En el ámbito de la ciberseguridad, el año 2023 ha sido testigo de la evolución constante de las Amenazas Persistentes Avanzadas (APT). Estos grupos, que operan con recursos significativos y objetivos específicos, continúan planteando desafíos únicos para la defensa cibernética global. Este análisis proporciona una visión detallada de las tendencias emergentes, técnicas sofisticadas y los casos más impactantes de actividades APT en este año, buscando informar y equipar a los profesionales de la seguridad con el conocimiento para anticipar y mitigar estas amenazas.
El reporte que abarca las acciones de distintos conjuntos de amenazas persistentes avanzadas (APT) detalla un monitoreo intensivo y análisis realizado por expertos en ciberseguridad entre abril y septiembre de 2023. Durante este periodo, se destacó la táctica de aprovechar vulnerabilidades conocidas por parte de varios grupos APT para infiltrarse y sustraer información de organizaciones gubernamentales y afines.
Te podría interesar leer: Identificación de Amenazas Persistentes con Wazuh: APT
Entidades vinculadas con Rusia, como Sednit y Sandworm, junto a Konni de Corea del Norte, y los grupos Winter Vivern y Sturgeon Phisher, sin ubicación geográfica específica, se destacaron por explotar debilidades en aplicaciones como WinRAR, Roundcube, Zimbra y Outlook para Windows. Estos ataques se dirigieron a organismos gubernamentales en Ucrania, Europa y Asia Central.
Por otro lado, actores asociados con China, como GALLIUM, ampliaron sus ataques más allá de las telecomunicaciones hacia organizaciones gubernamentales globales, enfocándose en servidores Microsoft Exchange e IIS. MirrorFace y TA410, se presume, utilizaron vulnerabilidades en servicios de almacenamiento en la nube y servidores de aplicaciones para expandir sus campañas de espionaje.
Grupos de Irán y la región del Medio Oriente continuaron con operaciones extensivas, centrando sus esfuerzos en espionaje e infiltración de datos de entidades israelíes. MuddyWater, en particular, amplió sus objetivos hacia una entidad no revelada en Arabia Saudí, indicando que podría funcionar como un frente para un grupo de amenazas más avanzado.
El enfoque principal de los actores rusos se mantuvo en Ucrania, con el despliegue de nuevas variantes de software destructivo y la identificación de un wiper inédito, apodado SharpNikoWiper, atribuido a Sandworm. Aunque otros grupos como Gamaredon, GREF y SturgeonPhisher intentaron exfiltrar información, Sandworm empleó estratégicamente Telegram para anunciar operaciones de sabotaje cibernético. Gamaredon se mantuvo como el más activo en Ucrania, optimizando sus herramientas de recolección de información.
Los grupos norcoreanos persistieron en sus esfuerzos contra Japón, Corea del Sur y objetivos relacionados con Corea del Sur, mediante técnicas sofisticadas de spear phishing. La operación más notoria de Lazarus fue la llamada Operación DreamJob, que engañaba a las víctimas con ofertas de empleo ficticias para posiciones atractivas, mostrando su destreza en la creación de malware para sistemas de escritorio predominantes.
Finalmente, los investigadores identificaron tres nuevos grupos vinculados a China: DigitalRecyclers, comprometiendo una entidad gubernamental en la UE; TheWizards, llevando a cabo ataques de tipo "adversary-in-the-middle"; y PerplexedGoblin, que tuvo como blanco otra entidad gubernamental europea.
Las actividades perniciosas destacadas en el reporte son detectadas por soluciones de seguridad informática avanzada, con inteligencia de amenazas basada en datos de telemetría verificados por un equipo especializado. Los ámbitos afectados por las actividades de APT descritas en el informe son variados, abarcando múltiples países, regiones y sectores específicos.
Te podrá interesar leer: Crónicas del Ransomware: Descubriendo las Tendencias de 2023
Países y regiones enfocados:
- Armenia
- Bangladesh
- China
- Asia Central
- Croacia
- Chequia
- Unión Europea
- Polinesia Francesa
- Grecia
- Guyana
- Hong Kong
- Israel
- Japón
- Kuwait
- Malí
- Pakistán
- Filipinas
- Polonia
- Arabia Saudita
- Serbia
- Eslovaquia
- Corea del Sur
- Tayikistán
- Turquía (anteriormente conocida como Türkiye)
- Ucrania
- Emiratos Árabes Unidos
- Estados Unidos
- Uigures y otras minorías étnicas turcas.
Podría interesarte leer: Principales Ciberataques de Septiembre 2023
Mientras avanzamos hacia el final de 2023, las perspectivas indican que los grupos APT continuarán su desarrollo, posiblemente incorporando nuevas tecnologías como la computación cuántica. La anticipación a estos cambios es crucial; por lo tanto, la inversión en investigación y el desarrollo de tecnologías de seguridad más avanzadas serán esenciales para mantener un paso adelante de los adversarios.
El año 2023 ha sido emblemático en la evolución de las Amenazas Persistentes Avanzadas. A medida que estos grupos adaptan y refinan sus tácticas, la comunidad global de seguridad debe responder con igual agilidad y colaboración. Es responsabilidad colectiva estar preparados, informados y ser proactivos en la protección de nuestros activos más críticos contra las sofisticadas amenazas que definen nuestra era digital.