Agrius
Agrius es un grupo APT vinculado al Estado iraní conocido por sus ataques de ransomware y wiper, dirigidos principalmente a entidades israelíes y de Oriente Medio bajo varios alias, como SPECTRAL KITTEN y Black Shadow.
El origen de Agrius
Agrius es un grupo iraní de amenazas persistentes avanzadas (APT) patrocinado por el Estado y activo desde al menos 2020, estrechamente alineado con el Ministerio de Inteligencia y Seguridad de Irán (MOIS). También rastreado bajo alias como SPECTRAL KITTEN, Black Shadow y Pink Sandstorm, Agrius es conocido por su uso híbrido de ransomware y malware wiper en operaciones destructivas, particularmente contra entidades israelíes. Sus campañas a menudo disfrazan los ataques de motivación política como incidentes de ransomware de motivación financiera, una táctica denominada "lock-and-leak" en la que los datos robados son exfiltrados y luego filtrados a través de canales de eCrime.
El grupo hace un amplio uso de malware personalizado, como IPSecHelper, el ransomware Apostle y las herramientas proxy FlowTunnel. Los últimos datos de inteligencia vinculan a los operadores de Agrius con Jahat Pardaz, una supuesta empresa tapadera del MOIS, y ponen de relieve su capacidad para realizar operaciones cibernéticas de gran impacto.
Países destinatarios
Los principales objetivos geográficos son:
- Israel, donde se concentran la mayoría de las operaciones destructivas y de robo de credenciales.
- Emiratos Árabes Unidos (EAU), donde Agrius ha protagonizado alteraciones limitadas pero notables, entre ellas contra empresas de logística.
- Además, históricamente se han atacado infraestructuras de telecomunicaciones en el sur de Asia, lo que sugiere cierto alcance operativo fuera de Oriente Próximo.
Industrias destinatarias
Agrius tiene un amplio ámbito de actuación, tanto en el sector público como en el privado:
- Instituciones académicas y de investigación
- Consultoría y servicios profesionales
- Ingeniería, industria y logística
- Militar, marítimo y transporte
- Servicios financieros y seguros
- Tecnología, medios de comunicación y telecomunicaciones
- Agencias gubernamentales y plataformas de medios sociales
Su capacidad para operar en tantas verticales indica una alineación estratégica con los intereses geopolíticos iraníes, especialmente en espionaje y perturbación.
Víctimas conocidas
Los perfiles conocidos de las víctimas incluyen:
- Instituciones académicas israelíes, donde han llevado a cabo operaciones en varias fases que incluían la recogida de credenciales y la filtración de información personal.
- Una entidad logística de los EAU, afectada por un malware perturbador.
- Un medio de comunicación de la oposición iraní con sede en el Reino Unido, objetivo de una operación de influencia, lo que demuestra la integración por parte de Agrius de las operaciones psicológicas junto con la intrusión técnica.
El método de ataque Agrius
Explota aplicaciones públicas vulnerables, en particular CVE-2018-13379 en FortiOS; utiliza ProtonVPN para el anonimato.
Despliega malware IPSecHelper como un servicio para la persistencia; utiliza PetitPotato para la escalada de privilegios local.
Desactiva las herramientas de seguridad con herramientas anti-rootkit como GMER64.sys, modifica la configuración EDR y utiliza técnicas de enmascaramiento.
Vuelca la memoria LSASS y los archivos SAM con Mimikatz; se dedica a la fuerza bruta SMB y a la pulverización de contraseñas.
Realiza escaneos de host y de red con herramientas como NBTscan, SoftPerfect y WinEggDrop.
Utiliza túneles RDP a través de Plink y ASPXSpy web shells; descarga payloads desde servicios públicos de intercambio de archivos.
Recopila datos PII y SQL utilizando herramientas personalizadas como sql.net4.exe; escenifica los datos localmente en directorios ocultos.
Ejecuta scripts y binarios a través del shell de comandos de Windows; utiliza utilidades del sistema renombradas para ocultarse.
