Threat Actor Catalogs: quién es quién en el cibercrimen

El problema del naming

El mismo grupo de threat actors puede tener 5-10 nombres diferentes según quién lo investigue. APT28 es Fancy Bear es Sofacy es STRONTIUM es Forest Blizzard es Pawn Storm es Sednit es Iron Twilight. Para un analista que lee informes de múltiples vendors, esto es un caos.

Los catálogos de threat actors resuelven este problema: mapean todos los alias a una entidad unificada con metadata estandarizada.

Top catálogos y repositorios

1. MITRE ATT&CK Groups

Web: attack.mitre.org/groups/ Formato: STIX 2.1 via TAXII | Estado: actualización semestral

El catálogo oficial de MITRE. ~140 grupos documentados con: nombre canónico, aliases, descripción, TTPs mapeadas, software usado, campañas documentadas. Cada grupo tiene un ID único (G0007 = APT28).

Valor: es la referencia canónica. Cuando escribes un informe CTI, usa el MITRE ID como identificador primario. Los aliases se listan como referencia.

2. Malpedia (Fraunhofer FKIE)

Web: malpedia.caad.fkie.fraunhofer.de Formato: API REST | Estado: muy activo

Base de conocimiento que conecta actores con familias de malware. Cada actor tiene: aliases por vendor, familias de malware atribuidas, referencias (papers, blog posts), y muestras de malware asociadas (hashes). Más granular que MITRE en el mapping actor → malware.

Valor: cuando necesitas saber qué malware usa un grupo específico, Malpedia es la fuente más completa.

3. APT Groups and Operations Sheet

Repo: múltiples mirrors en GitHub Formato: Google Sheets / CSV

Spreadsheet colaborativa mantenida por la comunidad que mapea grupos APT con: país de origen, motivación, sectores objetivo, malware asociado, fuentes. Menos formal que MITRE pero más ágil en actualizaciones.

Valor: overview rápido. Cuando necesitas una visión panorámica de quién ataca qué sector desde qué país, esta sheet es la referencia más rápida.

4. ETDA ThaiCERT Threat Actor Encyclopedia

Web: apt.etda.or.th Estado: activo

Enciclopedia mantenida por ThaiCERT con profiles detallados de grupos APT. Incluye timelines de campañas, malware arsenal y diagramas de relaciones.

Valor: profiles muy completos con contexto geopolítico. Buenos para briefings ejecutivos.

5. Microsoft Threat Actor Naming

Web: microsoft.com/en-us/security/blog/ Estado: nomenclatura activa desde 2023

Microsoft cambió su naming en 2023 del sistema ELEMENT (STRONTIUM, HAFNIUM) al sistema meteorológico (Forest Blizzard, Volt Typhoon). Cada prefijo indica el país de origen:

• Blizzard: Rusia
• Typhoon: China
• Sandstorm: Irán
• Sleet: Corea del Norte
• Tempest: Financiero/criminal
• Storm: grupo sin atribución confirmada

Valor: si lees informes de Microsoft, necesitas la tabla de traducción de nombres. El prefijo meteorológico te dice inmediatamente la atribución país.

Cómo usar catálogos para CTI

Workflow de identificación de actor

1. Encuentras IOCs en tu investigación
2. Buscas IOCs en ThreatFox, OTX, VirusTotal
3. Identificas malware asociado (ej: Cobalt Strike + Mimikatz + custom loader)
4. Buscas en Malpedia qué actores usan ese combo de malware
5. Verificas en MITRE Groups las TTPs observadas vs las del actor candidato
6. Consultas APT Sheet para contexto (sector, país, motivación)
7. Documentas atribución con nivel de confianza

Mapping de aliases

Cuando lees un informe que menciona "Fancy Bear", necesitas saber que es APT28 (MITRE) = G0007. Los catálogos son tu tabla de traducción:

Vendor	Naming	Ejemplo APT28
MITRE	G-code + nombre	G0007 APT28
CrowdStrike	Animal	Fancy Bear
Microsoft (nuevo)	Weather	Forest Blizzard
Microsoft (legacy)	Element	STRONTIUM
Kaspersky	Varios	Sofacy
FireEye/Mandiant	APT + número	APT28
Secureworks	Color + animal	Iron Twilight

Veredicto

MITRE Groups como referencia canónica. Malpedia para mapping actor → malware. APT Sheet para overview rápido. Microsoft naming para traducir informes de Microsoft. Ningún catálogo es completo por sí solo: la mejor CTI cruza múltiples fuentes.