SOC Prime Bias: Crítico

17 Jun 2026 12:50 UTC

TTPs de UNC1549: APT Iraní Apuntando a Aeroespacial y Defensa

Author Photo
SOC Prime Team linkedin icon Seguir
TTPs de UNC1549: APT Iraní Apuntando a Aeroespacial y Defensa
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

UNC1549 es un grupo de ciberespionaje vinculado a Irán que apunta a la cadena de suministro global de la aeronáutica, aviación y defensa. El grupo lleva a cabo sofisticadas operaciones de phishing que utilizan falsos portales de carrera basados en React para entregar malware personalizado de múltiples etapas. Sus campañas están centradas en el robo de credenciales, la exfiltración de datos y el mantenimiento de persistencia a largo plazo dentro de organizaciones de alto valor.

Investigación

El informe describe la evolución operativa de UNC1549 desde 2022 hasta finales de 2025, destacando un cambio de objetivos predominantemente regionales en el Medio Oriente a un enfoque más amplio en la cadena de suministro aeroespacial global. Los analistas identificaron varias herramientas personalizadas, incluidas MiniJunk, MiniBrowse, SIGHTGRAB y TRUSTRAP. El análisis técnico también reveló métodos avanzados de evasión, como el relleno binario y el secuestro del orden de búsqueda DLL.

Mitigación

Las organizaciones deben implementar un filtrado de correo electrónico sólido para detectar enlaces de spear-phishing y verificar la legitimidad de los portales relacionados con carreras. Mejorar la visibilidad del endpoint para detectar carga lateral de DLL, cambios no autorizados en el registro y actividad sospechosa de PowerShell es esencial. Monitorear sesiones RDP no autorizadas y túneles SSH inversos también puede ayudar a reducir el riesgo de movimiento lateral y actividad de comando y control.

Respuesta

Si se detecta actividad de UNC1549, los respondedores deben aislar inmediatamente los endpoints afectados para prevenir un mayor movimiento lateral a través de RDP. Se debe realizar una auditoría completa de las tareas programadas y las claves de Run del Registro de Windows para identificar mecanismos de persistencia. Los equipos también deben revisar los registros del controlador de dominio en busca de evidencia de actividad DCSync y controlar el tráfico HTTPS o SSH saliente inusual hacia infraestructuras conocidas de comando y control.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Comprobación Previa de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: Un adversario, imitando al actor UNC1549, busca establecer persistencia en una estación de trabajo comprometida. Deciden ocultar su carga útil creando una entrada en el registro bajo una clave que parece pertenecer a un proceso de actualización legítimo de OneDrive (OneDriveCoUpdate). Para evadir la detección simple de la línea de comandos, encapsulan su ejecución en un bloque de script de PowerShell que contiene la cadena FileCoAuth.exe, simulando un comando deficientemente ofuscado que coincide con la firma de la regla de detección.

  • Script de Prueba de Regresión:

    # Script de Simulación: Persistencia y Ofuscación de UNC1549
    # Este script imita la ruta de registro específica y los patrones de cadenas de PowerShell definidos en la regla.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] Intentando crear clave de ejecución de registro maliciosa..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] Ejecutando comando de PowerShell ofuscado para activar detección..."
    # La inclusión de 'FileCoAuth.exe' es necesaria para activar la parte 'selection_obfuscation' de la regla
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Ejecutando' $encoded }"
  • Comandos de Limpieza:

    # Script de Limpieza
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] Eliminando entrada de registro maliciosa..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] Limpieza completa."