APT35
APT35, también conocido como Charming Kitten, es un grupo de ciberespionaje iraní patrocinado por el Estado y activo desde al menos 2013, conocido por sus sofisticadas campañas de ingeniería social y sus persistentes ataques a adversarios geopolíticos en los sectores gubernamental, académico y privado.
El origen de APT35
APT35, también conocida como Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 y PHOSPHORUS, es un grupo de ciberespionaje vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Activo desde al menos 2013, el grupo se centra en la recopilación de inteligencia que se alinea con las prioridades geopolíticas iraníes. Su principal seña de identidad operativa es el uso de la ingeniería social y el phishing para atacar a personas y organizaciones consideradas adversarias o de interés estratégico para Irán.
Las tácticas de APT35 son meticulosas, a menudo creando personajes falsos y aprovechando plataformas legítimas (por ejemplo, LinkedIn, Google Drive) para llevar a cabo la recolección de credenciales y la distribución malware . El grupo es conocido por sus campañas a largo plazo y persistentes contra una amplia gama de objetivos globales.
Países objetivo de APT35
APT35 se dirige principalmente a entidades de Estados Unidos, Reino Unido, Israel y Arabia Saudí, pero sus campañas también han llegado a países como Alemania, Irak, Australia, Irán (disidentes internos) y Albania. Estas regiones son estratégicamente importantes debido a sus posturas geopolíticas, poblaciones en diáspora o acogida de disidentes y periodistas críticos con el régimen iraní.
Industrias objetivo de APT35
Las operaciones de APT35 abarcan múltiples sectores. Entre sus objetivos prioritarios se encuentran los sectores gubernamental, de defensa, militar y de inteligencia, a menudo para recopilar información estratégica o filtrar datos confidenciales. También actúan contra instituciones académicas, medios de comunicación, grupos de reflexión y ONG, con el objetivo de vigilar los discursos disidentes y los debates políticos. Industrias como la del petróleo y el gas, la farmacéutica, la aeroespacial, la tecnológica, la sanitaria, la de servicios financieros y la energética también se ven afectadas con frecuencia, lo que indica un amplio abanico de objetivos de espionaje económico y político.
Víctimas de APT35
Entre las víctimas más destacadas se encuentran funcionarios estadounidenses y europeos, instituciones académicas israelíes y organizaciones como la Organización Mundial de la Salud (OMS). En 2025, una institución académica israelí fue atacada específicamente con un archivo LNK malicioso alojado en Google Drive, haciéndose eco de tácticas utilizadas en intrusiones anteriores contra grupos de reflexión con sede en Estados Unidos.
Método de ataque de APT35
Se consigue principalmente mediante correos electrónicos phishing selectivo e ingeniería social en plataformas como LinkedIn y WhatsApp. Se utilizan personas falsas y sitios web de apariencia legítima para engañar a los objetivos.
Implica crear o habilitar cuentas predeterminadas o de administrador, utilizando herramientas como PowerShell o Mimikatz para escalar privilegios.
El grupo desactiva el antivirus, los registros de eventos y la protección LSA; también utilizan técnicas de enmascaramiento y ofuscación para evitar ser detectados.
Roba credenciales de navegadores y VPN, vuelca la memoria de LSASS y abusa de Outlook Web Access (OWA) para obtener un acceso más profundo.
APT35 realiza un exhaustivo descubrimiento de hosts, redes y cuentas utilizando herramientas como WMI, Ping y nltest.
Utiliza RDP, tareas programadas y herramientas copiadas para pivotar por la red.
Se centra en la recopilación de correo electrónico, keylogging, captura de pantalla y recopilación de archivos .PST confidenciales y volcados LSASS.
Ejecuta cargas maliciosas mediante PowerShell, VBS y archivos de acceso directo maliciosos (LNK).
Utiliza herramientas como gzip, RAR, y servicios como Telegram API y Google Drive para la exfiltración de datos.
Aunque se centra principalmente en el espionaje, APT35 ha demostrado capacidades de cifrado de datos mediante BitLocker y DiskCryptor, lo que apunta a un potencial ransomware en algunas operaciones.
Se consigue principalmente mediante correos electrónicos phishing selectivo e ingeniería social en plataformas como LinkedIn y WhatsApp. Se utilizan personas falsas y sitios web de apariencia legítima para engañar a los objetivos.
Implica crear o habilitar cuentas predeterminadas o de administrador, utilizando herramientas como PowerShell o Mimikatz para escalar privilegios.
El grupo desactiva el antivirus, los registros de eventos y la protección LSA; también utilizan técnicas de enmascaramiento y ofuscación para evitar ser detectados.
Roba credenciales de navegadores y VPN, vuelca la memoria de LSASS y abusa de Outlook Web Access (OWA) para obtener un acceso más profundo.
APT35 realiza un exhaustivo descubrimiento de hosts, redes y cuentas utilizando herramientas como WMI, Ping y nltest.
Utiliza RDP, tareas programadas y herramientas copiadas para pivotar por la red.
Se centra en la recopilación de correo electrónico, keylogging, captura de pantalla y recopilación de archivos .PST confidenciales y volcados LSASS.
Ejecuta cargas maliciosas mediante PowerShell, VBS y archivos de acceso directo maliciosos (LNK).
Utiliza herramientas como gzip, RAR, y servicios como Telegram API y Google Drive para la exfiltración de datos.
Aunque se centra principalmente en el espionaje, APT35 ha demostrado capacidades de cifrado de datos mediante BitLocker y DiskCryptor, lo que apunta a un potencial ransomware en algunas operaciones.
TTPs utilizadas por APT35
Cómo detectar APT35 con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.
Preguntas frecuentes
¿A quién está afiliada APT35?
APT35 está vinculada al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC ) y opera bajo su mandato de inteligencia.
¿Qué diferencia a APT35 de otros grupos iraníes?
APT35 destaca por su profunda ingeniería social y la creación de falsos personajes en línea, que a menudo implican la participación en varios pasos antes de la entrega de cargas maliciosas.
¿Cuáles son sus principales tácticas de acceso inicial?
Utilizan enlaces de phishing , archivos adjuntos maliciosos, drive-by downloads y suplantación de identidad en redes sociales.
¿Qué herramientas de malware utiliza APT35?
Entre las herramientas más destacadas se encuentran PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL y malware personalizado para Android.
¿Cómo elude la detección APT35?
Utilizan la ofuscación, la comunicación cifrada, el enmascaramiento y, a menudo, explotan servicios cloud de confianza como Google Drive.
¿Se sabe que utilizan días cero o CVE específicos?
Sí, incluidas las vulnerabilidades CVE-2022-30190 (Follina), ProxyShell, Log4Shell y Fortinet SSL VPN.
¿Cómo pueden las organizaciones detectar la actividad de APT35?
Busque señales como ejecución inusual de PowerShell, acceso a memoria LSASS, sesiones RDP a través de puertos no estándar y acceso sospechoso a dominios.
¿Qué técnicas C2 utilizan?
APT35 utiliza dominios legítimos comprometidos, servicios web, SOAP, IRC y proxies HTTP cifrados.
¿Cómo se puede mitigar el phishing de APT35?
Implemente el filtrado de correo electrónico, el escaneado de archivos adjuntos y la formación de usuarios, junto con soluciones de reescritura de URL/sandboxing.
¿Qué herramientas de detección pueden ayudar a detener APT35?
Las soluciones de detección y respuesta en red (NDR ) son muy eficaces contra las tácticas de APT35. Dada la confianza del grupo en el mando y control a través de protocolos web, el uso de canales cifrados y la exfiltración de datos a través de servicios cloud , las plataformas NDR proporcionan una visibilidad profunda del tráfico este-oeste y saliente.