SOC Prime Bias: Crítico

16 Dec 2025 16:22 UTC

Ciberespionaje de APT15: Análisis de Campañas y TTPs

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Ciberespionaje de APT15: Análisis de Campañas y TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

APT15 es un grupo chino de ciberespionaje patrocinado por el estado activo desde 2010, que se dirige principalmente a agencias gubernamentales, misiones diplomáticas y organizaciones militares. Los actores dependen de la suplantación de identidad dirigida, la explotación de aplicaciones expuestas al público y puertas traseras personalizadas para obtener acceso inicial y mantener posiciones a largo plazo. Su conjunto de herramientas incluye esteganografía, enmascaramiento, manipulación del registro y canales C2 encriptados incrustados en encabezados HTTP o tráfico DNS. La campaña sigue evolucionando con nuevas herramientas como Graphican y la red de retransmisión ORB3.

Investigación

La investigación mapeó múltiples familias de malware (BS2005, TidePool, MirageFox, Graphican, etc.) y un conjunto completo de técnicas ATT&CK que abarcan acceso inicial, ejecución, persistencia, escalamiento de privilegios, evasión de defensa, acceso a credenciales, descubrimiento, recopilación, exfiltración y control y comando. Los analistas extrajeron indicadores concretos, incluidos dominios, rutas de archivos, llaves de registro y líneas de comando de los datos del caso. La infraestructura del grupo aprovecha dominios como goback.stranged.net and finance.globaleducat.com para operaciones C2.

Mitigación

Las medidas de defensa recomendadas incluyen el escaneo riguroso de archivos adjuntos de correo electrónico, la actualización inmediata de parches en Microsoft Exchange, SharePoint y dispositivos VPN, y el monitoreo de modificaciones sospechosas en el registro, tareas programadas anormales y ejecución de cargas útiles basadas en rundll32 o COM. La monitorización de la red debe centrarse en actividad de cookies HTTP atípica y consultas DNS TXT alineadas con patrones conocidos de C2. La lista blanca de aplicaciones y los análisis de comportamiento pueden ayudar a bloquear el uso de archivadores renombrados y cargas útiles PNG basadas en esteganografía.

Respuesta

Cuando se detecta actividad de APT15, aísle el host afectado, capture datos volátiles y todos los artefactos IOC relacionados, y bloquee los dominios e IPs C2 identificados. Realice un análisis forense completo para localizar accesos directos persistentes, tareas programadas y cambios en el registro, luego erradique los componentes maliciosos y restablezca cualquier credencial comprometida. Informe a los usuarios afectados y actualice las reglas de detección para cubrir las líneas de comando, rutas de archivos e indicadores de infraestructura observados.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Narrativa de Ataque y Comandos:

  1. Preparación: El adversario ya ha comprometido una cuenta de usuario y ha aterrizado en el punto final.
  2. Preparación de Datos (T1059.003): Usando el exacto xcopy sintaxis observada en actividad histórica de APT15, el atacante copia los archivos del escritorio de la víctima a una carpeta temporal oculta de WMI, preservando las marcas de tiempo (/D:09-29-2021) para mezclarse con la actividad legítima del sistema.
  3. Ejecución de Carga Útil (T1218.002): El atacante luego invoca rundll32.exe con una ruta de nombre corto (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) para ejecutar JavaScript malicioso que establece la persistencia.
  4. Resultado: Ambos comandos generan eventos de creación de procesos distintos que coinciden con la regla Sigma selección1 and selección2 respectivamente, activando una alerta.

Script de Prueba de Regresión:

# -------------------------------------------------
# Script de Simulación APT15 – activa la regla Sigma
# -------------------------------------------------

# 1. Crear directorios de preparación y archivos ficticios
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "datos sensibles" -Encoding UTF8

# 2. Ejecutar el comando xcopy exacto utilizado por APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Desplegar la DLL maliciosa (simulada copiando una DLL legítima)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Ejecutar rundll32 con el patrón de argumentos exacto de APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Fin de la simulación
# -------------------------------------------------

Comandos de Limpieza:

# Eliminar archivos y directorios de preparación
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Eliminar la carpeta y DLL IEHelper falsa
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Opcional: detener Sysmon (si solo es necesario para la prueba)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u