APT42

APT42 es un grupo de ciberespionaje patrocinado por el Estado iraní activo desde al menos 2015, conocido por atacar a individuos y organizaciones de todo el mundo a través de spearphishing, vigilancia móvil y robo de credenciales.

¿Está su organización a salvo de los ataques de APT42?

El origen de APT42

APT42 es un grupo de ciberespionaje patrocinado por el Estado iraní que lleva activo al menos desde 2015. Se encarga principalmente de llevar a cabo operaciones de recopilación de inteligencia en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), centrándose en la vigilancia de personas y entidades de interés estratégico. Aunque algunos proveedores han asociado las operaciones de APT42 con las de "Magic Hound", ambos grupos se consideran distintos por sus diferencias de comportamiento y software. APT42 es conocida por su uso de campañas de spearphishing personalizadas, malware vigilancia móvil e infraestructura de recopilación de credenciales para apoyar sus actividades de espionaje a largo plazo.

Países objetivo de APT42

Las operaciones de APT42 se extienden más allá de Oriente Próximo, con objetivos notables en entidades de Estados Unidos, Reino Unido, Israel, Irak, Arabia Saudí, Alemania, Australia, Albania y el propio Irán. Las actividades del grupo reflejan un enfoque estratégico tanto en adversarios extranjeros como en poblaciones disidentes internas.

Industrias objetivo de APT42

APT42 tiene como objetivo un amplio espectro de sectores, entre los que se incluyen instituciones académicas, petróleo y gas, contratistas de defensa, organizaciones militares nacionales, ONG, grupos de reflexión, servicios financieros, agencias gubernamentales, el sector tecnológico, los medios de comunicación, la industria aeroespacial, sanitaria, energética y farmacéutica. Sus objetivos suelen coincidir con las prioridades geopolíticas y de inteligencia nacional de Irán.

Las víctimas de APT42

Los perfiles de las víctimas suelen incluir funcionarios gubernamentales, periodistas, activistas de derechos humanos, académicos y disidentes políticos. APT42 suele crear señuelos a medida haciéndose pasar por periodistas o instituciones legítimas en correos electrónicos phishing . Las operaciones han incluido el robo de credenciales en entornos de Microsoft 365 y la vigilancia de dispositivos móviles mediante malware para Android como PINEFLOWER.

Método de ataque

Método de ataque de APT42

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

APT42 inicia sus ataques con correos electrónicos de spearphishing que contienen enlaces maliciosos, o envía malware para Android como PINEFLOWER a objetivos móviles. Estos correos suelen hacerse pasar por contactos conocidos o instituciones de confianza.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

APT42 utiliza scripts de PowerShell (por ejemplo, POWERPOST) para escalar privilegios y acceder a información confidencial de cuentas.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Utilizan modificaciones en el registro, técnicas antiforenses como la eliminación de registros y del historial del navegador, y cargas útiles enmascaradas (como VINETHORN como software VPN) para evitar su detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

APT42 roba credenciales a través de la extracción del navegador web, keylogging, y mediante la interceptación de tokens de autenticación multifactor (MFA) utilizando páginas de inicio de sesión falsas.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

El grupo utiliza Windows Management Instrumentation (WMI) y herramientas de malware (GHAMBAR, POWERPOST) para inspeccionar el software de seguridad, las configuraciones del sistema y los ajustes de red.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Aunque los detalles de los movimientos laterales son menos concretos, la adquisición de infraestructuras y la configuración de mando y control implican esfuerzos para pivotar dentro de las redes una vez obtenido el acceso.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

APT42 recopila capturas de pantalla del sistema, cookies de sesión del navegador, documentos de Microsoft 365 y keylogs, centrándose en material sensible desde el punto de vista político o estratégico.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El grupo ejecuta scripts y malware mediante PowerShell, VBScript, tareas programadas y enlaces web maliciosos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

La exfiltración de datos se realiza a través de canales HTTPS cifrados utilizando herramientas como NICECURL. También utilizan codificación Base64 e infraestructura anonimizada para ocultar el tráfico.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Las operaciones de APT42 se centran en la recopilación de inteligencia a largo plazo más que en la interrupción o el sabotaje. Su impacto radica en la vigilancia, el robo de datos y la recopilación de inteligencia geopolítica.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

APT42 inicia sus ataques con correos electrónicos de spearphishing que contienen enlaces maliciosos, o envía malware para Android como PINEFLOWER a objetivos móviles. Estos correos suelen hacerse pasar por contactos conocidos o instituciones de confianza.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

APT42 utiliza scripts de PowerShell (por ejemplo, POWERPOST) para escalar privilegios y acceder a información confidencial de cuentas.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Utilizan modificaciones en el registro, técnicas antiforenses como la eliminación de registros y del historial del navegador, y cargas útiles enmascaradas (como VINETHORN como software VPN) para evitar su detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

APT42 roba credenciales a través de la extracción del navegador web, keylogging, y mediante la interceptación de tokens de autenticación multifactor (MFA) utilizando páginas de inicio de sesión falsas.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

El grupo utiliza Windows Management Instrumentation (WMI) y herramientas de malware (GHAMBAR, POWERPOST) para inspeccionar el software de seguridad, las configuraciones del sistema y los ajustes de red.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Aunque los detalles de los movimientos laterales son menos concretos, la adquisición de infraestructuras y la configuración de mando y control implican esfuerzos para pivotar dentro de las redes una vez obtenido el acceso.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

APT42 recopila capturas de pantalla del sistema, cookies de sesión del navegador, documentos de Microsoft 365 y keylogs, centrándose en material sensible desde el punto de vista político o estratégico.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

El grupo ejecuta scripts y malware mediante PowerShell, VBScript, tareas programadas y enlaces web maliciosos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

La exfiltración de datos se realiza a través de canales HTTPS cifrados utilizando herramientas como NICECURL. También utilizan codificación Base64 e infraestructura anonimizada para ocultar el tráfico.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Las operaciones de APT42 se centran en la recopilación de inteligencia a largo plazo más que en la interrupción o el sabotaje. Su impacto radica en la vigilancia, el robo de datos y la recopilación de inteligencia geopolítica.

MITRE ATT&CK Cartografía

TTPs utilizadas por APT42

TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1656
Impersonation
T1112
Modify Registry
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1111
Multi-Factor Authentication Interception
T1056
Input Capture
TA0007: Discovery
T1518
Software Discovery
T1087
Account Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1530
Data from Cloud Storage
T1113
Screen Capture
TA0011: Command and Control
T1102
Web Service
T1573
Encrypted Channel
T1132
Data Encoding
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.

Preguntas frecuentes

¿Quién patrocina APT42?

¿Qué diferencia a APT42 de Magic Hound?

¿Cómo consigue APT42 el acceso inicial?

¿Qué malware utiliza APT42?

¿Cómo mantienen su persistencia en los sistemas infectados?

¿Utilizan credenciales robadas para plataformas cloud ?

¿Cómo evitan ser detectados?

¿Qué técnicas de detección son eficaces contra APT42?

¿Es destructiva la APT42?

¿Cómo pueden defenderse las organizaciones contra APT42?