APT42
APT42 es un grupo de ciberespionaje patrocinado por el Estado iraní activo desde al menos 2015, conocido por atacar a individuos y organizaciones de todo el mundo a través de spearphishing, vigilancia móvil y robo de credenciales.

El origen de APT42
APT42 es un grupo de ciberespionaje patrocinado por el Estado iraní que lleva activo al menos desde 2015. Se encarga principalmente de llevar a cabo operaciones de recopilación de inteligencia en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), centrándose en la vigilancia de personas y entidades de interés estratégico. Aunque algunos proveedores han asociado las operaciones de APT42 con las de "Magic Hound", ambos grupos se consideran distintos por sus diferencias de comportamiento y software. APT42 es conocida por su uso de campañas de spearphishing personalizadas, malware vigilancia móvil e infraestructura de recopilación de credenciales para apoyar sus actividades de espionaje a largo plazo.
Países objetivo de APT42
Las operaciones de APT42 se extienden más allá de Oriente Próximo, con objetivos notables en entidades de Estados Unidos, Reino Unido, Israel, Irak, Arabia Saudí, Alemania, Australia, Albania y el propio Irán. Las actividades del grupo reflejan un enfoque estratégico tanto en adversarios extranjeros como en poblaciones disidentes internas.
Industrias objetivo de APT42
APT42 tiene como objetivo un amplio espectro de sectores, entre los que se incluyen instituciones académicas, petróleo y gas, contratistas de defensa, organizaciones militares nacionales, ONG, grupos de reflexión, servicios financieros, agencias gubernamentales, el sector tecnológico, los medios de comunicación, la industria aeroespacial, sanitaria, energética y farmacéutica. Sus objetivos suelen coincidir con las prioridades geopolíticas y de inteligencia nacional de Irán.
Las víctimas de APT42
Los perfiles de las víctimas suelen incluir funcionarios gubernamentales, periodistas, activistas de derechos humanos, académicos y disidentes políticos. APT42 suele crear señuelos a medida haciéndose pasar por periodistas o instituciones legítimas en correos electrónicos phishing . Las operaciones han incluido el robo de credenciales en entornos de Microsoft 365 y la vigilancia de dispositivos móviles mediante malware para Android como PINEFLOWER.
Método de ataque de APT42

APT42 inicia sus ataques con correos electrónicos de spearphishing que contienen enlaces maliciosos, o envía malware para Android como PINEFLOWER a objetivos móviles. Estos correos suelen hacerse pasar por contactos conocidos o instituciones de confianza.

APT42 utiliza scripts de PowerShell (por ejemplo, POWERPOST) para escalar privilegios y acceder a información confidencial de cuentas.

Utilizan modificaciones en el registro, técnicas antiforenses como la eliminación de registros y del historial del navegador, y cargas útiles enmascaradas (como VINETHORN como software VPN) para evitar su detección.

APT42 roba credenciales a través de la extracción del navegador web, keylogging, y mediante la interceptación de tokens de autenticación multifactor (MFA) utilizando páginas de inicio de sesión falsas.

El grupo utiliza Windows Management Instrumentation (WMI) y herramientas de malware (GHAMBAR, POWERPOST) para inspeccionar el software de seguridad, las configuraciones del sistema y los ajustes de red.

Aunque los detalles de los movimientos laterales son menos concretos, la adquisición de infraestructuras y la configuración de mando y control implican esfuerzos para pivotar dentro de las redes una vez obtenido el acceso.

APT42 recopila capturas de pantalla del sistema, cookies de sesión del navegador, documentos de Microsoft 365 y keylogs, centrándose en material sensible desde el punto de vista político o estratégico.

El grupo ejecuta scripts y malware mediante PowerShell, VBScript, tareas programadas y enlaces web maliciosos.

La exfiltración de datos se realiza a través de canales HTTPS cifrados utilizando herramientas como NICECURL. También utilizan codificación Base64 e infraestructura anonimizada para ocultar el tráfico.

Las operaciones de APT42 se centran en la recopilación de inteligencia a largo plazo más que en la interrupción o el sabotaje. Su impacto radica en la vigilancia, el robo de datos y la recopilación de inteligencia geopolítica.

APT42 inicia sus ataques con correos electrónicos de spearphishing que contienen enlaces maliciosos, o envía malware para Android como PINEFLOWER a objetivos móviles. Estos correos suelen hacerse pasar por contactos conocidos o instituciones de confianza.

APT42 utiliza scripts de PowerShell (por ejemplo, POWERPOST) para escalar privilegios y acceder a información confidencial de cuentas.

Utilizan modificaciones en el registro, técnicas antiforenses como la eliminación de registros y del historial del navegador, y cargas útiles enmascaradas (como VINETHORN como software VPN) para evitar su detección.

APT42 roba credenciales a través de la extracción del navegador web, keylogging, y mediante la interceptación de tokens de autenticación multifactor (MFA) utilizando páginas de inicio de sesión falsas.

El grupo utiliza Windows Management Instrumentation (WMI) y herramientas de malware (GHAMBAR, POWERPOST) para inspeccionar el software de seguridad, las configuraciones del sistema y los ajustes de red.

Aunque los detalles de los movimientos laterales son menos concretos, la adquisición de infraestructuras y la configuración de mando y control implican esfuerzos para pivotar dentro de las redes una vez obtenido el acceso.

APT42 recopila capturas de pantalla del sistema, cookies de sesión del navegador, documentos de Microsoft 365 y keylogs, centrándose en material sensible desde el punto de vista político o estratégico.

El grupo ejecuta scripts y malware mediante PowerShell, VBScript, tareas programadas y enlaces web maliciosos.

La exfiltración de datos se realiza a través de canales HTTPS cifrados utilizando herramientas como NICECURL. También utilizan codificación Base64 e infraestructura anonimizada para ocultar el tráfico.

Las operaciones de APT42 se centran en la recopilación de inteligencia a largo plazo más que en la interrupción o el sabotaje. Su impacto radica en la vigilancia, el robo de datos y la recopilación de inteligencia geopolítica.
TTPs utilizadas por APT42
Cómo detectar APT42 con Vectra AI
Preguntas frecuentes
¿Quién patrocina APT42?
Se cree que APT42 está patrocinado por el gobierno iraní, concretamente por el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
¿Qué diferencia a APT42 de Magic Hound?
Aunque existen solapamientos en el malware y el comportamiento, se rastrean por separado en función de las diferencias en los objetivos, las herramientas y las técnicas.
¿Cómo consigue APT42 el acceso inicial?
Se basan en correos electrónicos de spearphishing que contienen enlaces maliciosos o malware de Android para comprometer los dispositivos y robar credenciales.
¿Qué malware utiliza APT42?
Entre los malware más comunes se encuentran PINEFLOWER (Android), POWERPOST, GHAMBAR y VINETHORN (disfrazados de aplicaciones VPN).
¿Cómo mantienen su persistencia en los sistemas infectados?
APT42 utiliza cambios en el registro, tareas programadas y técnicas de arranque automático de malware .
¿Utilizan credenciales robadas para plataformas cloud ?
Sí, APT42 se dirige específicamente a entornos de Microsoft 365, recopilando documentos y tokens de sesión.
¿Cómo evitan ser detectados?
Utilizan tráfico HTTPS cifrado (NICECURL), enmascaran sus herramientas y eliminan rastros forenses como el historial del navegador.
¿Qué técnicas de detección son eficaces contra APT42?
La supervisión del comportamiento (por ejemplo, la ejecución de scripts a través de PowerShell/VBScript), la inspección del tráfico DNS y TLS y el análisis de tokens MFA pueden ayudar a detectar la actividad de APT42.
¿Es destructiva la APT42?
No, APT42 se centra principalmente en el espionaje, la recopilación de información y la vigilancia. No suele desplegar ransomware ni wipers.
¿Cómo pueden defenderse las organizaciones contra APT42?
Implemente MFA phishing, supervise la actividad anómala de Microsoft 365, restrinja el uso de PowerShell e implante soluciones NDR que puedan detectar ataques basados en secuencias de comandos y actividad de keylogging.