Grupos APT en ATT&CK: Cómo Investigarlos
Cómo usar MITRE ATT&CK para investigar grupos APT: navegar perfiles de actores, analizar sus TTPs, crear layers en Navigator, y usar threat intelligence para priorizar defensas contra actores relevantes para tu sector.
ATT&CK documenta más de 140 grupos adversarios con sus técnicas, herramientas y campañas
MITRE ATT&CK no solo cataloga técnicas: también documenta los grupos que las usan, qué herramientas emplean y en qué campañas se han observado. Esta información permite a los equipos de seguridad responder la pregunta más importante: "¿contra quién nos estamos defendiendo?" y priorizar detecciones basándose en las técnicas reales de sus adversarios más probables.
Estructura de un perfil de grupo en ATT&CK
Cada grupo documentado incluye:
| Campo | Contenido | Ejemplo (APT28) |
|---|---|---|
| Name | Nombre principal | APT28 |
| Associated Groups | Nombres alternativos | Fancy Bear, STRONTIUM, Pawn Storm, Sofacy, Sednit |
| Group ID | Identificador ATT&CK | G0007 |
| Description | Contexto, atribución, motivación | GRU Unit 26165, Rusia, espionaje político/militar |
| Techniques Used | Técnicas observadas con referencias | T1566.001, T1059.001, T1003.001, ... (50+ técnicas) |
| Software | Herramientas y malware asociados | X-Agent, X-Tunnel, Zebrocy, Koadic, Mimikatz |
| Campaigns | Campañas documentadas | Democratic National Committee (2016), ... |
Cómo investigar un grupo: flujo práctico
Paso 1: Identificar grupos relevantes
Filtrar la lista de grupos por relevancia para tu organización:
Criterios de filtrado:
1. Sector: ¿atacan tu industria? (financiero, energía, gobierno, salud, tech)
2. Región: ¿atacan tu zona geográfica? (Europa, LATAM, APAC)
3. Motivación: ¿su objetivo se alinea con tu perfil de riesgo?
- Espionaje: IP, datos estratégicos, gobierno
- Financiero: dinero, ransomware, fraude
- Destructivo: wipers, sabotaje (geopolítico)
4. Actividad reciente: ¿están activos en los últimos 12 meses?
Paso 2: Analizar TTPs del grupo
Para cada grupo relevante, revisar sus técnicas documentadas en ATT&CK:
APT28 (Fancy Bear) — Ejemplo de análisis:
Tácticas con mayor concentración de técnicas:
- Initial Access: T1566.001 (phishing), T1190 (exploit)
- Execution: T1059.001 (PowerShell), T1204.002 (user execution)
- Persistence: T1547.001 (registry), T1053.005 (scheduled task)
- Credential Access: T1003.001 (LSASS), T1558.003 (Kerberoasting)
- Defense Evasion: T1027 (obfuscation), T1055 (process injection)
- C2: T1071.001 (HTTPS), T1071.004 (DNS)
- Collection: T1114.002 (remote email collection)
- Exfiltration: T1041 (over C2)
Insight clave: APT28 es sofisticado en Initial Access (zero-days) pero usa técnicas relativamente estándar para post-explotación. Detectar T1003.001 (LSASS dump) y T1071.004 (DNS tunneling) cubriría fases críticas de sus operaciones.
Paso 3: Crear layer en Navigator
Descargar las técnicas del grupo como JSON desde ATT&CK y cargar en Navigator:
attack.mitre.org → Groups → APT28 → ATT&CK Navigator Layers
→ Descargar JSON
→ Importar en Navigator
→ Overlay con tu capa de cobertura defensiva
→ Identificar gaps (técnicas del actor que NO detectas)
Paso 4: Priorizar gaps
De las técnicas del actor que no detectas, priorizar por:
- Frecuencia de uso: técnicas que usa en la mayoría de sus campañas
- Impacto: técnicas que habilitan las fases más dañinas
- Viabilidad de detección: técnicas para las que existen data sources disponibles
Paso 5: Construir detecciones
Para cada gap priorizado, crear detección usando las data sources que ATT&CK documenta para cada técnica.
