APT28 (también conocido como Fancy Bear, STRONTIUM, Forest Blizzard, Sofacy, Pawn Storm, Sednit) es una unidad de ciberespionaje del GRU (inteligencia militar rusa), específicamente la Unidad 26165 con base en Moscú. Activo desde al menos 2004, es uno de los grupos APT más prolíficos y documentados del mundo.

¿Qué ataques famosos ha realizado APT28?

Los más conocidos: hackeo del Comité Nacional Demócrata de EEUU (2016), ataque al Bundestag alemán (2015), hackeo de la Agencia Mundial Antidopaje WADA (2016), campaña contra la OTAN y gobiernos europeos (continua), y múltiples operaciones contra Ucrania.

¿Cómo detectar actividad de APT28?

Indicadores clave: phishing con adjuntos que explotan vulnerabilidades de Office/Windows, uso de herramientas como X-Agent/X-Tunnel con C2 sobre HTTP/HTTPS, credential harvesting via páginas de login falsas, y explotación de vulnerabilidades en Outlook (CVE-2023-23397) y servicios expuestos.

¿APT28 y APT29 son el mismo grupo?

No. Ambos son rusos pero de agencias diferentes. APT28 es GRU (inteligencia militar, Unidad 26165). APT29 es SVR (inteligencia exterior, antiguos KGB). Tienen diferentes herramientas, TTPs y objetivos, aunque a veces atacan los mismos targets (como el DNC en 2016, donde ambos estaban presentes simultáneamente sin saber del otro).

IntermedioAPT28RusiaGRUespionajethreat actor

APT28 (Fancy Bear): GRU Unit 26165, Herramientas y Campañas

Perfil técnico completo de APT28 (Fancy Bear/STRONTIUM/Forest Blizzard): unidad 26165 del GRU ruso. Herramientas (X-Agent, X-Tunnel, Zebrocy), técnicas ATT&CK, campañas documentadas (DNC, Bundestag, WADA), y detección.

MalwareIntel Research·27 de mayo de 2026·7 min lectura

Serie: APTs y Threat Actors — Parte 2

APT28 es la unidad de ciberespionaje del GRU ruso más prolífica y documentada de los últimos 20 años

APT28 (Fancy Bear) es una unidad de ciberespionaje adscrita a la Unidad 26165 del GRU (Glavnoye Razvedyvatelnoye Upravleniye), el servicio de inteligencia militar de Rusia. Activo desde al menos 2004, ha conducido operaciones contra gobiernos, organizaciones militares, agencias de inteligencia, medios de comunicación, y organizaciones internacionales en más de 40 países. En 2018, un gran jurado de EEUU acusó formalmente a 12 oficiales del GRU por las operaciones de 2016.

Ficha del grupo

Campo	Detalle
MITRE ID	G0007
Nombres	Fancy Bear, STRONTIUM, Forest Blizzard, Sofacy, Sednit, Pawn Storm, Iron Twilight, Fighting Ursa, TA422, ITG05, BlueDelta
Atribución	GRU Unidad 26165 (85th Main Special Service Center), Moscú
País	Rusia
Motivación	Espionaje político/militar, influencia, sabotaje
Activo desde	2004 (posiblemente antes)
Nivel	Tier 2 (avanzado): zero-days ocasionales, custom malware robusto
Sectores objetivo	Gobierno, defensa, OTAN, think tanks, medios, organizaciones internacionales, deportes (antidopaje)
Regiones	Europa, EEUU, Ucrania, Oriente Medio, Cáucaso

