain-lain

Ringkasan: APT26 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vektor serangan: Kelompok ini sering menggunakan penyusupan web strategis untuk mendapatkan akses ke jaringan target dan backdoor kustom setelah berada di dalam lingkungan korban.

APT25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Dugaan atribusi: China

Sektor target: Sektor basis industri pertahanan, media, jasa keuangan, dan transportasi di Amerika Serikat dan Eropa.

Ringkasan: APT25 terlibat dalam operasi cyber dengan sasaran pencurian data.

Malware terkait: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vektor serangan: APT25 secara historis menggunakan spear phishing dalam operasinya, termasuk pesan yang berisi lampiran berbahaya dan hyperlink berbahaya. Pelaku ancaman APT25 biasanya tidak menggunakan eksploit zero-day, tetapi dapat memanfaatkan eksploitasi tersebut setelah dipublikasikan.

APT24

Alias: PittyTiger

Dugaan atribusi: China

Sektor target: APT24 telah menarget berbagai industri, termasuk organisasi di industri pemerintah, layanan kesehatan, konstruksi dan rekayasa, pertambangan, lembaga nonprofit, dan industri telekomunikasi.

Ringkasan: Kelompok ini diketahui memiliki organisasi target yang berkantor pusat di negara-negara termasuk AS dan Taiwan. Secara historis, APT24 menggunakan utilitas arsip RAR untuk mengenkripsi dan mengompresi data yang dicuri sebelum mentransfernya keluar dari jaringan. Pencurian data yang diambil tanpa izin dari pelaku ini utamanya berfokus pada dokumen-dokumen yang memiliki signifikansi politik, yang menunjukkan tujuannya adalah memantau posisi berbagai negara bangsa dalam masalah yang berlaku terkait sengketa teritorial atau kedaulatan Tiongkok yang sedang berlangsung.

Malware terkait: PITTYTIGER, ENFAL, TAIDOOR

Vektor serangan: APT24 telah menggunakan email phishing yang menggunakan tema militer, energi terbarukan, atau strategi bisnis sebagai umpan. Selain itu, APT24 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

APT23

Dugaan atribusi: China

Sektor target: Media dan pemerintah di Amerika Serikat dan Filipina

Ringkasan: APT23 telah mencuri informasi yang memiliki kepentingan politik dan militer, bukan kekayaan intelektual. Hal ini mengindikasikan bahwa APT23 mungkin melakukan pencurian data untuk mendukung operasi spionase yang lebih konvensional.

Malware terkait: NONGMIN

Vektor serangan: APT23 telah menggunakan pesan spear phishing untuk menyusupi jaringan korban, termasuk umpan phishing terkait pendidikan. Pelaku APT23 tidak diketahui menggunakan eksploit zero-day, tetapi kelompok ini telah memanfaatkan eksploit tersebut setelah dipublikasikan.

APT22

Alias: Barista

Dugaan atribusi: China

Sektor target: serangkaian entitas politik, militer, dan ekonomi di Asia Timur, Eropa, dan Amerika Serikat

Ringkasan: Kami yakin APT22 memiliki hubungan dengan China dan telah beroperasi setidaknya sejak awal tahun 2014, yang melakukan intrusi dan aktivitas serangan terhadap entitas sektor publik dan swasta, termasuk pemberontak.

Malware terkait: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

Vektor serangan: Pelaku ancaman APT22 telah menggunakan penyusupan web strategis untuk mengeksploitasi target kepentingan secara pasif. Pelaku APT22 juga telah mengidentifikasi server web rentan yang ditampilkan ke publik di jaringan korban dan mengupload webshell untuk mendapatkan akses ke jaringan korban.

APT21

Alias: Zhenbao

Dugaan atribusi: China

Sektor target: Pemerintah

Ringkasan: APT21 memanfaatkan lampiran strategis berbahasa Rusia bertema masalah keamanan nasional dalam dokumen umpan. Sebelumnya, konten manipulasi psikologis menunjukkan operasi spionase cyber yang berupaya mendapatkan akses tidak sah ke informasi yang dilindungi terkait keamanan negara di Rusia. Analisis teknik APT21 menunjukkan bahwa area fokus mereka yang lain adalah kelompok pemberontak yang mencari otonomi atau kemerdekaan lebih besar dari China, seperti kelompok dari Tibet atau Xinjiang.

Malware terkait: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

Vektor serangan: APT21 memanfaatkan pesan email spear phishing dengan lampiran berbahaya, link ke file, atau halaman web berbahaya. Mereka juga telah menggunakan kompromi web strategis (SWC) untuk menyasar calon korban. APT21 sering menggunakan dua backdoor yang dikenal sebagai TRAVELNET dan TEMPFUN. Secara signifikan, APT21 biasanya menggunakan backdoor kustom, jarang menggunakan alat yang tersedia untuk umum.

APT20

Alias: Twivy

Dugaan atribusi: China

Sektor target: Konstruksi dan rekayasa, layanan kesehatan, organisasi nonprofit, basis industri pertahanan, serta perusahaan riset dan produksi kimia.

Ringkasan: APT20 terlibat dalam operasi cyber dengan sasaran pencurian data. APT20 melakukan pencurian kekayaan intelektual, tetapi juga tampak tertarik untuk mencuri data dari atau memantau aktivitas individu dengan kepentingan politik tertentu. Berdasarkan data yang tersedia, kami menilai bahwa ini adalah kelompok pekerja lepas dengan beberapa sponsor negara bagian yang berlokasi di China.

Malware terkait: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

Vektor serangan: Penggunaan penyusupan web strategis oleh APT20 memberikan insight tentang kemungkinan target kedua. Banyak SWC APT20 dihosting di situs web (termasuk situs berbahasa China) yang membahas masalah seperti demokrasi, hak asasi manusia, kebebasan pers, etnis minoritas di China, dan masalah lainnya.

APT19

Juga dikenal sebagai: Tim Codoso

Dugaan atribusi: China

Sektor target: hukum dan investasi

Ringkasan: Sebuah kelompok yang kemungkinan terdiri dari pekerja lepas, dengan sebagian tingkat sponsor oleh pemerintah China.

Malware terkait: BEACON, COBALTSTRIKE

Vektor serangan: Pada tahun 2017, APT19 menggunakan tiga teknik berbeda untuk mencoba menyusupi target. Pada awal bulan Mei, umpan phishing memanfaatkan lampiran RTF yang mengeksploitasi kerentanan Microsoft Windows yang dijelaskan dalam CVE 2017-0199. Menjelang akhir Mei, APT19 beralih menggunakan dokumen Microsoft Excel (XLSM) dengan kemampuan makro. Dalam versi terbaru, APT19 menambahkan pengabaian daftar aman aplikasi ke dokumen XLSM. Setidaknya satu umpan phishing yang diamati mengirimkan payload Cobalt Strike.

APT18

Juga dikenal sebagai: Wekby

Dugaan atribusi: China

Sektor target: kedirgantaraan dan pertahanan, konstruksi dan rekayasa, pendidikan, kesehatan dan bioteknologi, teknologi tinggi, telekomunikasi, transportasi

Ringkasan: Sangat sedikit yang telah dirilis secara publik tentang kelompok ini.

Malware terkait: Gh0st RAT

Vektor serangan: Eksploit zero-day yang sering dikembangkan atau diadaptasi untuk operasi, yang kemungkinan telah direncanakan sebelumnya. Data yang digunakan dari kebocoran Tim Peretasan, yang menunjukkan bagaimana kelompok tersebut dapat mengalihkan resource (seperti, memilih target, menyiapkan infrastruktur, membuat pesan, mengupdate alat) untuk memanfaatkan peluang tidak terduga seperti eksploit yang baru diekspos.

Referensi tambahan: blog – Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak

APT17

Juga dikenal sebagai: Tim Tailgator, Deputy Dog

Dugaan atribusi: China

Sektor target: Pemerintah AS dan firma hukum internasional serta perusahaan teknologi informasi

Ringkasan: Melakukan intrusi jaringan terhadap organisasi yang ditargetkan.

Malware terkait: BLACKCOFFEE

Vektor serangan: Kelompok ancaman memanfaatkan kemampuan untuk membuat profil dan memposting di forum untuk menyematkan CnC yang dienkode agar dapat digunakan dengan varian malware yang digunakan. Teknik ini dapat mempersulit profesional keamanan jaringan untuk menentukan lokasi CnC yang sebenarnya, dan memungkinkan infrastruktur CnC tetap aktif untuk jangka waktu yang lebih lama.

APT16

Dugaan atribusi: China

Sektor target: Organisasi Jepang dan Taiwan di industri teknologi tinggi, layanan pemerintah, media, dan jasa keuangan

Ringkasan: Kelompok yang berbasis di China yang peduli dengan masalah politik dan jurnalistik Taiwan.

Malware terkait: IRONHALO, ELMER

Vektor serangan: Email spear phishing yang dikirim ke organisasi media dan alamat email web Taiwan. Dokumen umpan berisi petunjuk untuk pendaftaran dan listingan barang selanjutnya di situs lelang Taiwan.

APT15

Dugaan atribusi: China

Sektor target: Target global dalam sektor perdagangan, ekonomi dan keuangan, energi, serta militer untuk mendukung kepentingan pemerintah China.

Ringkasan: APT15 menargetkan organisasi yang berkantor pusat di beberapa lokasi, termasuk sejumlah negara Eropa, AS, dan Afrika Selatan. Operator APT15 berbagi resource, termasuk backdoor dan infrastruktur, dengan APT China lainnya.

Malware terkait: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE

Vektor serangan: APT15 biasanya menggunakan email spear phishing yang dikembangkan dengan baik untuk penyusupan awal terhadap target global di berbagai sektor yang penting bagi pemerintah China. Secara signifikan, APT15 menggunakan backdoor dan infrastruktur yang tidak unik bagi kelompoknya, sehingga membuat atribusi menjadi sulit.

APT14

Dugaan atribusi: China

Sektor target: pemerintah, telekomunikasi, serta konstruksi dan rekayasa

Ringkasan: APT14 terlibat dalam operasi cyber dengan sasaran pencurian data, dengan kemungkinan fokus pada peralatan, operasi, serta kebijakan militer dan maritim. Kami percaya bahwa data yang dicuri, khususnya spesifikasi peralatan komunikasi satelit dan enkripsi, dapat digunakan untuk meningkatkan operasi militer, seperti mencegat sinyal atau mengganggu jaringan komunikasi satelit militer.

Malware terkait: Gh0st, POISONIVY, CLUBSEAT, GROOVY

Vektor serangan: Pelaku ancaman APT14 cenderung tidak menggunakan eksploit zero-day, tetapi dapat memanfaatkan eksploit tersebut setelah dipublikasikan. Mereka dapat memanfaatkan alat mailer SMTP kustom untuk mengirim pesan spear phishing. Pesan phishing APT14 sering kali dibuat seolah-olah berasal dari organisasi tepercaya.

APT12

Juga dikenal sebagai: Tim Calc

Dugaan atribusi: China

Sektor target: Jurnalis, pemerintah, markas industri pertahanan

Ringkasan: APT12 diyakini sebagai kelompok spionase cyber yang diduga terkait dengan Tentara Pembebasan Rakyat China. Target APT12 konsisten dengan sasaran Republik Rakyat China (PRC) yang lebih luas. Penyusupan dan kampanye yang dilakukan oleh kelompok ini sejalan dengan sasaran dan minat pribadi RRC di Taiwan.

Malware terkait: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vektor serangan: Mandiant mengamati APT12 mengirimkan dokumen eksploit ini melalui email phishing dari akun yang valid tetapi disusupi. Berdasarkan aktivitas APT12 sebelumnya, kami memperkirakan kelompok ancaman tersebut akan terus menggunakan phishing sebagai metode pengiriman malware.

Referensi lainnya

APT10

Juga dikenal sebagai: Tim Menupass

Dugaan atribusi: China

Sektor target: perusahaan konstruksi dan rekayasa, kedirgantaraan, dan telekomunikasi, serta pemerintah di Amerika Serikat, Eropa, dan Jepang

Ringkasan: APT10 adalah kelompok spionase cyber China yang telah dilacak Mandiant sejak tahun 2009. Secara historis, mereka menargetkan perusahaan konstruksi dan rekayasa, kedirgantaraan, dan telekomunikasi, serta pemerintah di Amerika Serikat, Eropa, dan Jepang. Kami yakin bahwa penargetan industri ini telah mendukung sasaran keamanan nasional China, termasuk memperoleh informasi militer dan intelijen yang berharga serta pencurian data bisnis rahasia untuk mendukung perusahaan China.

Malware terkait: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vektor serangan: Aktivitas APT10 terbaru ini mencakup spear phishing tradisional dan akses ke jaringan korban melalui penyedia layanan terkelola. (Untuk informasi selengkapnya tentang infeksi melalui penyedia layanan, lihat M-Trends 2016.) Spear phishing APT10 relatif tidak canggih, memanfaatkan file .lnk dalam arsip, file dengan ekstensi ganda (misalnya, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) dan dalam beberapa kasus hanya identik bernama dokumen umpan dan peluncur berbahaya dalam arsip yang sama. Selain spear phishing, Mandiant Threat Intelligence telah mengamati APT10 yang mengakses korban melalui penyedia layanan global.

Referensi lainnya

Referensi lainnya

APT9

Atribusi yang dicurigai: Berdasarkan data yang tersedia, kami menilai bahwa ini adalah kelompok pekerja lepas dengan beberapa sponsor dari negara bagian, kemungkinan melalui China.

Sektor target: Organisasi yang berkantor pusat di berbagai negara dan di industri, seperti layanan kesehatan dan farmasi, konstruksi dan rekayasa, serta kedirgantaraan dan pertahanan.

Ringkasan: APT9 terlibat dalam operasi cyber dengan sasaran pencurian data, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vektor serangan: APT9 secara historis sangat aktif dalam industri farmasi dan bioteknologi. Kami mendapati bahwa pelaku ini menggunakan spear phishing, akun yang valid, serta layanan jarak jauh untuk akses awal. Setidaknya dalam satu kesempatan, Mandiant mengamati APT9 di dua perusahaan di industri bioteknologi dan menduga bahwa pelaku APT9 mungkin telah memperoleh akses awal ke salah satu perusahaan dengan menggunakan hubungan tepercaya antara kedua perusahaan tersebut. APT9 menggunakan berbagai backdoor, termasuk backdoor yang tersedia untuk umum, serta backdoor yang diyakini kustom, tetapi digunakan oleh beberapa grup APT.

APT 8

Dugaan atribusi: China

Sektor target: Berbagai industri, termasuk media dan hiburan, konstruksi dan rekayasa, serta kedirgantaraan dan pertahanan.

Ringkasan: APT8 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya. Kami menilai bahwa ini adalah kelompok pekerja lepas yang berlokasi di China dengan beberapa sponsor dari negara bagian. APT8 menargetkan organisasi yang berkantor pusat di beberapa negara, termasuk Amerika Serikat, Jerman, Inggris Raya, India, dan Jepang.

Malware terkait: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vektor serangan: Pelaku APT8 sering menggunakan pesan email spear phishing dengan lampiran atau link berbahaya, atau mengeksploitasi server web yang rentan dan terhubung ke internet untuk menyusupi organisasi target. Selain itu, dalam beberapa penyusupan, pelaku APT8 mengirimkan link berbahaya kepada calon korban menggunakan chat atau program pesan instan.

APT 7

Dugaan atribusi: China

Sektor target: Konstruksi, rekayasa, kedirgantaraan, dan markas industri pertahanan

Ringkasan: APT7 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya. Kelompok ini diketahui telah menargetkan organisasi yang berkantor pusat di AS dan Inggris Raya.

Malware terkait: DIGDUG, TRACKS

Vektor serangan: Pelaku ancaman APT7 telah menggunakan akses ke satu organisasi untuk menyusup ke organisasi lain di bawah induk perusahaan yang sama. Ini adalah bentuk pergerakan lateral, tetapi dalam kasus ini juga merupakan metode penyusupan awal untuk organisasi kedua.

APT6

Dugaan atribusi: China

Sektor target: Transportasi, otomotif, konstruksi dan rekayasa, telekomunikasi, elektronik, konstruksi, dan material

Ringkasan: APT6 terlibat dalam operasi cyber dengan sasaran pencurian data, kemungkinan besar data dan project yang membuat organisasi menjadi kompetitif di bidangnya. APT6 menargetkan organisasi yang berkantor pusat di AS dan Inggris Raya.

Malware terkait: BELUGA, EXCHAIN, PUPTENT

Vektor serangan: APT6 menggunakan beberapa backdoor kustom, termasuk beberapa yang digunakan oleh kelompok APT lain serta yang unik untuk kelompok tersebut.

APT 5

Dugaan atribusi: China

Sektor target: Penyedia telekomunikasi regional, karyawan perusahaan teknologi dan telekomunikasi global yang berbasis di Asia, manufaktur berteknologi tinggi, dan teknologi aplikasi militer di AS, Eropa, dan Asia.

Ringkasan: APT5 telah aktif sejak setidaknya tahun 2007. APT5 telah menargetkan atau menerobos organisasi di berbagai industri, tetapi fokusnya adalah perusahaan telekomunikasi dan teknologi, khususnya informasi tentang komunikasi satelit. Pada awal tahun 2014, Mandiant Incident Response menemukan APT5 yang melakukan modifikasi kode tanpa izin pada file dalam sistem operasi tersemat dari platform teknologi lain. Pada tahun 2015, APT5 menyusupi organisasi telekomunikasi AS yang menyediakan layanan dan teknologi untuk entitas swasta dan pemerintah. Selama penyusupan ini, pelaku mendownload dan memodifikasi beberapa image router yang terkait dengan router jaringan perusahaan. Selama periode ini, APT5 juga mencuri file yang terkait dengan teknologi militer dari organisasi pertahanan Asia Selatan. Nama file yang diamati menunjukkan bahwa para pelaku tertarik dengan spesifikasi produk, email terkait produk teknis, penawaran dan proposal pengadaan, serta dokumen tentang kendaraan udara tanpa awak (UAV).

Malware terkait: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vektor serangan: Tampaknya berupa kelompok ancaman besar yang terdiri dari beberapa subkelompok, sering kali dengan taktik dan infrastruktur yang berbeda. Kelompok ini menggunakan malware dengan kemampuan keylogging untuk secara khusus menyasar jaringan perusahaan, karyawan, dan eksekutif dari perusahaan telekomunikasi. APT5 telah menunjukkan minat yang signifikan untuk membahayakan perangkat jaringan dan memanipulasi software dasar yang mendukung peralatan ini.

APT 4

Alias: Maverick Panda, Sykipot Group, Wisp

Dugaan atribusi: China

Sektor target: Kedirgantaraan dan pertahanan, rekayasa industri, elektronik, otomotif, pemerintah, telekomunikasi, dan transportasi

Ringkasan: APT4 tampaknya menargetkan pangkalan industri pertahanan (DIB) pada tingkat frekuensi yang lebih tinggi dibandingkan organisasi komersial lainnya. Namun, sejarah APT4 tentang penyusupan tertarget memiliki cakupan yang luas.

Malware terkait: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vektor serangan: Pelaku APT4 sering memanfaatkan pesan spear phishing menggunakan tema dasar pertahanan industri, Departemen Pertahanan, atau pemerintah AS. Pelaku APT4 dapat menggunakan kembali konten valid dari situs pemerintah atau Departemen Pertahanan Amerika Serikat dalam isi pesan mereka untuk memberikan legitimasi kepada mereka.

APT 3

Alias: UPS Team

Dugaan atribusi: China

Sektor target: kedirgantaraan dan pertahanan, konstruksi dan rekayasa, teknologi tinggi, telekomunikasi, transportasi

Ringkasan: Kelompok ancaman berbasis di China yang dilacak Mandiant sebagai APT3 adalah salah satu kelompok ancaman yang lebih canggih yang dilacak Mandiant Threat Intelligence, dan mereka memiliki histori dalam menggunakan eksploit berbasis browser sebagai zero-day (misalnya, Internet Explorer, Firefox, dan Adobe Flash Player). Setelah berhasil mengeksploitasi host target, kelompok ini akan segera membuang kredensial, berpindah secara lateral ke host tambahan, dan menginstal backdoor kustom. Infrastruktur perintah dan kontrol (CnC) APT3 sulit dilacak, karena hanya ada sedikit tumpang tindih di seluruh kampanye.

Malware terkait: SHOTPUT, COOKIECUTTER, SOGU

Vektor serangan: Email phishing yang digunakan oleh APT3 biasanya bersifat umum, hampir terlihat seperti spam. Serangan telah mengeksploitasi kerentanan yang tidak di-patch dalam cara Adobe Flash Player mengurai file Flash Video (FLV). Eksploit ini menggunakan teknik korupsi vektor umum untuk melewati Address Space Layout Randomization (ASLR), dan menggunakan return-oriented programming (ROP) untuk melewati Data Execution Prevention (DEP). Trik yang rapi pada teknik ROP mereka membuatnya lebih mudah dieksploitasi dan akan menghindari beberapa teknik deteksi ROP. Shellcode disimpan dalam file eksploit Adobe Flash Player yang dipaketkan bersama kunci yang digunakan untuk dekripsinya. Payload ini dienkode xor dan disembunyikan di dalam image.

Referensi lainnya

Referensi lainnya

APT 2

Dugaan atribusi: China

Sektor target: Militer dan kedirgantaraan

Ringkasan: Kelompok ini pertama kali diamati pada tahun 2010. APT2 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya.

Malware terkait: MOOSE, WARP

Vektor serangan: Email spear phishing yang mengeksploitasi CVE-2012-0158.

APT 30

Dugaan atribusi: China

Sektor target: Anggota Perhimpunan Bangsa-Bangsa Asia Tenggara (ASEAN)

Ringkasan: APT30 tidak hanya dikenal untuk aktivitas berkelanjutan dalam jangka waktu yang lama, tetapi juga karena berhasil memodifikasi dan menyesuaikan kode sumber untuk mempertahankan alat, taktik, dan infrastruktur yang sama setidaknya sejak tahun 2005. Bukti menunjukkan bahwa kelompok tersebut memprioritaskan target, kemungkinan besar bekerja secara bergantian dalam lingkungan yang kolaboratif, dan membangun malware dari rencana pengembangan yang koheren. Kelompok ini telah memiliki kemampuan untuk menginfeksi jaringan dengan air gap sejak tahun 2005.

Malware terkait: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Serangan vektor: APT30 menggunakan serangkaian alat yang mencakup downloader, backdoor, pengontrol pusat, dan beberapa komponen yang dirancang untuk menginfeksi drive yang dapat dilepas dan jaringan cross dengan air gap untuk mencuri data. APT30 sering mendaftarkan domain DNS-nya sendiri untuk aktivitas CnC malware.

APT 27

Dugaan atribusi: China

Sektor target: APT27 telah menarget beberapa organisasi yang berkantor pusat di seluruh dunia, termasuk Amerika Utara dan Selatan, Eropa, serta Timur Tengah. Organisasi ini termasuk dalam berbagai industri yang berbeda, termasuk layanan bisnis, teknologi tinggi, pemerintah, dan energi; namun banyak yang terutama berada di industri kedirgantaraan dan transportasi atau perjalanan.

Ringkasan: APT27 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

Vektor serangan: APT27 sering menggunakan spear phishing sebagai metode penyusupan awal. Pelaku ancaman APT27 tidak dikenal karena menggunakan eksploit zero-day asli, tetapi mereka dapat memanfaatkan eksploit tersebut setelah dipublikasikan. Setidaknya dalam satu kasus, pelaku APT27 menggunakan akun yang disusupi di satu organisasi korban untuk mengirim email spear phishing ke korban lain dalam industri serupa. Selain itu, APT27 dapat menyusupi aplikasi web yang rentan untuk mendapatkan dukungan awal.

APT 26

Dugaan atribusi: China

Sektor target: Sektor kedirgantaraan, pertahanan, energi, dan lain-lain

Ringkasan: APT26 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

Vektor serangan: Kelompok ini sering menggunakan penyusupan web strategis untuk mendapatkan akses ke jaringan target dan backdoor kustom setelah berada di dalam lingkungan korban.

APT 25

Alias: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

Dugaan atribusi: China

Sektor target: Sektor basis industri pertahanan, media, jasa keuangan, dan transportasi di Amerika Serikat dan Eropa.

Ringkasan: APT25 terlibat dalam operasi cyber dengan sasaran pencurian data.

Malware terkait: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

Vektor serangan: APT25 secara historis menggunakan spear phishing dalam operasinya, termasuk pesan yang berisi lampiran berbahaya dan hyperlink berbahaya. Pelaku ancaman APT25 biasanya tidak menggunakan eksploit zero-day, tetapi dapat memanfaatkan eksploitasi tersebut setelah dipublikasikan.

APT 24

Alias: PittyTiger

Dugaan atribusi: China

Sektor target: APT24 telah menarget berbagai industri, termasuk organisasi di industri pemerintah, layanan kesehatan, konstruksi dan rekayasa, pertambangan, lembaga nonprofit, dan industri telekomunikasi.

Ringkasan: Kelompok ini diketahui memiliki organisasi target yang berkantor pusat di negara-negara termasuk AS dan Taiwan. Secara historis, APT24 menggunakan utilitas arsip RAR untuk mengenkripsi dan mengompresi data yang dicuri sebelum mentransfernya keluar dari jaringan. Pencurian data yang diambil tanpa izin dari pelaku ini utamanya berfokus pada dokumen-dokumen yang memiliki signifikansi politik, yang menunjukkan tujuannya adalah memantau posisi berbagai negara bangsa dalam masalah yang berlaku terkait sengketa teritorial atau kedaulatan Tiongkok yang sedang berlangsung.

Malware terkait: PITTYTIGER, ENFAL, TAIDOOR

Vektor serangan: APT24 telah menggunakan email phishing yang menggunakan tema militer, energi terbarukan, atau strategi bisnis sebagai umpan. Selain itu, APT24 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

APT 23

Dugaan atribusi: China

Sektor target: media dan pemerintah di Amerika Serikat dan Filipina

Ringkasan: APT23 telah mencuri informasi yang memiliki kepentingan politik dan militer, bukan kekayaan intelektual. Hal ini mengindikasikan bahwa APT23 mungkin melakukan pencurian data untuk mendukung operasi spionase yang lebih konvensional.

Malware terkait: NONGMIN

Vektor serangan: APT23 telah menggunakan pesan spear phishing untuk menyusupi jaringan korban, termasuk umpan phishing terkait pendidikan. Pelaku APT23 tidak diketahui menggunakan eksploit zero-day, tetapi kelompok ini telah memanfaatkan eksploit tersebut setelah dipublikasikan.

APT 12

Juga dikenal sebagai: Tim Calc

Dugaan atribusi: China

Sektor target: jurnalis, pemerintah, markas industri pertahanan

Ringkasan: APT12 diyakini sebagai kelompok spionase cyber yang diduga terkait dengan Tentara Pembebasan Rakyat China. Target APT12 konsisten dengan sasaran Republik Rakyat China (PRC) yang lebih luas. Penyusupan dan kampanye yang dilakukan oleh kelompok ini sejalan dengan sasaran dan minat pribadi RRC di Taiwan.

Malware terkait: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vektor serangan: Mandiant mengamati APT12 mengirimkan dokumen eksploit ini menggunakan email phishing dari akun yang valid tetapi disusupi. Berdasarkan aktivitas APT12 sebelumnya, kami memperkirakan kelompok ancaman tersebut akan terus menggunakan phishing sebagai metode pengiriman malware.

Referensi lainnya

APT 10

Juga dikenal sebagai: Tim Menupass

Dugaan atribusi: China

Sektor target: perusahaan konstruksi dan rekayasa, kedirgantaraan, dan telekomunikasi, serta pemerintah di Amerika Serikat, Eropa, dan Jepang

Ringkasan: APT10 adalah kelompok spionase cyber China yang telah dilacak Mandiant sejak tahun 2009. Secara historis, mereka menargetkan perusahaan konstruksi dan rekayasa, kedirgantaraan, dan telekomunikasi, serta pemerintah di Amerika Serikat, Eropa, dan Jepang. Kami yakin bahwa penargetan industri ini telah mendukung sasaran keamanan nasional China, termasuk memperoleh informasi militer dan intelijen yang berharga serta pencurian data bisnis rahasia untuk mendukung perusahaan China.

Malware terkait: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vektor serangan: Aktivitas APT10 terbaru ini mencakup spear phishing tradisional dan akses ke jaringan korban melalui penyedia layanan terkelola. (Untuk informasi selengkapnya tentang infeksi menggunakan penyedia layanan, lihat M-Trends 2016.) Spear phishing APT10 relatif tidak canggih, memanfaatkan file .lnk dalam arsip, file dengan ekstensi ganda (misalnya, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) dan dalam beberapa kasus hanya identik bernama dokumen umpan dan peluncur berbahaya dalam arsip yang sama. Selain spear phishing, Mandiant Threat Intelligence telah mengamati APT10 yang mengakses korban melalui penyedia layanan global.

Referensi lainnya

Referensi lainnya

APT 9

Atribusi yang dicurigai: Berdasarkan data yang tersedia, kami menilai bahwa ini adalah kelompok pekerja lepas dengan beberapa sponsor dari negara bagian, kemungkinan melalui China.

Sektor target: Organisasi yang berkantor pusat di berbagai negara dan di industri, seperti layanan kesehatan dan farmasi, konstruksi dan rekayasa, serta kedirgantaraan dan pertahanan.

Ringkasan: APT9 terlibat dalam operasi cyber dengan sasaran pencurian data, yang biasanya berfokus pada data dan project yang membuat organisasi tertentu kompetitif di bidangnya.

Malware terkait: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

Vektor serangan: APT9 secara historis sangat aktif dalam industri farmasi dan bioteknologi. Kami mendapati bahwa pelaku ini menggunakan spear phishing, akun yang valid, serta layanan jarak jauh untuk akses awal. Setidaknya dalam satu kesempatan, Mandiant mengamati APT9 di dua perusahaan di industri bioteknologi dan menduga bahwa pelaku APT9 mungkin telah memperoleh akses awal ke salah satu perusahaan dengan menggunakan hubungan tepercaya antara kedua perusahaan tersebut. APT9 menggunakan berbagai backdoor, termasuk backdoor yang tersedia untuk umum, serta backdoor yang diyakini kustom, tetapi digunakan oleh beberapa grup APT.

APT 8

Dugaan atribusi: China

Sektor target: Berbagai industri, termasuk media dan hiburan, konstruksi dan rekayasa, serta kedirgantaraan dan pertahanan.

Ringkasan: APT8 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya. Kami menilai bahwa ini adalah kelompok pekerja lepas yang berlokasi di China dengan beberapa sponsor dari negara bagian. APT8 menargetkan organisasi yang berkantor pusat di beberapa negara, termasuk Amerika Serikat, Jerman, Inggris Raya, India, dan Jepang.

Malware terkait: HASH, FLYZAP, GOLFPRO, SAFEPUTT

Vektor serangan: Pelaku APT8 sering menggunakan pesan email spear phishing dengan lampiran atau link berbahaya, atau mengeksploitasi server web yang rentan dan terhubung ke internet untuk menyusupi organisasi target. Selain itu, dalam beberapa penyusupan, pelaku APT8 mengirimkan link berbahaya kepada calon korban menggunakan chat atau program pesan instan.

APT 7

Dugaan atribusi: China

Sektor target: konstruksi, rekayasa, kedirgantaraan, dan markas industri pertahanan

Ringkasan: APT7 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya. Kelompok ini diketahui telah menargetkan organisasi yang berkantor pusat di AS dan Inggris Raya.

Malware terkait: DIGDUG, TRACKS

Vektor serangan: Pelaku ancaman APT7 telah menggunakan akses ke satu organisasi untuk menyusup ke organisasi lain di bawah induk perusahaan yang sama. Ini adalah bentuk pergerakan lateral, tetapi dalam kasus ini juga merupakan metode penyusupan awal untuk organisasi kedua.

APT 6

Dugaan atribusi: China

Sektor target: transportasi, otomotif, konstruksi dan rekayasa, telekomunikasi, elektronik, konstruksi, dan material

Ringkasan: APT6 terlibat dalam operasi cyber dengan sasaran pencurian data, kemungkinan besar data dan project yang membuat organisasi menjadi kompetitif di bidangnya. APT6 menargetkan organisasi yang berkantor pusat di AS dan Inggris Raya.

Malware terkait: BELUGA, EXCHAIN, PUPTENT

Vektor serangan: APT6 menggunakan beberapa backdoor kustom, termasuk beberapa yang digunakan oleh kelompok APT lain serta yang unik untuk kelompok tersebut.

APT 5

Dugaan atribusi: China

Sektor target: Penyedia telekomunikasi regional, karyawan perusahaan teknologi dan telekomunikasi global yang berbasis di Asia, manufaktur berteknologi tinggi, dan teknologi aplikasi militer di AS, Eropa, dan Asia.

Ringkasan: APT5 telah aktif sejak setidaknya tahun 2007. APT5 telah menargetkan atau menerobos organisasi di berbagai industri, tetapi fokusnya adalah perusahaan telekomunikasi dan teknologi, khususnya informasi tentang komunikasi satelit. Pada awal tahun 2014, Mandiant Incident Response menemukan APT5 yang melakukan modifikasi kode tanpa izin pada file dalam sistem operasi tersemat dari platform teknologi lain. Pada tahun 2015, APT5 menyusupi organisasi telekomunikasi AS yang menyediakan layanan dan teknologi untuk entitas swasta dan pemerintah. Selama penyusupan ini, pelaku mendownload dan memodifikasi beberapa image router yang terkait dengan router jaringan perusahaan. Selama periode ini, APT5 juga mencuri file yang terkait dengan teknologi militer dari organisasi pertahanan Asia Selatan. Nama file yang diamati menunjukkan bahwa para pelaku tertarik dengan spesifikasi produk, email terkait produk teknis, penawaran dan proposal pengadaan, serta dokumen tentang kendaraan udara tanpa awak (UAV).

Malware terkait: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

Vektor serangan: Tampaknya berupa kelompok ancaman besar yang terdiri dari beberapa subkelompok, sering kali dengan taktik dan infrastruktur yang berbeda. Kelompok ini menggunakan malware dengan kemampuan keylogging untuk secara khusus menyasar jaringan perusahaan, karyawan, dan eksekutif dari perusahaan telekomunikasi. APT5 telah menunjukkan minat yang signifikan untuk membahayakan perangkat jaringan dan memanipulasi software dasar yang mendukung peralatan ini.

APT 4

Alias: Maverick Panda, Sykipot Group, Wisp

Dugaan atribusi: China

Sektor target: kedirgantaraan dan pertahanan, rekayasa industri, elektronik, otomotif, pemerintah, telekomunikasi, dan transportasi

Ringkasan: APT4 tampaknya menargetkan pangkalan industri pertahanan (DIB) pada tingkat frekuensi yang lebih tinggi dibandingkan organisasi komersial lainnya. Namun, sejarah APT4 tentang penyusupan tertarget memiliki cakupan yang luas.

Malware terkait: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

Vektor serangan: Pelaku APT4 sering memanfaatkan pesan spear phishing menggunakan tema dasar pertahanan industri, Departemen Pertahanan, atau pemerintah AS. Pelaku APT4 dapat menggunakan kembali konten valid dari situs pemerintah atau Departemen Pertahanan Amerika Serikat dalam isi pesan mereka untuk memberikan legitimasi kepada mereka.

APT 3

Alias: UPS Team

Dugaan atribusi: China

Sektor target: kedirgantaraan dan pertahanan, konstruksi dan rekayasa, teknologi tinggi, telekomunikasi, transportasi

Ringkasan: Kelompok ancaman berbasis di China yang dilacak Mandiant sebagai APT3 adalah salah satu kelompok ancaman yang lebih canggih yang dilacak Mandiant Threat Intelligence, dan mereka memiliki histori dalam menggunakan eksploit berbasis browser sebagai zero-day (misalnya, Internet Explorer, Firefox, dan Adobe Flash Player). Setelah berhasil mengeksploitasi host target, kelompok ini akan segera membuang kredensial, berpindah secara lateral ke host tambahan, dan menginstal backdoor kustom. Infrastruktur perintah dan kontrol (CnC) APT3 sulit dilacak, karena hanya ada sedikit tumpang tindih di seluruh kampanye.

Malware terkait: SHOTPUT, COOKIECUTTER, SOGU

Vektor serangan: Email phishing yang digunakan oleh APT3 biasanya bersifat umum, hampir terlihat seperti spam. Serangan telah mengeksploitasi kerentanan yang tidak di-patch dalam cara Adobe Flash Player mengurai file Flash Video (FLV). Eksploit ini menggunakan teknik korupsi vektor umum untuk melewati Address Space Layout Randomization (ASLR), dan menggunakan return-oriented programming (ROP) untuk melewati Data Execution Prevention (DEP). Trik yang rapi pada teknik ROP mereka membuatnya lebih mudah dieksploitasi dan akan menghindari beberapa teknik deteksi ROP. Shellcode disimpan dalam file eksploit Adobe Flash Player yang dipaketkan bersama kunci yang digunakan untuk dekripsinya. Payload ini dienkode xor dan disembunyikan di dalam image.

Referensi lainnya

Referensi lainnya

APT 2

Dugaan atribusi: China

Sektor target: militer dan kedirgantaraan

Ringkasan: Kelompok ini pertama kali diamati pada tahun 2010. APT2 terlibat dalam operasi cyber dengan sasaran pencurian kekayaan intelektual, yang biasanya berfokus pada data dan project yang membuat organisasi menjadi kompetitif di bidangnya.

Malware terkait: MOOSE, WARP

Vektor serangan: Email spear phishing yang mengeksploitasi CVE-2012-0158.

APT 1

Alias: Unit 61398, Comment Crew

Dugaan atribusi: Departemen ketiga (总参三部二局) General Staff Department (GSD) People’s Liberation Army (PLA) China, yang paling dikenal dengan sebutan penutup unit militernya (MUCD) sebagai Unit 61398 (61398部队).

Sektor target: teknologi informasi, kedirgantaraan, administrasi publik, satelit dan telekomunikasi, penelitian dan konsultasi ilmiah, energi, transportasi, konstruksi dan manufaktur, layanan rekayasa, elektronik berteknologi tinggi, organisasi internasional, layanan hukum, media, iklan, dan hiburan, navigasi, bahan kimia, Jasa keuangan, makanan dan Pertanian, kesehatan, logam dan pertambangan, pendidikan

Ringkasan: APT1 telah secara sistematis mencuri ratusan terabyte data dari setidaknya 141 organisasi, dan telah menunjukkan kemampuan serta niat mencuri dari lusinan organisasi secara bersamaan. Kelompok ini berfokus pada membahayakan organisasi di berbagai industri di negara berbahasa Inggris. Ukuran infrastruktur APT1 menyiratkan sebuah organisasi besar dengan setidaknya lusinan operator, tetapi berpotensi ratusan operator manusia.

Malware terkait: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vektor serangan: Metode penyusupan awal yang paling umum diamati adalah spear phishing. Email spear phishing berisi lampiran berbahaya atau hyperlink ke file berbahaya. Baris subjek dan teks dalam isi email biasanya relevan bagi penerima. APT1 juga membuat akun email web menggunakan nama orang yang sebenarnya. Meski penyusup APT1 kadang-kadang menggunakan backdoor yang tersedia untuk umum seperti Poison Ivy dan Gh0st RAT, sebagian besar waktu mereka menggunakan backdoor kustom mereka sendiri. Selama berada di jaringan (yang bisa berusia bertahun-tahun), APT1 biasanya memasang backdoor baru karena mereka mengklaim lebih banyak sistem di lingkungannya. Lalu, jika satu backdoor ditemukan dan dihapus, ia masih memiliki backdoor lain yang dapat digunakan. Kami biasanya mendeteksi beberapa kelompok backdoor APT1 yang tersebar di sekitar jaringan korban saat APT1 aktif selama lebih dari beberapa minggu.

APT43

Dugaan atribusi: Korea Utara

Sektor target: APT43 sangat selaras dengan kepentingan negara dan sangat berkorelasi dengan perkembangan geopolitik yang memengaruhi Kim Jong-un. APT43 secara konsisten melakukan aktivitas spionase terhadap organisasi Korea Selatan dan Amerika Serikat. Pada tahun 2021, muncul pergeseran kepentingan ke vertikal layanan kesehatan sebagai respons terhadap pandemi COVID-19.

Ringkasan: APT43 adalah operator cyber produktif yang mendukung kepentingan rezim Korea Utara. Kelompok ini menggabungkan kemampuan teknis yang cukup canggih dengan taktik manipulasi psikologis yang agresif, terutama terhadap organisasi pemerintah, akademisi, dan wadah pemikir yang berbasis di Korea Selatan dan Amerika Serikat yang berfokus pada masalah geopolitik semenanjung Korea. Selain kampanye spionase, kami yakin APT43 mendanai dirinya sendiri melalui operasi kejahatan cyber untuk mendukung misi utamanya, yaitu mengumpulkan data intelijen strategis. APT43 telah berkolaborasi dengan operator spionase Korea Utara lainnya dalam berbagai operasi, yang menegaskan peran penting APT43 dalam perangkat cyber rezim tersebut.

Malware terkait: Kelompok ini menggunakan berbagai jenis malware, termasuk, tetapi tidak terbatas pada gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS, LATEOP

Vektor serangan: APT43 mengandalkan kampanye spear phishing sebagai cara untuk menjalankan taktik manipulasi psikologis yang rumit. Kelompok ini membuat banyak persona palsu dan bersifat menipu yang digunakan dalam manipulasi psikologis, serta menyembunyikan identitas mereka saat membeli alat dan infrastruktur operasional.

Referensi lainnya

Referensi lainnya

Referensi lainnya

Referensi lainnya

APT 38

Dugaan atribusi: Korea Utara

Sektor target: Lembaga keuangan di seluruh dunia

Ringkasan: Analisis kami terhadap kelompok ancaman yang didukung rezim Korea Utara yang kami sebut APT38 mengungkapkan bahwa mereka bertanggung jawab melakukan perampokan cyber terbesar yang pernah diamati. Meskipun APT38 berbagi resource pengembangan malware dan sponsor negara Korea Utara kepada kelompok yang disebut oleh komunitas keamanan sebagai “Lazarus”, kami yakin bahwa motivasi keuangan, rangkaian alat unik, serta taktik, teknik, dan prosedur (TTP) APT38 cukup berbeda sehingga keduanya dapat dilacak secara terpisah dari aktivitas cyber Korea Utara lainnya.

Malware terkait: Kelompok besar dan produktif ini menggunakan berbagai jenis malware kustom, termasuk backdoor, tunneler, penambang data, dan malware destruktif untuk mencuri jutaan dolar dari lembaga keuangan dan membuat jaringan korban menjadi tidak dapat dioperasikan.

Vektor serangan: APT38 telah melakukan operasi di lebih dari 16 organisasi di setidaknya 11 negara. Kelompok ini berhati-hati, memperhitungkan, dan telah menunjukkan keinginan untuk mempertahankan akses ke lingkungan korban selama diperlukan untuk memahami tata letak jaringan, izin yang diperlukan, dan teknologi sistem untuk mencapai tujuannya. APT38 memiliki keunikan karena tidak takut menghancurkan barang bukti atau jaringan korban secara agresif sebagai bagian dari operasinya.

Referensi lainnya

APT 37

Dugaan atribusi: Korea Utara

Sektor target: Terutama Korea Selatan — meskipun juga Jepang, Vietnam, dan Timur Tengah — di berbagai vertikal industri, termasuk bahan kimia, elektronik, manufaktur, kedirgantaraan, otomotif, dan layanan kesehatan.

Ringkasan: Analisis kami terhadap aktivitas terbaru APT37 mengungkapkan bahwa operasi kelompok ini berkembang dalam cakupan dan kecanggihan, dengan rangkaian alat yang mencakup akses ke kerentanan zero-day dan malware wiper. Kami menilai dengan sangat yakin bahwa aktivitas ini dilakukan atas nama pemerintah Korea Utara mengingat artefak pengembangan malware dan penargetan yang selaras dengan kepentingan negara bagian Korea Utara. Mandiant Threat Intelligence percaya bahwa APT37 selaras dengan aktivitas yang dilaporkan secara publik sebagai Scarcruft dan Group123.

Malware terkait: Serangkaian malware terkait untuk intrusi dan pemindahan awal yang tidak sah. Bersama dengan malware kustom yang digunakan untuk tujuan spionase, APT37 juga memiliki akses ke malware penghancur.

Vektor serangan: Taktik manipulasi psikologis yang disesuaikan secara khusus dengan target yang diinginkan, penyusupan web strategis yang khas dari operasi spionase cyber yang ditargetkan, dan penggunaan situs berbagi file torrent untuk mendistribusikan malware secara lebih acak. Eksploitasi kerentanan yang sering terjadi di Hangul Word Processor (HWP), serta Adobe Flash. Kelompok ini telah menunjukkan akses ke kerentanan zero-day (CVE-2018-0802), dan kemampuan untuk menerapkannya ke dalam operasi.

Referensi lainnya

APT42

Dugaan atribusi: Iran

Sektor target: APT42 berfokus pada individu atau kelompok yang menentang rezim Iran saat ini, dengan mencoba mendapatkan akses ke akun pribadi dan perangkat seluler mereka. Kelompok ini juga secara konsisten menargetkan wadah pemikir Barat, peneliti, jurnalis, pejabat pemerintah barat saat ini, mantan pejabat pemerintah Iran, dan diaspora Iran di luar negeri.

Ringkasan: APT42 adalah kelompok spionase cyber yang disponsori oleh negara Iran dengan tugas melakukan pengumpulan informasi dan operasi pengawasan terhadap individu dan organisasi yang memiliki kepentingan strategis bagi pemerintah Iran. Operasi kelompok ini, yang dirancang untuk membangun kepercayaan dan hubungan dengan korbannya, telah mencakup akses ke akun email pribadi dan perusahaan milik pejabat pemerintah, mantan pembuat kebijakan atau tokoh politik Iran, anggota diaspora dan kelompok oposisi Iran, jurnalis, serta akademisi yang terlibat dalam riset tentang Iran. 

Malware terkait: Kelompok ini menggunakan berbagai jenis malware, termasuk, tetapi tidak terbatas pada TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK, ASYNCRAT

Vektor serangan: Seperti kebanyakan kelompok lain, APT42 mengandalkan kampanye phishing. Namun, vektor serangan utamanya adalah penggunaan malware seluler yang digunakan untuk melacak lokasi korban, merekam percakapan telepon, mengakses video dan gambar, serta mengekstrak seluruh kotak masuk SMS.

Referensi lainnya

Referensi lainnya

Referensi lainnya

Referensi lainnya

APT 39

Dugaan atribusi: Iran

Sektor target: Meskipun cakupan penargetan APT39 bersifat global, aktivitasnya berkonsentrasi di Timur Tengah. APT39 telah memprioritaskan sektor telekomunikasi, dengan penargetan tambahan pada industri perjalanan dan perusahaan IT yang mendukungnya serta industri berteknologi tinggi.

Ringkasan: Fokus kelompok ini pada industri telekomunikasi dan perjalanan menunjukkan niat untuk melakukan operasi pemantauan, pelacakan, atau pengawasan terhadap individu tertentu, mengumpulkan data eksklusif atau pelanggan untuk tujuan komersial atau operasional yang memenuhi persyaratan strategis terkait dengan prioritas nasional, atau membuat akses dan vektor tambahan untuk memfasilitasi kampanye di masa mendatang. Penargetan entitas pemerintah menunjukkan potensi niat sekunder untuk mengumpulkan data geopolitik yang dapat menguntungkan pengambilan keputusan negara bagian.

Malware terkait: Kelompok ini terutama memanfaatkan backdoor SEAWEED dan CACHEMONEY bersama dengan varian tertentu dari backdoor POWBAT.

Vektor serangan: Untuk penyusupan awal, Mandiant Intelligence telah mengamati APT39 memanfaatkan spear phishing dengan lampiran dan/atau hyperlink berbahaya yang biasanya mengakibatkan infeksi POWBAT. Dalam beberapa kasus, akun email yang sebelumnya disusupi juga telah dimanfaatkan. Hal ini berpotensi menyalahgunakan kepercayaan yang ada dan meningkatkan peluang keberhasilan serangan. APT39 sering mendaftarkan dan memanfaatkan domain yang menyamar sebagai layanan web dan organisasi sah yang relevan dengan target yang dimaksud. Selain itu, kelompok ini secara berkala mengidentifikasi dan mengeksploitasi server web yang rentan milik organisasi yang ditargetkan untuk menginstal web shell, seperti ANTAK dan ASPXSPY, serta menggunakan kredensial sah curian untuk menyusupi resource Outlook Web Access (OWA) yang ditujukan secara eksternal. Kami belum mengamati kerentanan eksploit APT39.

Referensi lainnya

APT 34

Dugaan atribusi: Iran

Sektor target: Kelompok ancaman ini telah melakukan penargetan luas di berbagai industri, termasuk keuangan, pemerintah, energi, kimia, dan telekomunikasi, serta telah memfokuskan operasinya di Timur Tengah.

Ringkasan: Kami yakin APT34 terlibat dalam operasi spionase cyber jangka panjang yang sebagian besar berfokus pada upaya pengintaian demi menguntungkan kepentingan negara Iran dan telah beroperasi setidaknya sejak tahun 2014. Kami menilai bahwa APT34 bekerja atas nama pemerintah Iran berdasarkan detail infrastruktur yang berisi rujukan ke Iran, penggunaan infrastruktur Iran, dan penargetan yang selaras dengan kepentingan suatu negara.

Malware terkait: POWBAT, POWRUNER, BONDUPDATER

Vektor serangan: Dalam kampanye terbarunya, APT34 memanfaatkan kerentanan Microsoft Office terbaru CVE-2017-11882 untuk men-deploy POWRUNER dan BONDUPDATER.

Referensi lainnya

APT 33

Dugaan atribusi: Iran

Sektor target: Kedirgantaraan, energi

Ringkasan: APT33 menargetkan organisasi, dari berbagai industri, yang berkantor pusat di AS, Arab Saudi, dan Korea Selatan. APT33 telah menunjukkan minat khusus pada organisasi di sektor penerbangan yang terlibat dalam kapasitas militer dan komersial, serta organisasi di sektor energi yang memiliki hubungan dengan produksi petrokimia.

Malware terkait: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vektor serangan: APT33 mengirim email spear phishing kepada karyawan yang bekerja di industri penerbangan. Email ini mencakup umpan bertema perekrutan dan berisi link ke file aplikasi HTML berbahaya (.hta). File .hta berisi deskripsi pekerjaan dan link ke postingan lowongan yang sah di situs lowongan kerja populer yang akan relevan bagi individu yang ditargetkan.

Referensi lainnya

APT 28

Juga dikenal sebagai: Tim Tsar

Dugaan atribusi: Pemerintah Rusia

Sektor target: Kaukasus, terutama Georgia, negara dan militer Eropa timur, Organisasi Pakta Atlantik Utara (NATO), serta organisasi keamanan dan perusahaan pertahanan Eropa lainnya

Ringkasan: APT28 adalah tim developer dan operator terampil yang mengumpulkan informasi intelijen terkait masalah pertahanan dan geopolitik, yakni informasi intelijen yang hanya akan berguna bagi pemerintah. Kelompok APT ini mengumpulkan sampel malware dengan setelan bahasa Rusia selama jam kerja (08.00 hingga 18.00), sesuai dengan zona waktu kota-kota besar Rusia, termasuk Moskow dan St. Petersburg. Hal ini menunjukkan bahwa APT28 menerima keuangan secara langsung dan sumber daya lainnya yang berkelanjutan dari organisasi yang mapan, kemungkinan besar oleh pemerintah Rusia.

Malware terkait: CHOPSTICK, SOURFACE

Vektor serangan: Alat yang biasa digunakan oleh APT28 meliputi downloader SOURFACE, backdoor tahap keduanya EVILTOSS, dan kelompok implan modular yang dijuluki CHOPSTICK. APT28 menggunakan enkripsi RSA untuk melindungi file dan informasi curian yang dipindahkan dari jaringan korban ke pengontrol. APT28 juga membuat perubahan bertahap dan sistematis pada downloader SOURFACE dan ekosistemnya sejak tahun 2007, yang menunjukkan upaya pengembangan khusus yang sudah lama dilakukan.

Referensi lainnya

APT29

Dugaan atribusi: Rusia

Sektor target: Secara historis, targetnya mencakup pemerintah Barat, badan urusan luar negeri dan pembuat kebijakan, kontraktor pemerintah, universitas, dan mungkin situs berita internasional.

Ringkasan: APT29 adalah kelompok spionase cyber yang disponsori oleh negara dan berlokasi di Rusia. Kelompok ini memiliki kemampuan yang luar biasa, termasuk berbagai alat yang dikembangkan khusus, jaringan perintah dan kontrol (C2) yang luas yang mencakup infrastruktur dan satelit yang disusupi (melalui penyedia layanan yang jelas), serta keamanan operasional tingkat tinggi. Dalam investigasi yang kami lakukan di tempat APT29 beroperasi, kelompok ini menunjukkan kesadaran yang tinggi terhadap postur pertahanan korban mereka dan pemahaman terhadap metode untuk menghindari penyelidik dan upaya perbaikan.

