APT35

APT35, también conocido como Charming Kitten, es un grupo de ciberespionaje iraní patrocinado por el Estado y activo desde al menos 2013, conocido por sus sofisticadas campañas de ingeniería social y sus persistentes ataques a adversarios geopolíticos en los sectores gubernamental, académico y privado.

¿Está su organización a salvo de los ataques de APT35?

El origen de APT35

APT35, también conocida como Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 y PHOSPHORUS, es un grupo de ciberespionaje vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Activo desde al menos 2013, el grupo se centra en la recopilación de inteligencia que se alinea con las prioridades geopolíticas iraníes. Su principal seña de identidad operativa es el uso de la ingeniería social y el phishing para atacar a personas y organizaciones consideradas adversarias o de interés estratégico para Irán.

Las tácticas de APT35 son meticulosas, a menudo creando personajes falsos y aprovechando plataformas legítimas (por ejemplo, LinkedIn, Google Drive) para llevar a cabo la recolección de credenciales y la distribución malware . El grupo es conocido por sus campañas a largo plazo y persistentes contra una amplia gama de objetivos globales.

Países objetivo de APT35

APT35 se dirige principalmente a entidades de Estados Unidos, Reino Unido, Israel y Arabia Saudí, pero sus campañas también han llegado a países como Alemania, Irak, Australia, Irán (disidentes internos) y Albania. Estas regiones son estratégicamente importantes debido a sus posturas geopolíticas, poblaciones en diáspora o acogida de disidentes y periodistas críticos con el régimen iraní.

Industrias objetivo de APT35

Las operaciones de APT35 abarcan múltiples sectores. Entre sus objetivos prioritarios se encuentran los sectores gubernamental, de defensa, militar y de inteligencia, a menudo para recopilar información estratégica o filtrar datos confidenciales. También actúan contra instituciones académicas, medios de comunicación, grupos de reflexión y ONG, con el objetivo de vigilar los discursos disidentes y los debates políticos. Industrias como la del petróleo y el gas, la farmacéutica, la aeroespacial, la tecnológica, la sanitaria, la de servicios financieros y la energética también se ven afectadas con frecuencia, lo que indica un amplio abanico de objetivos de espionaje económico y político.

Víctimas de APT35

Entre las víctimas más destacadas se encuentran funcionarios estadounidenses y europeos, instituciones académicas israelíes y organizaciones como la Organización Mundial de la Salud (OMS). En 2025, una institución académica israelí fue atacada específicamente con un archivo LNK malicioso alojado en Google Drive, haciéndose eco de tácticas utilizadas en intrusiones anteriores contra grupos de reflexión con sede en Estados Unidos.

Método de ataque

Método de ataque de APT35

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Se consigue principalmente mediante correos electrónicos phishing selectivo e ingeniería social en plataformas como LinkedIn y WhatsApp. Se utilizan personas falsas y sitios web de apariencia legítima para engañar a los objetivos.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Implica crear o habilitar cuentas predeterminadas o de administrador, utilizando herramientas como PowerShell o Mimikatz para escalar privilegios.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

El grupo desactiva el antivirus, los registros de eventos y la protección LSA; también utilizan técnicas de enmascaramiento y ofuscación para evitar ser detectados.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Roba credenciales de navegadores y VPN, vuelca la memoria de LSASS y abusa de Outlook Web Access (OWA) para obtener un acceso más profundo.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

APT35 realiza un exhaustivo descubrimiento de hosts, redes y cuentas utilizando herramientas como WMI, Ping y nltest.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utiliza RDP, tareas programadas y herramientas copiadas para pivotar por la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Se centra en la recopilación de correo electrónico, keylogging, captura de pantalla y recopilación de archivos .PST confidenciales y volcados LSASS.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Ejecuta cargas maliciosas mediante PowerShell, VBS y archivos de acceso directo maliciosos (LNK).

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Utiliza herramientas como gzip, RAR, y servicios como Telegram API y Google Drive para la exfiltración de datos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Aunque se centra principalmente en el espionaje, APT35 ha demostrado capacidades de cifrado de datos mediante BitLocker y DiskCryptor, lo que apunta a un potencial ransomware en algunas operaciones.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Se consigue principalmente mediante correos electrónicos phishing selectivo e ingeniería social en plataformas como LinkedIn y WhatsApp. Se utilizan personas falsas y sitios web de apariencia legítima para engañar a los objetivos.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Implica crear o habilitar cuentas predeterminadas o de administrador, utilizando herramientas como PowerShell o Mimikatz para escalar privilegios.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

El grupo desactiva el antivirus, los registros de eventos y la protección LSA; también utilizan técnicas de enmascaramiento y ofuscación para evitar ser detectados.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Roba credenciales de navegadores y VPN, vuelca la memoria de LSASS y abusa de Outlook Web Access (OWA) para obtener un acceso más profundo.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

APT35 realiza un exhaustivo descubrimiento de hosts, redes y cuentas utilizando herramientas como WMI, Ping y nltest.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Utiliza RDP, tareas programadas y herramientas copiadas para pivotar por la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Se centra en la recopilación de correo electrónico, keylogging, captura de pantalla y recopilación de archivos .PST confidenciales y volcados LSASS.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Ejecuta cargas maliciosas mediante PowerShell, VBS y archivos de acceso directo maliciosos (LNK).

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Utiliza herramientas como gzip, RAR, y servicios como Telegram API y Google Drive para la exfiltración de datos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Aunque se centra principalmente en el espionaje, APT35 ha demostrado capacidades de cifrado de datos mediante BitLocker y DiskCryptor, lo que apunta a un potencial ransomware en algunas operaciones.

MITRE ATT&CK Cartografía

TTPs utilizadas por APT35

TA0001: Initial Access
T1566
Phishing
T1189
Drive-by Compromise
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1221
Template Injection
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1125
Video Capture
T1123
Audio Capture
T1119
Automated Collection
T1114
Email Collection
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1572
Protocol Tunneling
T1571
Non-Standard Port
T1219
Remote Access Software
T1132
Data Encoding
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar APT35 con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque APT.

Preguntas frecuentes

¿A quién está afiliada APT35?

¿Qué diferencia a APT35 de otros grupos iraníes?

¿Cuáles son sus principales tácticas de acceso inicial?

¿Qué herramientas de malware utiliza APT35?

¿Cómo elude la detección APT35?

¿Se sabe que utilizan días cero o CVE específicos?

¿Cómo pueden las organizaciones detectar la actividad de APT35?

¿Qué técnicas C2 utilizan?

¿Cómo se puede mitigar el phishing de APT35?

¿Qué herramientas de detección pueden ayudar a detener APT35?