Herramientas y malware

Arsenal principal

Herramienta	Tipo	Plataforma	Descripción
X-Agent (Sofacy)	Backdoor modular	Windows, Linux, iOS, Android	Backdoor principal con módulos de keylogging, captura pantalla, exfiltración. C2 HTTP/HTTPS
X-Tunnel	Tunneling tool	Windows	Proxy de red que encapsula tráfico a través de la red comprometida
Zebrocy	Downloader/Backdoor	Windows	Escrito en Delphi/Go/AutoIt. Primer stage frecuente
Koadic	C2 framework	Windows	Framework JScript/VBScript para post-explotación
LoJax	UEFI rootkit	Firmware	Primer rootkit UEFI observado in-the-wild (2018)
Cannon	Backdoor	Windows	Usa email (IMAP/POP3) como canal C2
SkinnyBoy	Downloader	Windows	Entrega de payloads en campañas 2021+
Graphite	Backdoor	Windows	Usa Microsoft Graph API como C2 (2022+)
HeadLace	Backdoor	Windows	Campañas 2023-2024, credential harvesting

Herramientas de terceros usadas

Mimikatz (credential dumping)
Responder (LLMNR/NBT-NS poisoning)
Impacket (remote execution)
Certutil (descarga de payloads)
PowerShell Empire (post-explotación)

Técnicas ATT&CK principales

Initial Access

Técnica	ID	Uso por APT28
Phishing: Spearphishing Attachment	T1566.001	Documentos Office con macros/exploits (método primario)
Phishing: Spearphishing Link	T1566.002	Links a páginas de credential harvesting
Exploit Public-Facing Application	T1190	CVE-2023-23397 (Outlook NTLM relay), CVE-2023-38831 (WinRAR)
Valid Accounts	T1078	Credenciales obtenidas por phishing previo

Patrón de phishing APT28:

1. Investigación del target (LinkedIn, sitio web, org chart)
2. Email personalizado desde dominio typosquat o cuenta comprometida
3. Adjunto: documento Office con macro → descarga Zebrocy/X-Agent
   O enlace a página de login falsa (credential harvesting)
4. Tema: temas políticos, militares, conferencias del sector

Execution y Persistence

Técnica	ID	Uso
PowerShell	T1059.001	Scripts de descarga y post-explotación
Scheduled Task	T1053.005	Persistencia de X-Agent
Registry Run Keys	T1547.001	Persistencia secundaria
UEFI firmware	T1542.001	LoJax (rootkit firmware, 2018)

Credential Access

Técnica	ID	Uso
LSASS Memory	T1003.001	Mimikatz para dump de credenciales
NTLM Relay	T1187	CVE-2023-23397 (Outlook, robo hash NTLM sin interacción)
Credential Harvesting	T1056	Páginas de login falsas (Gmail, Outlook Web)
Kerberoasting	T1558.003	Contra Active Directory en redes comprometidas

CVE-2023-23397 (Outlook NTLM relay): Vulnerabilidad que permite al atacante enviar un email especialmente crafteado que, al ser procesado por Outlook (sin que el usuario lo abra), envía el hash NTLM de la víctima al servidor del atacante. APT28 la explotó masivamente contra gobiernos europeos antes de que se parcheara.

Lateral Movement y Exfiltration

Técnica	ID	Uso
SMB/Admin Shares	T1021.002	Movimiento via PsExec e Impacket
Remote Desktop	T1021.001	RDP con credenciales robadas
HTTPS C2	T1071.001	X-Agent beacon sobre HTTPS
DNS C2	T1071.004	Canal C2 backup
Exfiltration Over C2	T1041	Datos exfiltrados via canal X-Agent

Campañas documentadas

2015: Bundestag (Parlamento alemán)

APT28 comprometió la red del Bundestag durante meses. Se exfiltraron 16 GB de datos incluyendo emails de parlamentarios. Alemania emitió una orden de arresto contra un oficial del GRU en 2020.

2016: DNC y elecciones estadounidenses

La operación más mediática. APT28 (junto con APT29, que accedió por separado) comprometió el Comité Nacional Demócrata. Los emails fueron filtrados via DCLeaks y WikiLeaks. El gran jurado de Mueller acusó a 12 oficiales del GRU.