Malware terkait: Kelompok ini menggunakan berbagai jenis malware, termasuk, tetapi tidak terbatas pada BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY, SUNBURST

Vektor serangan: APT29 sering menggunakan spear phishing untuk mendapatkan akses ke jaringan target, tetapi mampu menjalankan bentuk aktivitas penyusupan yang lebih canggih, seperti menyusupi supply chain. Pesan email APT29 mungkin terlihat sangat generik, sementara beberapa kelompok ancaman mengirimkan pesan spear phishing yang sangat dipersonalisasi dan ditargetkan. Setelah berhasil menyusup, kelompok ini biasanya menginstal malware untuk membuat backdoor guna membantu mempertahankan akses dari waktu ke waktu.

Referensi lainnya 

Referensi lainnya

Referensi lainnya

Referensi lainnya

APT36

Dugaan atribusi: Pakistan

Sektor target: Kampanye penyusupan APT36 yang aktif setidaknya sejak tahun 2013 mencerminkan upaya terkoordinasi untuk menargetkan India, saingan regionalnya. Selain itu, kampanye ini juga menunjukkan minat dalam menargetkan organisasi militer dan antarpemerintah seperti Organisasi Pakta Atlantik Utara (NATO) dan Perserikatan Bangsa-Bangsa (PBB) yang memiliki kepentingan di wilayah tersebut. Selain itu, APT36 telah menargetkan beberapa industri di negara-negara di luar wilayah tersebut, termasuk Amerika Serikat.

Ringkasan: APT36 adalah aktor spionase cyber yang sudah lama beroperasi dan melakukan pengumpulan data intelijen untuk mendukung kepentingan militer dan diplomatik Pakistan.

Malware terkait: Kelompok ini menggunakan berbagai jenis malware, termasuk, tetapi tidak terbatas pada MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT, SEEGAP

Vektor serangan: APT36 biasanya menggunakan spear phishing sebagai metode utama untuk menyusupi korbannya, dengan lampiran berbahaya yang mencakup file yang dapat dieksekusi oleh Microsoft Windows dan Dokumen Microsoft Office (yang memanfaatkan makro dan eksploit umum). Umpan phishing yang digunakan oleh aktor ini biasanya menggunakan tema militer dan politik. Kami juga mengamati bahwa aktor-aktor ini memanfaatkan teknik watering hole unik yang menggunakan manipulasi psikologis (bukan eksploit web) untuk memikat korban agar mendownload dan membuka dokumen Microsoft Office berbahaya.

APT 35

Sektor target: Militer Amerika Serikat, Eropa Barat, dan staf militer Timur Tengah, diplomatik, dan pemerintah, organisasi di sektor media, energi, dan basis industri pertahanan, serta sektor engineering, layanan bisnis, dan telekomunikasi.

Ringkasan: APT35 (alias Newscaster Team) adalah tim spionase cyber yang disponsori oleh pemerintah Iran yang melakukan operasi jangka panjang dan intensif resource untuk mengumpulkan data intelijen strategis. Mandiant Threat Intelligence telah mengamati operasi APT35 sejak tahun 2014. APT35 secara historis mengandalkan alat yang sedikit canggih, termasuk webshell dan alat uji penetrasi yang tersedia untuk publik, yang menunjukkan kemampuan pengembangan yang relatif baru. Namun, luas dan cakupan operasi APT35, khususnya yang berkaitan dengan upaya manipulasi psikologis yang kompleks, kemungkinan besar mengindikasikan bahwa kelompok ini memiliki resource yang memadai di bidang lain.

Malware terkait: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

Vektor serangan: APT35 biasanya mengandalkan spear phishing untuk menyusupi organisasi terlebih dahulu, sering kali menggunakan umpan yang terkait dengan layanan kesehatan, lowongan pekerjaan, resume, atau kebijakan sandi. Namun, kami juga telah mengamati bahwa kelompok ini menggunakan akun yang disusupi dengan kredensial yang diperoleh dari operasi sebelumnya, penyusupan web strategis, dan serangan password spray terhadap aplikasi web yang digunakan secara eksternal sebagai teknik tambahan untuk mendapatkan akses awal.

APT 32

Juga dikenal sebagai: OceanLotus Group

Dugaan atribusi: Vietnam

Sektor target: Perusahaan asing yang berinvestasi di sektor manufaktur, produk konsumen, konsultasi, dan perhotelan Vietnam

Ringkasan: Aktivitas terbaru yang menargetkan kepentingan swasta di Vietnam menunjukkan bahwa APT32 menimbulkan ancaman bagi perusahaan yang menjalankan bisnis, manufaktur, atau bersiap untuk berinvestasi di negara tersebut. Meskipun motivasi khusus untuk aktivitas ini tetap samar, hal ini pada akhirnya dapat mengikis keunggulan kompetitif organisasi yang ditargetkan.

Malware terkait: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vektor serangan: Pelaku APT32 memanfaatkan file ActiveMime yang menggunakan metode manipulasi psikologis untuk memikat korban agar mengaktifkan makro. Setelah dieksekusi, file yang diinisialisasi biasanya mendownload beberapa payload berbahaya dari server jarak jauh. Pelaku APT32 mengirimkan lampiran berbahaya menggunakan email spear phishing. Bukti menunjukkan bahwa beberapa di antaranya mungkin telah dikirim melalui Gmail.

APT 1

Alias: Unit 61398, Comment Crew

Dugaan atribusi: Departemen ketiga (总参三部二局) General Staff Department (GSD) People’s Liberation Army (PLA) China, yang paling dikenal dengan sebutan penutup unit militernya (MUCD) sebagai Unit 61398 (61398部队).

Sektor target: Teknologi informasi, kedirgantaraan, administrasi publik, satelit dan telekomunikasi, penelitian dan konsultasi ilmiah, energi, transportasi, konstruksi dan manufaktur, layanan rekayasa, elektronik berteknologi tinggi, organisasi internasional, layanan hukum, media, iklan, dan hiburan, navigasi, bahan kimia, jasa keuangan, makanan dan pertanian, kesehatan, logam dan pertambangan, pendidikan

Ringkasan: APT1 telah secara sistematis mencuri ratusan terabyte data dari setidaknya 141 organisasi, dan telah menunjukkan kemampuan serta niat mencuri dari lusinan organisasi secara bersamaan. Kelompok ini berfokus pada membahayakan organisasi di berbagai industri di negara berbahasa Inggris. Ukuran infrastruktur APT1 menyiratkan sebuah organisasi besar dengan setidaknya lusinan operator, tetapi berpotensi ratusan operator manusia.

Malware terkait: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vektor serangan: Metode penyusupan awal yang paling umum diamati adalah spear phishing. Email spear phishing berisi lampiran berbahaya atau hyperlink ke file berbahaya. Baris subjek dan teks dalam isi email biasanya relevan bagi penerima. APT1 juga membuat akun email web menggunakan nama orang yang sebenarnya. Meski penyusup APT1 kadang-kadang menggunakan backdoor yang tersedia untuk umum seperti Poison Ivy dan Gh0st RAT, sebagian besar waktu mereka menggunakan backdoor kustom mereka sendiri. Selama berada di jaringan (yang bisa berusia bertahun-tahun), APT1 biasanya memasang backdoor baru karena mereka mengklaim lebih banyak sistem di lingkungannya. Lalu, jika satu backdoor ditemukan dan dihapus, ia masih memiliki backdoor lain yang dapat digunakan. Kami biasanya mendeteksi beberapa kelompok backdoor APT1 yang tersebar di sekitar jaringan korban saat APT1 aktif selama lebih dari beberapa minggu.