Archiva datos utilizando 7zip; exfiltra mediante herramientas como PuTTY y WinSCP a través de canales HTTP cifrados con AES.
Despliega el ransomware Apostle y borradores de datos para causar interrupciones operativas; filtra datos al público para influir en las operaciones.
Explota aplicaciones públicas vulnerables, en particular CVE-2018-13379 en FortiOS; utiliza ProtonVPN para el anonimato.
Despliega malware IPSecHelper como un servicio para la persistencia; utiliza PetitPotato para la escalada de privilegios local.
Desactiva las herramientas de seguridad con herramientas anti-rootkit como GMER64.sys, modifica la configuración EDR y utiliza técnicas de enmascaramiento.
Vuelca la memoria LSASS y los archivos SAM con Mimikatz; se dedica a la fuerza bruta SMB y a la pulverización de contraseñas.
Realiza escaneos de host y de red con herramientas como NBTscan, SoftPerfect y WinEggDrop.
Utiliza túneles RDP a través de Plink y ASPXSpy web shells; descarga payloads desde servicios públicos de intercambio de archivos.
Recopila datos PII y SQL utilizando herramientas personalizadas como sql.net4.exe; escenifica los datos localmente en directorios ocultos.
Ejecuta scripts y binarios a través del shell de comandos de Windows; utiliza utilidades del sistema renombradas para ocultarse.
Archiva datos utilizando 7zip; exfiltra mediante herramientas como PuTTY y WinSCP a través de canales HTTP cifrados con AES.
Despliega el ransomware Apostle y borradores de datos para causar interrupciones operativas; filtra datos al público para influir en las operaciones.
TTPs utilizados por Agrius
Cómo detectar Agrius con Vectra AI
Preguntas frecuentes
¿Cuál es la motivación principal de Agrius?
Agrius lleva a cabo operaciones de espionaje y perturbación alineadas con los intereses del Estado iraní, a menudo enmascaradas como ransomware para una negación plausible.
¿Cómo consigue Agrius el acceso inicial a las redes?
Principalmente explotan aplicaciones de cara al público, especialmente FortiOS de Fortinet (CVE-2018-13379), y utilizan servicios VPN como ProtonVPN para ocultar su origen.
¿Por qué tipo de malware es conocido Agrius?
Agrius utiliza IPSecHelper, el ransomware Apostle, ASPXSpy y la herramienta proxy FlowTunnel, entre otros.
Despliegan malware como servicios de Windows (por ejemplo, IPSecHelper) y utilizan web shells para el acceso a largo plazo.
¿Cuáles son los métodos de exfiltración de datos de Agrius?
Los datos se archivan utilizando 7zip, se organizan localmente y se filtran utilizando PuTTY o WinSCP, a menudo a través de canales C2 cifrados.
¿Cómo evaden la detección?
Al desactivar las herramientas EDR, los binarios enmascarados y los scripts de codificación base64, Agrius evade las defensas tradicionales.
¿Cuál es su método preferido de desplazamiento lateral?
Utilizan túneles RDP a través de shells web comprometidos y herramientas como Plink, así como la adquisición de credenciales válidas.
¿Qué estrategias de detección son eficaces contra Agrius?
La supervisión de túneles RDP anómalos, el uso de Plink o la aparición repentina de herramientas como Mimikatz o IPSecHelper puede resultar eficaz. La detección y respuesta en red (NDR) y el análisis del comportamiento son fundamentales.
¿Qué industrias corren mayor riesgo de sufrir los efectos de Agrius?
Las organizaciones israelíes de sectores como el académico, las telecomunicaciones y la logística, así como las empresas de logística y transporte con sede en los EAU, son objetivos prioritarios.
¿Es útil la detección y respuesta en red (NDR) para defenderse de Agrius?
Sí. La NDR es especialmente valiosa para detectar tráfico C2 cifrado, movimientos laterales anómalos y comportamientos de exfiltración de datos que eluden los controles de los endpoints.