Cadena del ataque DNC:

Phishing → credenciales de John Podesta → acceso email
→ Spearphishing attachment → X-Agent en red DNC
→ Lateral movement → acceso a servidores email y archivos
→ Exfiltración → publicación via DCLeaks/Guccifer 2.0/WikiLeaks

2016: WADA (Agencia Mundial Antidopaje)

Tras la prohibición de atletas rusos por dopaje, APT28 hackeó WADA y filtró expedientes médicos de atletas internacionales (incluyendo Simone Biles, Venus/Serena Williams).

2017-2018: Sector energético europeo

Campañas contra empresas de energía en Europa, coincidiendo con tensiones sobre Nord Stream y dependencia energética de Rusia.

2022-2024: Ucrania y aliados

Intensificación masiva tras la invasión de Ucrania. Campañas contra:

Gobierno ucraniano (múltiples ministerios)
Gobiernos de la OTAN (Polonia, Chequia, Francia, Alemania)
Medios de comunicación ucranianos y europeos
Sector energético europeo
Explotación masiva de CVE-2023-23397

2023-2024: HeadLace y Graphite

Nuevas herramientas observadas:

HeadLace: backdoor para campañas de credential harvesting contra gobiernos europeos
Graphite: backdoor que usa Microsoft Graph API como canal C2, dificultando la detección (tráfico a graph.microsoft.com es legítimo)

Detección

IOC patterns

Indicadores de phishing APT28:
- Dominios typosquat similares a targets (ej: login-microsoftonline[.]com)
- Documentos Office con macros que descargan de dominios recién registrados
- Emails con temas políticos/militares dirigidos a funcionarios

Indicadores de post-explotación:
- X-Agent C2: HTTPS POST a rutas específicas (/api/v1/, /update/check/)
- Zebrocy: HTTP POST con datos codificados en base64 en el body
- LoJax: modificación de firmware UEFI (detectable con CHIPSEC)
- Named pipes específicos de X-Agent
- Scheduled tasks con nombres que imitan servicios Windows

Reglas de detección

Tipo	Qué detectar
Sigma	Ejecución de certutil para descarga, scheduled tasks sospechosas
YARA	Strings de X-Agent, Zebrocy, Cannon en memoria/disco
Suricata	Patrones de C2 HTTP de X-Agent/Zebrocy
Sysmon	Process creation chains típicas (Office → cmd → PowerShell → payload)
AD	CVE-2023-23397: calendar reminders con UNC paths

Prevención prioritaria

Parchear CVE-2023-23397 (Outlook) inmediatamente
MFA en todos los accesos (credencial harvesting es vector principal)
Email gateway avanzado con sandbox (adjuntos Office)
Macro policies restrictivas (deshabilitar macros de Internet)
UEFI Secure Boot verificado (contra LoJax)
Monitorizar tráfico a Graph API (contra Graphite)

Estado actual (2025-2026)

APT28 sigue siendo uno de los grupos más activos, con foco principal en:

Ucrania y aliados de la OTAN (espionaje y pre-posicionamiento)
Sector energético europeo
Organizaciones internacionales (OSCE, ONU)
Think tanks y medios que cubren política rusa

La tendencia es hacia herramientas que abusan de servicios cloud legítimos (Microsoft Graph, Google APIs) para C2, dificultando la detección basada en destinos de red.

Conclusión

APT28 es el grupo del GRU más documentado y uno de los APTs más activos globalmente. Su persistencia durante dos décadas, la diversidad de herramientas (desde phishing hasta rootkits UEFI), y su disposición a realizar operaciones de alto perfil (DNC, WADA) lo convierten en referencia obligada para cualquier analista de CTI. La defensa prioritaria: MFA + patching agresivo + email security avanzada.

Fuentes y referencias

MITRE ATT&CK: APT28 (G0007)
Mueller Report: Indictment of 12 GRU officers (2018)
ESET: "Sednit: Approaching the Target" (whitepaper series)
Microsoft: "Forest Blizzard" threat profile
CrowdStrike: "Fancy Bear" adversary profile
Mandiant: APT28 campaign reports
CISA: Multiple advisories on APT28 activity