TTPs de UNC1549: APT Iraní Apuntando a Aeroespacial y Defensa
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
UNC1549 es un grupo de ciberespionaje vinculado a Irán que apunta a la cadena de suministro global de la aeronáutica, aviación y defensa. El grupo lleva a cabo sofisticadas operaciones de phishing que utilizan falsos portales de carrera basados en React para entregar malware personalizado de múltiples etapas. Sus campañas están centradas en el robo de credenciales, la exfiltración de datos y el mantenimiento de persistencia a largo plazo dentro de organizaciones de alto valor.
Investigación
El informe describe la evolución operativa de UNC1549 desde 2022 hasta finales de 2025, destacando un cambio de objetivos predominantemente regionales en el Medio Oriente a un enfoque más amplio en la cadena de suministro aeroespacial global. Los analistas identificaron varias herramientas personalizadas, incluidas MiniJunk, MiniBrowse, SIGHTGRAB y TRUSTRAP. El análisis técnico también reveló métodos avanzados de evasión, como el relleno binario y el secuestro del orden de búsqueda DLL.
Mitigación
Las organizaciones deben implementar un filtrado de correo electrónico sólido para detectar enlaces de spear-phishing y verificar la legitimidad de los portales relacionados con carreras. Mejorar la visibilidad del endpoint para detectar carga lateral de DLL, cambios no autorizados en el registro y actividad sospechosa de PowerShell es esencial. Monitorear sesiones RDP no autorizadas y túneles SSH inversos también puede ayudar a reducir el riesgo de movimiento lateral y actividad de comando y control.
Respuesta
Si se detecta actividad de UNC1549, los respondedores deben aislar inmediatamente los endpoints afectados para prevenir un mayor movimiento lateral a través de RDP. Se debe realizar una auditoría completa de las tareas programadas y las claves de Run del Registro de Windows para identificar mecanismos de persistencia. Los equipos también deben revisar los registros del controlador de dominio en busca de evidencia de actividad DCSync y controlar el tráfico HTTPS o SSH saliente inusual hacia infraestructuras conocidas de comando y control.
Flujo de Ataque
Detecciones
Puntos de Persistencia Posibles [ASEPs – Software/Colmena NTUSER] (vía evento_registro)
Ver
Posible Enumeración o Manipulación de Cuentas o Grupos (vía línea de comandos)
Ver
Ejecución Sospechosa desde el Perfil de Usuario Público (vía creación_proceso)
Ver
Uso de Herramienta de Tunelización Posible [Windows] (vía línea de comandos)
Ver
Archivos Sospechosos en el Perfil de Usuario Público (vía evento_archivo)
Ver
Detección de Túneles RDP y SSH de UNC1549 [Conexión de Red en Windows]
Ver
Detección de Técnicas de Registro y Ofuscación de UNC1549 [Evento de Registro de Windows]
Ver
Tácticas de Ataque de UNC1549 – Eliminación de Indicadores y Detección de DCSync [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Ejecución de Simulación
Prerequisito: La Comprobación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: Un adversario, imitando al actor UNC1549, busca establecer persistencia en una estación de trabajo comprometida. Deciden ocultar su carga útil creando una entrada en el registro bajo una clave que parece pertenecer a un proceso de actualización legítimo de OneDrive (
OneDriveCoUpdate). Para evadir la detección simple de la línea de comandos, encapsulan su ejecución en un bloque de script de PowerShell que contiene la cadenaFileCoAuth.exe, simulando un comando deficientemente ofuscado que coincide con la firma de la regla de detección. -
Script de Prueba de Regresión:
# Script de Simulación: Persistencia y Ofuscación de UNC1549 # Este script imita la ruta de registro específica y los patrones de cadenas de PowerShell definidos en la regla. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Intentando crear clave de ejecución de registro maliciosa..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Ejecutando comando de PowerShell ofuscado para activar detección..." # La inclusión de 'FileCoAuth.exe' es necesaria para activar la parte 'selection_obfuscation' de la regla powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Ejecutando' $encoded }" -
Comandos de Limpieza:
# Script de Limpieza $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Eliminando entrada de registro maliciosa..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa."