Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Cinco campañas APT reales con un único resultado de detección

MetaDefender pone al descubierto ciberataques selectivos contra los sectores gubernamental, financiero e industrial
By OPSWAT
Comparte esta publicación

Las APT (amenazas persistentes avanzadas) funcionan de manera diferente a los ciberataques habituales. En lugar de lanzar campañas a gran escala, se basan en objetivos específicos, señuelos cuidadosamente elaborados y malware diseñado para integrarse en los flujos de trabajo cotidianos. Los atacantes suelen utilizar documentos como arma, ocultan cargas maliciosas dentro de herramientas legítimas y diseñan ataques específicamente para eludir las defensas tradicionales basadas en firmas.

Para demostrar cómo es posible seguir detectando estas amenazas, hemos analizado cinco casos reales de APT dirigidos a entornos gubernamentales, de defensa, financieros y de fabricación en Oriente Medio, Irán, Pakistán y el sur de Asia. En cada caso, MetaDefender detectó y analizó los ataques mediante su proceso unificado de detección de vulnerabilidades de día cero, que combina la reputación de las amenazas, el sandboxing adaptativo, la puntuación de amenazas y la búsqueda de similitudes basada en el aprendizaje automático.

Por qué son importantes los ataques APT dirigidos

Las campañas APT dirigidas están diseñadas para infiltrarse en organizaciones concretas, más que para propagarse a gran escala. Estos ciberataques suelen centrarse en entidades gubernamentales, infraestructuras críticas, instituciones financieras y sectores industriales en los que el robo de información o la interrupción de las operaciones pueden tener un valor estratégico.

A diferencia del malware común, los ataques APT están cuidadosamente diseñados para eludir las defensas tradicionales. Los atacantes suelen recurrir a documentos de spear-phishing, al envío escalonado de cargas útiles y a técnicas diseñadas para burlar los sistemas de detección basados en firmas o los sistemas de análisis automatizados.

Esta creciente sofisticación es una de las razones por las que las organizaciones están dando prioridad a la inspección del comportamiento y a la detección de vulnerabilidades de día cero. Los equipos de seguridad necesitan cada vez más información sobre cómo se comportan los archivos durante su ejecución, y no solo sobre su aspecto durante la inspección estática, para descubrir amenazas diseñadas expresamente para permanecer ocultas.

Cinco ejemplos reales de APT

Ataque n.º 1: Campaña de spear-phishing dirigida a organismos públicos

Contexto

APT34, también conocido como OilRig, es un grupo de ciberamenazas presuntamente vinculado al Estado iraní que lleva más de una década en activo. El grupo es conocido por sus campañas de ciberespionaje dirigidas contra organismos gubernamentales, empresas del sector energético y entidades financieras de todo Oriente Medio, y suele recurrir a correos electrónicos de spear-phishing cuidadosamente elaborados para obtener acceso inicial.

Los informes de inteligencia sobre amenazas revelan que APT34 utiliza con frecuencia documentos maliciosos para distribuir malware personalizado y mantener un acceso prolongado a los entornos de las víctimas. Estas campañas están diseñadas para parecer rutinarias a los ojos del destinatario, al tiempo que implementan de forma sigilosa herramientas de vigilancia y recopilación de datos.

Resumen del ataque

En este caso, los atacantes distribuyeron un documento malicioso de Microsoft Word a través de un correo electrónico de spear-phishing dirigido a organismos gubernamentales y organizaciones marítimas. El archivo tenía un título en árabe y trataba sobre la preparación de buques de guerra, lo que sugiere que se diseñó para parecer relevante para los destinatarios militares o diplomáticos de la región.

Al abrirlo, el documento solicitaba al usuario que habilitara las macros. Una vez habilitadas, la macro creaba un directorio camuflado como una carpeta legítima relacionada con Google e introducía archivos adicionales en el sistema. A continuación, la macro ejecutaba un pequeño script de VBA que utilizaba PowerShell y la reflexión de .NET para cargar dos cargas útiles en formato DLL pertenecientes a la familia de malware Karkoff.

Advertencia del sector

Este ataque pone de manifiesto el uso continuado del spear-phishing basado en documentos para infiltrarse en entornos sensibles. Las agencias gubernamentales, las organizaciones diplomáticas y las entidades marítimas siguen siendo objetivos frecuentes, ya que la información que poseen puede tener un gran valor estratégico.

Los equipos de seguridad de estos sectores deben considerar las amenazas basadas en documentos como un vector de intrusión principal. Incluso un solo archivo malicioso enviado por correo electrónico puede servir como punto de entrada para una campaña de espionaje a mayor escala.

Para obtener más información sobre este ataque y consultar el análisis completo, visite el informeOPSWAT .

Un informe de filescan.io señala a MicrosoftExchangeModule.dll como un archivo DLL de .NET sospechoso que cumple con varias reglas YARA.
El documento malicioso descarga tres archivos, ejecuta uno de ellos mediante una tarea programada y, a continuación, carga los otros dos utilizando la reflexión de .NET.

Ataque n.º 2: Campaña de spear-phishing mediante macros protegidas

Contexto

APT-C-35, conocido comúnmente como Donot, es un grupo de ciberdelincuentes con una larga trayectoria, famoso por sus campañas de spear-phishing dirigidas contra organismos gubernamentales y organizaciones estratégicas. Los investigadores en seguridad han observado que el grupo utiliza señuelos basados en documentos y marcos de malware personalizados para infiltrarse en víctimas concretas, en lugar de llevar a cabo ataques a gran escala.

Informes recientes también ponen de relieve el desarrollo continuo de las herramientas del grupo, incluidas las mejoras introducidas en el marco Jaca, que sirve de base para las actividades de espionaje y recopilación de datos. Estas campañas demuestran cómo el grupo adapta sus técnicas para eludir los análisis automatizados y mantener el acceso dentro de los entornos atacados.

Resumen del ataque

En este ejemplo, los atacantes enviaron un documento malicioso de Microsoft Office a través de un correo electrónico de spear-phishing dirigido a organizaciones vinculadas a los sectores industrial y gubernamental del sur de Asia. El documento contenía una macro protegida con contraseña, cuya contraseña correcta se facilitaba convenientemente en el correo electrónico para animar a la víctima a habilitar su ejecución.

Una vez introducida la contraseña correcta, la macro ejecutó código malicioso oculto diseñado para eludir los análisis automatizados. El código incluía bucles sin sentido destinados a agotar los recursos de análisis, código shell generado dinámicamente y, finalmente, ejecutó la carga útil a través del mecanismo API CryptEnumOIDInfo de Windows, lo que permitió al ataque eludir las técnicas de detección tradicionales.

Advertencia del sector

Este ataque pone de manifiesto cómo las campañas altamente selectivas suelen recurrir a pequeños trucos técnicos para eludir las defensas automatizadas. Las empresas manufactureras, las entidades gubernamentales y los sectores industriales vinculados a las cadenas de suministro regionales son objetivos habituales, ya que los atacantes saben que los empleados intercambian habitualmente documentos y archivos técnicos.

Los equipos de seguridad de estos sectores deben tratar con especial precaución los documentos protegidos con contraseña y los archivos con macros habilitadas. Incluso los archivos que parecen legítimos y que se envían por correo electrónico pueden ocultar sofisticadas técnicas de intrusión diseñadas para eludir las herramientas de inspección tradicionales.

Para obtener más información sobre este ataque y consultar el análisis completo, visite el informeOPSWAT .

La macro incrustada solicita una contraseña y solo ejecuta el código malicioso si se introduce la contraseña correcta.
El malware utiliza API dinámica API para localizar API confidenciales de Windows en tiempo de ejecución, lo que le permite eludir la detección.
La macro incluye una comprobación de contraseña, una técnica que se utiliza a menudo en las campañas de phishing para eludir los análisis automatizados.

Ataque n.º 3: Documento diseñado para robar credenciales dirigido a infraestructuras críticas

Contexto

Las campañas de ciberespionaje suelen dirigirse contra organizaciones vinculadas al ámbito gubernamental y a entornos de infraestructuras críticas. Las actividades de amenazas relacionadas con Irán se han centrado repetidamente en intrusiones selectivas destinadas a recabar credenciales, documentos internos e información de redes sensibles.

Los informes de inteligencia sobre amenazas también revelan que estas campañas suelen dar prioridad al robo de credenciales como punto de entrada inicial. Las credenciales robadas permiten a los atacantes ampliar su acceso de forma sigilosa y mantener su presencia en los entornos atacados a lo largo del tiempo.

Resumen del ataque

En este ejemplo, los atacantes distribuyeron un documento malicioso de Office con contenido en persa, diseñado para atacar a organizaciones en Irán. El documento se creó con el fin de recopilar información confidencial, como credenciales y documentos internos, además de capturar capturas de pantalla del sistema infectado.

Tras establecer la persistencia, el malware realizaba una comprobación de conectividad discreta con un dominio de confianza, como google.com, antes de continuar con su actividad. Este paso garantizaba que el sistema dispusiera de una conexión a Internet estable antes de iniciar nuevas comunicaciones o una posible filtración de datos.

Advertencia del sector

Este ejemplo muestra cómo las amenazas de robo de credenciales se utilizan con frecuencia en intrusiones dirigidas contra entornos de infraestructuras críticas. Estos sectores suelen operar en redes controladas, en las que los atacantes deben verificar la conectividad antes de intentar recopilar datos.

Las organizaciones responsables de sistemas críticos deben vigilar de cerca cualquier comportamiento sospechoso de los documentos y las comprobaciones de red inesperadas provocadas por archivos recién abiertos. Estos primeros indicios pueden señalar el inicio de una campaña de intrusión a mayor escala.

Para obtener más información sobre este ataque y consultar el análisis completo, visite el informeOPSWAT .

El malware realiza una comprobación de conectividad de forma sigilosa antes de descargar cargas útiles adicionales.

Ataque n.º 4: Documento de spear-phishing de MuddyWater titulado «Directrices de ciberseguridad»

Contexto

MuddyWater es un grupo de ciberdelincuentes ampliamente conocido y vinculado a actividades de ciberespionaje iraní. Los investigadores han documentado que el grupo ataca a organizaciones diplomáticas, de telecomunicaciones, financieras y gubernamentales en todo Oriente Medio mediante correos electrónicos de spear-phishing y documentos maliciosos.

Según informes recientes, el grupo está distribuyendo un implante basado en Rust conocido como «RustyWater» a través de correos electrónicos de phishing que contienen documentos de Word con macros activadas, camuflados como guías de ciberseguridad. La campaña se dirige a organizaciones de todo Oriente Medio y se basa en señuelos convincentes para provocar la ejecución de las macros.

Resumen del ataque

En este ejemplo, los atacantes enviaron un correo electrónico de spear-phishing titulado «Directrices de ciberseguridad» desde una cuenta legítima asociada a un mobile regional. El correo incluía un documento de Word malicioso diseñado para parecer una política rutinaria o un aviso de seguridad.

Una vez habilitadas las macros, el documento extraía una carga útil codificada en hexadecimal incrustada en el archivo y la reconstruía en un ejecutable de Windows. El malware se escribía en el disco y se ejecutaba mediante una lógica ofuscada que reconstruía cadenas clave durante la ejecución para dificultar el análisis de la macro.

El ejecutable descargado desplegaba un implante basado en Rust que incluía mecanismos antidepuración, cadenas operativas cifradas y comprobaciones de las herramientas de seguridad instaladas antes de establecer la comunicación de comando y control.

Advertencia del sector

Este ataque pone de manifiesto que las campañas de phishing dirigidas suelen recurrir a temas realistas relacionados con políticas o seguridad para aumentar la probabilidad de que los destinatarios abran los archivos adjuntos. Las organizaciones diplomáticas, los proveedores de telecomunicaciones y las instituciones financieras siguen siendo objetivos habituales de estas campañas.

Los equipos de seguridad de estos sectores deben manejar con precaución los documentos con macros activadas, sobre todo cuando se reciben a través de correos electrónicos inesperados. Incluso los archivos que parecen contener recomendaciones habituales sobre ciberseguridad pueden ocultar malware diseñado para establecer un acceso de intrusión a largo plazo.

Para obtener más información sobre este ataque y consultar el análisis completo, visite el informeOPSWAT .

El malware crea una carga útil basada en Rust camuflada como un archivo .ini y la ejecuta a través de la línea de comandos.

Ataque n.º 5: el malware poliglota CraftyCamel, dirigido al sector de la aviación y el transporte

Contexto

Las campañas altamente selectivas dirigidas contra organizaciones del sector de la aviación y el transporte han aumentado, ya que los atacantes buscan formas de acceder a entornos operativos sensibles. Estos sectores suelen gestionar sistemas y cadenas de suministro complejos, lo que los convierte en objetivos atractivos para el espionaje y las intrusiones a largo plazo.

Según informes recientes, se ha descrito una campaña conocida como CraftyCamel, que utilizaba archivos poliglotas capaces de funcionar simultáneamente en múltiples formatos. Estos archivos estaban diseñados para eludir las herramientas de inspección tradicionales y tenían como objetivo entornos de aviación y de tecnología operativa.

Resumen del ataque

En este ejemplo, los atacantes enviaron un correo electrónico de phishing cuidadosamente elaborado, procedente de una empresa legítima que había sido comprometida, con el fin de aumentar su credibilidad. El mensaje incluía un archivo ZIP que contenía archivos camuflados como documentos legítimos, pero diseñados para ejecutar código oculto.

Dentro del archivo, los atacantes utilizaron archivos poliglotas, entre los que se incluía un documento de Excel falso que en realidad era un acceso directo de Windows (LNK), así como combinaciones adicionales de PDF/HTA y PDF/ZIP. Estos archivos se valían de utilidades de confianza de Windows, como mshta.exe, para ejecutar scripts ocultos y, en última instancia, cargar la carga útil final del malware camuflada como una imagen.

Advertencia del sector

Este ataque pone de manifiesto cómo las campañas de intrusión modernas recurren cada vez más a estructuras de archivos complejas para eludir las herramientas de detección tradicionales. Las empresas de los sectores de la aviación, los satélites, las telecomunicaciones y el transporte se encuentran especialmente expuestas, ya que intercambian habitualmente documentos técnicos y archivos operativos.

Los equipos de seguridad de estos sectores deben ser conscientes de que los archivos que parecen documentos inofensivos pueden ocultar múltiples formatos incrustados o vías de ejecución ocultas. La detección de estas amenazas requiere un análisis exhaustivo capaz de revelar comportamientos maliciosos ocultos en estructuras de archivos complejas.

Para obtener más información sobre este ataque y consultar el análisis completo, visite el informeOPSWAT .

El PDF se ha identificado como una amenaza confirmada; el análisis en entorno aislado ha detectado comportamiento malicioso y ha extraído los archivos sospechosos.
El archivo extraído inicia un proceso tar, lo que indica la ejecución de una carga útil integrada.

Cómo MetaDefender detectó las cinco

Estos ejemplos muestran un patrón habitual: los atacantes recurren a archivos cuidadosamente elaborados y diseñados para eludir los controles tradicionales. Los documentos con macros habilitadas, los scripts protegidos y los archivos poliglotas están diseñados para burlar los análisis basados en firmas y los análisis estáticos básicos.

MetaDefender aborda este reto mediante un proceso unificado de detección de amenazas de día cero que analiza cada archivo utilizando múltiples capas complementarias. En lugar de basarse en una única técnica de detección, el sistema evalúa la reputación, el comportamiento y las señales de similitud para ofrecer un veredicto único y fiable a los equipos de seguridad.

El proceso combina cuatro capas que funcionan conjuntamente:

  1. Comprobaciones de la reputación de amenazas basadas en información global que contiene miles de millones de indicadores
  2. Un entorno de ejecución aislado adaptativo a nivel de instrucción que emula el comportamiento de la CPU y del sistema operativo para detectar actividades maliciosas durante la ejecución
  3. Una puntuación de amenazas que integra indicadores de comportamiento, datos de reputación y resultados de análisis en una evaluación de riesgos unificada
  4. La búsqueda de amenazas utiliza un sistema de búsqueda por similitud basado en el aprendizaje automático que identifica variantes de malware relacionadas y patrones de campañas

En conjunto, estas capas ponen de manifiesto comportamientos evasivos, como la ejecución de macros ocultas, la entrega de cargas útiles por etapas y las técnicas anti-análisis. El resultado es un veredicto único y útil por cada archivo, lo que permite a los equipos de seguridad detectar rápidamente los ataques dirigidos y reducir al mismo tiempo el ruido en la investigación.

Lo que demuestran estos casos

Estos cinco ejemplos muestran cómo los ataques APT modernos están diseñados para eludir los controles de seguridad tradicionales. Cada campaña se basó en técnicas como documentos de spear-phishing, macros protegidas, entrega de cargas útiles en varias fases o archivos poliglotas para ocultar el comportamiento malicioso dentro de archivos aparentemente rutinarios.

En conjunto, estos casos demuestran que MetaDefender es capaz de detectar de forma sistemática amenazas específicas de cada región, patrones de ataque adaptados a sectores concretos y malware evasivo en escenarios de intrusión muy diversos:

1. Los ataques dirigidos se basan en gran medida en técnicas de intrusión basadas en archivos. 


    Los documentos de spear-phishing, los archivos adjuntos camuflados y las estructuras de archivos complejas siguen siendo puntos de acceso habituales a entornos confidenciales.

    2. Los atacantes diseñan cada vez más malware para eludir los análisis automatizados. 


    Técnicas como las macros protegidas, la entrega por etapas de la carga útil y los controles anti-análisis tienen por objeto eludir las herramientas de inspección tradicionales.

    3. La detección debe ser coherente en todas las técnicas de ataque. 


    Los equipos de seguridad no pueden basarse en un único método de detección cuando las campañas utilizan múltiples formatos de archivo y estrategias de distribución.

    4. La inspección basada en el comportamiento es fundamental para detectar amenazas ocultas.

    Observar cómo se comporta un archivo durante su ejecución puede revelar actividades maliciosas que la inspección estática por sí sola podría pasar por alto.

    Al combinar datos de reputación, análisis de comportamiento, puntuación de amenazas y detección de similitudes, MetaDefender ofrece una detección coherente y reproducible, incluso cuando los atacantes camuflan sus herramientas, cargas útiles o métodos de distribución. Y lo que es más importante, estos casos demuestran que las campañas dirigidas diseñadas para eludir las defensas tradicionales pueden detectarse antes de que alcancen su objetivo.

      Por qué es importante en entornos regulados y de alto riesgo

      Los ataques APT selectivos rara vez se dirigen a víctimas aleatorias. Se centran en organizaciones en las que el robo de información, la interrupción de las operaciones o el acceso a largo plazo pueden suponer una ventaja estratégica.

      Las agencias gubernamentales, las organizaciones de defensa, las instituciones financieras y los fabricantes se enfrentan a un problema común: amenazas dirigidas basadas en archivos y diseñadas para eludir los controles tradicionales. Estos entornos dependen del intercambio seguro de documentos, las actualizaciones de software y la continuidad operativa, lo que convierte a un solo archivo malicioso en un punto de intrusión de graves consecuencias.

      MetaDefender da respuesta a estos requisitos al ofrecer una detección unificada de amenazas de día cero diseñada para entornos regulados y de alto riesgo. Su proceso de detección proporciona inteligencia contextual, visibilidad de nivel forense, informes orientados al cumplimiento normativo y un único veredicto fiable por archivo. Esto ayuda a las organizaciones a llevar a cabo una búsqueda proactiva de amenazas, al tiempo que mantienen el cumplimiento de marcos normativos como NERC CIP, NIS2, IEC 62443, SWIFT CSP y CMMC.

      Las organizaciones que operan en estos sectores no pueden dar por sentado que los ataques sofisticados dejarán de evolucionar. Sin embargo, al combinar la inspección del comportamiento con el análisis basado en inteligencia, los equipos de seguridad pueden detectar amenazas dirigidas antes de que pongan en peligro los sistemas críticos.

      Descubre los ejemplos reales de APT detectados por MetaDefender .

      Más información sobre MetaDefender y la detección unificada de vulnerabilidades de día cero.

      Etiquetas:

      ¡Mantente al día con OPSWAT!

      Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.