Grupos por motivación y sector
Espionaje (APTs estado-nación)
| Grupo | ID | País | Sectores objetivo | Técnicas distintivas |
|---|---|---|---|---|
| APT28 | G0007 | Rusia (GRU) | Gobierno, defensa, energía | Zero-days, credential harvesting |
| APT29 | G0016 | Rusia (SVR) | Gobierno, tech, think tanks | Supply chain, cloud abuse |
| APT41 | G0096 | China (MSS) | Tech, telecoms, gaming, salud | Dual espionaje + financiero |
| Lazarus | G0032 | DPRK (RGB) | Finanzas, crypto, defensa | Custom tooling, supply chain |
| Turla | G0010 | Rusia (FSB) | Gobierno, embajadas, militar | Satellite hijacking, steganography |
| Sandworm | G0034 | Rusia (GRU) | Energía, telecoms, gobierno | Wipers, ICS attacks |
| Volt Typhoon | — | China | Infraestructura crítica US | Living-off-the-land, sin malware |
Financiero (cibercrimen)
| Grupo | ID | Tipo | Sectores | Técnicas distintivas |
|---|---|---|---|---|
| FIN7 | G0046 | Cibercrimen | Retail, hostelería, financiero | Phishing sofisticado, POS malware |
| Cl0p | G0092 | Ransomware/extorsión | Todos | Mass exploitation (MOVEit, GoAnywhere) |
| LockBit affiliates | — | RaaS | Todos | Velocidad: 24-48h acceso→cifrado |
| Scattered Spider | — | Cibercrimen | Tech, telecoms | Social engineering, SIM swap |
| FIN11 | G0085 | Ransomware/extorsión | Todos | Asociado a Cl0p, phishing masivo |
Hacktivismo / Destructivo
| Grupo | País/afiliación | Objetivo | Técnicas |
|---|---|---|---|
| Sandworm (destructivo) | Rusia | Ucrania, energía | Wipers, ICS attacks |
| LAPSUS$ | Brasil/UK | BigTech | Social engineering extremo |
| Anonymous / KillNet | Varios | Gobierno, corporaciones | DDoS, defacement, data leaks |
Software asociado a grupos
ATT&CK documenta las herramientas que cada grupo usa. Esto permite detección por herramienta:
| Software | ID | Grupos que lo usan | Tipo |
|---|---|---|---|
| Cobalt Strike | S0154 | APT29, FIN7, Cl0p, LockBit affiliates, + | C2 framework |
| Mimikatz | S0002 | APT28, APT29, FIN7, Lazarus, + | Credential tool |
| BloodHound | S0521 | Múltiples ransomware affiliates | AD reconnaissance |
| Impacket | S0357 | APT28, Lazarus, ransomware groups | Remote execution suite |
| Sliver | S0633 | Emergente, reemplaza Cobalt Strike | C2 framework |
Si detectas Cobalt Strike en tu red, los grupos sospechosos incluyen APT29, FIN7, Cl0p affiliates, y operadores de ransomware.
Ejemplo práctico: threat-informed defense para sector financiero en España
Paso 1: Grupos relevantes
- FIN7 (cibercrimen financiero, Europa)
- Cl0p (ransomware + mass exploitation, global)
- Lazarus (robo financiero, crypto, global)
- Scattered Spider (social engineering, telecoms+finanzas)
- APT28 (espionaje, si datos de gobierno)
Paso 2: Técnicas comunes entre estos grupos
T1566.001 Phishing Attachment — TODOS
T1059.001 PowerShell — TODOS
T1003.001 LSASS dump — TODOS
T1021.002 SMB/Admin shares — FIN7, Cl0p, Scattered Spider
T1486 Ransomware — Cl0p, LockBit (vía affiliates)
T1190 Exploit Public App — Cl0p (MOVEit), Lazarus
T1078.004 Cloud Accounts — Scattered Spider
Paso 3: Priorizar detecciones
P0: T1566.001 (phishing) + T1003.001 (LSASS) + T1190 (patching)
P1: T1059.001 (PowerShell monitoring) + T1021.002 (SMB lateral)
P2: T1078.004 (cloud auth) + T1486 (ransomware canary files)
Paso 4: Validar con emulación
Atomic Red Team tests para T1003.001, T1059.001, T1021.002
CALDERA scenario para cadena FIN7
Conclusión
Investigar grupos APT en ATT&CK transforma la defensa de genérica a específica. En vez de intentar detectar todas las técnicas, priorizas las que usan los adversarios que realmente amenazan tu sector y región. El flujo es: identificar grupos relevantes → analizar TTPs → comparar con cobertura → cerrar gaps → validar con emulación. La serie completa de APTs y Threat Actors profundiza en perfiles individuales.
Fuentes y referencias
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.