Grupo APT
¿Qué es Grupo APT?
Grupo APTActor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos.
Los grupos APT (Advanced Persistent Threat) son adversarios persistentes y bien financiados, identificados por etiquetas numericas o tematicas y rastreados durante anos por proveedores y gobiernos. Ejemplos: APT1 / Comment Crew (China, Unidad 61398 del EPL), APT28 / Fancy Bear (GRU ruso), APT29 / Cozy Bear (SVR ruso), APT41 (China, doble espionaje y lucro), Lazarus Group / APT38 (Corea del Norte) y Equation Group (vinculado a EE. UU.). Cada perfil se construye con TTPs consistentes, familias de malware, infraestructura, victimologia y reutilizacion de codigo. Sus campanas suelen combinar spear-phishing, compromisos de cadena de suministro, 0-days, implantes a medida y movimiento lateral sigiloso. APT de Mandiant, los nombres de CrowdStrike, los nombres meteorologicos de Microsoft y los TAG de Recorded Future apuntan a clusters superpuestos bajo distintas convenciones.
● Ejemplos
- 01
APT28 (GRU 26165) fue vinculado al hackeo del DNC en 2016, las filtraciones de WADA y multiples campanas contra organizaciones politicas.
- 02
APT41 fue acusado en 2020 por las autoridades de EE. UU. por espionaje e intrusiones con fines economicos en mas de 14 paises.
● Preguntas frecuentes
¿Qué es Grupo APT?
Actor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Grupo APT?
Actor de amenaza con nombre y seguimiento (habitualmente patrocinado por un Estado) que ejecuta campanas dirigidas, prolongadas y bien recursos contra organizaciones o sectores concretos.
¿Cómo funciona Grupo APT?
Los grupos APT (Advanced Persistent Threat) son adversarios persistentes y bien financiados, identificados por etiquetas numericas o tematicas y rastreados durante anos por proveedores y gobiernos. Ejemplos: APT1 / Comment Crew (China, Unidad 61398 del EPL), APT28 / Fancy Bear (GRU ruso), APT29 / Cozy Bear (SVR ruso), APT41 (China, doble espionaje y lucro), Lazarus Group / APT38 (Corea del Norte) y Equation Group (vinculado a EE. UU.). Cada perfil se construye con TTPs consistentes, familias de malware, infraestructura, victimologia y reutilizacion de codigo. Sus campanas suelen combinar spear-phishing, compromisos de cadena de suministro, 0-days, implantes a medida y movimiento lateral sigiloso. APT de Mandiant, los nombres de CrowdStrike, los nombres meteorologicos de Microsoft y los TAG de Recorded Future apuntan a clusters superpuestos bajo distintas convenciones.
¿Cómo defenderse de Grupo APT?
Las defensas contra Grupo APT combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Grupo APT?
Nombres alternativos comunes: Grupo de amenaza persistente avanzada.
● Términos relacionados
- attacks№ 017
Amenaza persistente avanzada (APT)
Actor de amenaza sigiloso y con grandes recursos —habitualmente patrocinado por un Estado— que mantiene acceso prolongado y no detectado a una red para robar datos o preposicionarse.
- defense-ops№ 714
Actor Estatal
Actor de amenaza patrocinado o alineado con un gobierno que realiza operaciones ciberneticas con fines estrategicos, de inteligencia, militares o economicos.
- defense-ops№ 1145
Actor de Amenaza
Individuo o grupo que causa o intenta causar dano a sistemas de informacion, organizaciones o personas mediante operaciones ciberneticas.
- defense-ops№ 1148
Inteligencia de Amenazas
Conocimiento basado en evidencias sobre amenazas y actores —indicadores, TTPs y contexto— utilizado para orientar decisiones de seguridad y detección.
- defense-ops№ 1131
Tácticas, Técnicas y Procedimientos (TTPs)
Descripción por capas de cómo opera un actor de amenazas: tácticas (el porqué), técnicas (el cómo) y procedimientos (la implementación concreta).
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.