Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
UNC1549 es un grupo de ciberespionaje vinculado a Irán que apunta a la cadena de suministro global de la aeronáutica, aviación y defensa. El grupo lleva a cabo sofisticadas operaciones de phishing que utilizan falsos portales de carrera basados en React para entregar malware personalizado de múltiples etapas. Sus campañas están centradas en el robo de credenciales, la exfiltración de datos y el mantenimiento de persistencia a largo plazo dentro de organizaciones de alto valor.
Investigación
El informe describe la evolución operativa de UNC1549 desde 2022 hasta finales de 2025, destacando un cambio de objetivos predominantemente regionales en el Medio Oriente a un enfoque más amplio en la cadena de suministro aeroespacial global. Los analistas identificaron varias herramientas personalizadas, incluidas MiniJunk, MiniBrowse, SIGHTGRAB y TRUSTRAP. El análisis técnico también reveló métodos avanzados de evasión, como el relleno binario y el secuestro del orden de búsqueda DLL.
Mitigación
Las organizaciones deben implementar un filtrado de correo electrónico sólido para detectar enlaces de spear-phishing y verificar la legitimidad de los portales relacionados con carreras. Mejorar la visibilidad del endpoint para detectar carga lateral de DLL, cambios no autorizados en el registro y actividad sospechosa de PowerShell es esencial. Monitorear sesiones RDP no autorizadas y túneles SSH inversos también puede ayudar a reducir el riesgo de movimiento lateral y actividad de comando y control.
Respuesta
Si se detecta actividad de UNC1549, los respondedores deben aislar inmediatamente los endpoints afectados para prevenir un mayor movimiento lateral a través de RDP. Se debe realizar una auditoría completa de las tareas programadas y las claves de Run del Registro de Windows para identificar mecanismos de persistencia. Los equipos también deben revisar los registros del controlador de dominio en busca de evidencia de actividad DCSync y controlar el tráfico HTTPS o SSH saliente inusual hacia infraestructuras conocidas de comando y control.
graph TB %% Definición de clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Fase de acceso inicial action_phishing[«<b>Acción</b> – <b>T1566.002 Phishing: Enlace de Spearphishing</b><br/>Correos electrónicos dirigidos con portales<br/>de empleo React fraudulentos que imitan<br/>a Boeing y Airbus.»] class action_phishing action action_download[«<b>Acción</b>: Descarga de archivo comprimido malicioso<br/>Las víctimas descargan archivos comprimidos<br/>después de proporcionar credenciales.»] class action_download action %% Fase de ejecución y reconocimiento tech_powershell[«<b>Técnica</b> – <b>T1059.001 Intérprete de comandos y scripts: PowerShell</b><br/>Utilizado para reconocimiento de red<br/>y enumeración de Active Directory.»] class tech_powershell technique tech_cmd[«<b>Técnica</b> – <b>T1059.003 Intérprete de comandos y scripts: Windows Command Shell</b><br/>Utilizado para reconocimiento de red<br/>y enumeración de Active Directory.»] class tech_cmd technique action_recon[«<b>Acción</b>: Enumeración de Active Directory<br/>Ejecución de comandos como net user.»] class action_recon action %% Fase de persistencia tech_schtask[«<b>Técnica</b> – <b>T1053.005 Tarea programada</b><br/>Ejecución de MigAutoPlay.exe<br/>con userenv.dll cargada mediante side-loading.»] class tech_schtask technique tech_registry[«<b>Técnica</b> – <b>T1547.001 Ejecución automática al inicio: Claves Run del Registro / Carpeta Startup</b><br/>Escritura en claves del registro<br/>para hacerse pasar por OneDrive.»] class tech_registry technique %% Fase de evasión de defensas tech_obfuscation[«<b>Técnica</b> – <b>T1027 Archivos o información ofuscados</b><br/>Ofuscación a nivel del compilador<br/>y Binary Padding (T1027.001).»] class tech_obfuscation technique tech_masquerade[«<b>Técnica</b> – <b>T1036 Suplantación</b><br/>Uso de nombres de archivos<br/>similares a servicios legítimos.»] class tech_masquerade technique tech_log_clear[«<b>Técnica</b> – <b>T1070.001 Eliminación de indicadores: Borrado de registros de eventos de Windows</b><br/>Eliminación del historial de conexiones RDP<br/>en el registro del sistema.»] class tech_log_clear technique tech_hijack[«<b>Técnica</b> – <b>T1574.001 Secuestro del orden de búsqueda de DLL</b><br/>Colocación de DLL maliciosas<br/>junto a binarios legítimos.»] class tech_hijack technique %% Fase de acceso a credenciales tool_mimikatz[«<b>Herramienta</b> – <b>Mimikatz modificado</b><br/>Utilizado para T1003.006 DC Sync<br/>para extraer hashes NTLM.»] class tool_mimikatz tool tool_minibrowse[«<b>Herramienta</b> – <b>MiniBrowse</b><br/>Utilizado para T1555.003 Credenciales<br/>desde navegadores web para robar datos<br/>de Chrome y Edge.»] class tool_minibrowse tool tool_trustrap[«<b>Herramienta</b> – <b>TRUSTRAP</b><br/>Captura credenciales mediante<br/>ventanas de autenticación falsas.»] class tool_trustrap tool %% Fase de movimiento lateral tech_rdp[«<b>Técnica</b> – <b>T1021.001 Servicios remotos: Protocolo de Escritorio Remoto</b><br/>Acceso a sistemas mediante RDP.»] class tech_rdp technique tech_rdp_hijack[«<b>Técnica</b> – <b>T1563.002 Secuestro de sesión de servicio remoto: RDP Hijacking</b><br/>Acceso a sesiones activas de usuarios.»] class tech_rdp_hijack technique %% Fase de recopilación tool_sightgrab[«<b>Herramienta</b> – <b>SIGHTGRAB</b><br/>Utilizada para T1113 Captura de pantalla<br/>mediante capturas periódicas.»] class tool_sightgrab tool %% Fase C2 y exfiltración tech_tunneling[«<b>Técnica</b> – <b>T1572 Túnel de protocolo</b><br/>Uso de túneles SSH inversos<br/>para evadir telemetría.»] class tech_tunneling technique tech_exfil[«<b>Técnica</b> – <b>T1041 Exfiltración mediante canal C2</b><br/>Transferencia de credenciales y archivos robados<br/>mediante HTTPS.»] class tech_exfil exfil %% Conexiones action_phishing –>|conduce_a| action_download action_download –>|activa| tech_powershell action_download –>|activa| tech_cmd tech_powershell –>|realiza| action_recon tech_cmd –>|realiza| action_recon action_recon –>|establece| tech_schtask action_recon –>|establece| tech_registry tech_schtask –>|utiliza| tech_hijack tech_registry –>|utiliza| tech_masquerade tech_powershell –>|emplea| tech_obfuscation tech_cmd –>|emplea| tech_obfuscation tech_obfuscation –>|incluye| tech_masquerade tech_masquerade –>|oculta_mediante| tech_log_clear action_recon –>|lleva_a| tool_mimikatz action_recon –>|lleva_a| tool_minibrowse action_recon –>|lleva_a| tool_trustrap tool_mimikatz –>|habilita| tech_rdp tool_minibrowse –>|habilita| tech_rdp tool_trustrap –>|habilita| tech_rdp tech_rdp –>|conduce_a| tech_rdp_hijack tech_rdp_hijack –>|conduce_a| tool_sightgrab tool_sightgrab –>|requiere| tech_tunneling tech_tunneling –>|facilita| tech_exfil
Flujo de Ataque
Detecciones
Puntos de Persistencia Posibles [ASEPs – Software/Colmena NTUSER] (vía evento_registro)
Ver
Posible Enumeración o Manipulación de Cuentas o Grupos (vía línea de comandos)
Ver
Ejecución Sospechosa desde el Perfil de Usuario Público (vía creación_proceso)
Ver
Uso de Herramienta de Tunelización Posible [Windows] (vía línea de comandos)
Ver
Archivos Sospechosos en el Perfil de Usuario Público (vía evento_archivo)
Ver
Detección de Túneles RDP y SSH de UNC1549 [Conexión de Red en Windows]
Ver
Detección de Técnicas de Registro y Ofuscación de UNC1549 [Evento de Registro de Windows]
Ver
Tácticas de Ataque de UNC1549 – Eliminación de Indicadores y Detección de DCSync [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Ejecución de Simulación
Prerequisito: La Comprobación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: Un adversario, imitando al actor UNC1549, busca establecer persistencia en una estación de trabajo comprometida. Deciden ocultar su carga útil creando una entrada en el registro bajo una clave que parece pertenecer a un proceso de actualización legítimo de OneDrive (
OneDriveCoUpdate). Para evadir la detección simple de la línea de comandos, encapsulan su ejecución en un bloque de script de PowerShell que contiene la cadenaFileCoAuth.exe, simulando un comando deficientemente ofuscado que coincide con la firma de la regla de detección. -
Script de Prueba de Regresión:
# Script de Simulación: Persistencia y Ofuscación de UNC1549 # Este script imita la ruta de registro específica y los patrones de cadenas de PowerShell definidos en la regla. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Intentando crear clave de ejecución de registro maliciosa..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Ejecutando comando de PowerShell ofuscado para activar detección..." # La inclusión de 'FileCoAuth.exe' es necesaria para activar la parte 'selection_obfuscation' de la regla powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Ejecutando' $encoded }" -
Comandos de Limpieza:
# Script de Limpieza $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Eliminando entrada de registro maliciosa..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa."