Tácticas, técnicas y procedimientos de APT35: así operan y cómo proteger Windows

  • APT35 destaca por spear phishing creíble, robo de credenciales y persistencia en Windows.
  • Las APT combinan intrusión, movimiento lateral y exfiltración camuflada con C2 sigiloso.
  • EDR/XDR, segmentación, parcheo y telemetría de red/endpoint son barreras críticas.
Pablo

11 minutos

Ciberseguridad APT35 en Windows

En el panorama actual de amenazas, pocos adversarios resultan tan insistentes y sigilosos como APT35. Este actor, también conocido como Helix Kitten o Charming Kitten, se ha labrado una reputación por campañas bien investigadas de phishing dirigido, abuso de identidades y persistencia a largo plazo en entornos corporativos. Si trabajas con Windows en una organización, entender sus tácticas, técnicas y procedimientos (TTP) es clave para reducir superficie de ataque y reaccionar a tiempo.

Aunque a menudo se perciben como ataques “de película”, las amenazas persistentes avanzadas no son ciencia ficción. Son operaciones metódicas, multinivel y paciente, diseñadas para entrar, mantenerse dentro sin ser detectadas y exfiltrar datos valiosos en el momento oportuno. APT35 encaja en ese perfil: campañas de spear phishing verosímiles, infraestructura de mando y control camuflada y una gran capacidad para adaptar sus métodos a medida que la víctima refuerza sus defensas.

¿Qué es una APT y por qué APT35 preocupa especialmente a Windows?

Una amenaza persistente avanzada es un ataque de larga duración en el que el adversario obtiene acceso no autorizado y lo mantiene en secreto para robar información, vigilar operaciones o causar disrupción cuando le conviene. A diferencia de malware “a granel”, las APT no van a volumen; van a por objetivos concretos y aprenden sobre su entorno antes de moverse.

En Windows, APT35 suele abrir la puerta con ingeniería social: correos de spear phishing finamente redactados, páginas de credenciales clonadas, invitaciones falsas a conferencias o encuentros académicos, y engaños que empujan a la víctima a ejecutar código o entregar tokens. Una vez dentro, el foco es la persistencia: puertas traseras, abuso de credenciales y movimiento lateral sigiloso.

Quién está detrás de las APT y cómo encaja APT35

Las APT suelen estar respaldadas por actores bien organizados. Podemos distinguir tres grandes bloques: grupos patrocinados por Estados, crimen organizado y colectivos hacktivistas. APT35, vinculado a intereses iraníes según múltiples analistas, apunta a sectores como aeroespacial, telecomunicaciones, finanzas, energía, química y hostelería, con objetivos económicos, militares y políticos.

Entre los grupos estatales destacan casos conocidos: Lazarus (Corea del Norte), implicado en robos financieros y operaciones como el incidente de Sony; APT28/Fancy Bear y APT29/Cozy Bear (Rusia), con campañas contra objetivos gubernamentales, diplomáticos y electorales; y APT40, ligado a ciberespionaje sobre universidades y defensa. Estas operaciones ilustran hasta dónde llega la planificación de una APT.

En crimen organizado, la ganancia económica manda. Carbanak/FIN7 ha atacado banca y retail; DarkSide saltó a la fama por el incidente de Colonial Pipeline. Los hacktivistas, por su parte, operan por motivaciones ideológicas o políticas: Anonymous o la Syrian Electronic Army son ejemplos de acciones de protesta y propaganda con impacto real.

Estos adversarios, incluidos los vinculados a Estados, buscan lucro o ventaja estratégica mediante robo de propiedad intelectual, extorsión (ransomware) o acceso a sistemas críticos.

Cómo operan: tácticas, técnicas y procedimientos clave

Una APT típica combina varias capas: intrusión, escalada y movimiento lateral, y exfiltración. En la intrusión, APT35 abusa de la psicología del usuario para forzar el primer clic y, si puede, colarse con exploits o software sin parchear. En Windows es habitual ver macros maliciosas en documentos, enlaces a páginas de inicio de sesión falsas y uso de herramientas del propio sistema para pasar desapercibidos.

Una vez dentro, el atacante establece comunicación con su infraestructura de mando y control (C2). Esta comunicación puede disfrazarse como tráfico legítimo: desde peticiones HTTP(S) sencillas hasta canales más creativos apoyados en servicios públicos (han existido TTP que abusan de redes sociales o documentos en la nube). Con la comunicación estable, comienzan el descubrimiento de activos y el avance lateral.

Los defensores deben tener presente que una APT moderna aprovecha marcos y herramientas de post-explotación públicas (por ejemplo, frameworks bien conocidos) pero también componentes hechos a medida. En ocasiones, los atacantes cargan código en memoria para evitar rastro en disco y se apoyan en técnicas como la carga lateral de DLL.

En la exfiltración, los datos salen por goteo o en lotes, enmascarados entre el ruido de la red o encapsulados (archivos comprimidos, protocolos comunes, canales encubiertos). Si la víctima detecta algo, la APT puede generar distracciones como un DDoS para tapar la fuga real.

Fases de un ataque APT paso a paso

  1. Reconocimiento: recaban direcciones de correo, perfiles públicos, tecnologías usadas (a veces reveladas en ofertas de empleo) y cualquier detalle útil. Es una etapa silenciosa para el defensor.
  2. Intrusión: spear phishing, explotación de vulnerabilidades, contraseñas débiles o malware incrustado en documentos. En Windows, abrir el adjunto “equivocado” suele ser suficiente para ejecutar código.
  3. Robo de identidad: buscan credenciales válidas (cookies, tokens, contraseñas) y acceden a decenas de sistemas con la identidad de usuarios legítimos, evadiendo controles basados solo en firmas.
  4. Instalación de utilidades: incorporan herramientas para administración encubierta, robo de contraseñas, monitorización y más. Un pequeño implante o script puede servir de trampolín para cargas mayores.
  5. Backdoors y privilegios: crean puertas traseras, cuentas ocultas o modifican configuraciones. Si obtienen credenciales de administrador de dominio, tienen las llaves del reino para moverse transversalmente.
  6. Exfiltración: empaquetan correos, archivos y bases de datos hacia servidores intermedios o almacenamiento en la nube, usando HTTP/FTP u otros canales. También pueden abusar de túneles DNS si el entorno lo permite.
  7. Persistencia: incluso tras una detección parcial, intentan permanecer. Esta obstinación es el sello APT, con tiempos de permanencia de meses.

Indicadores y señales de una APT en marcha

Los picos de tráfico o flujos inusuales desde equipos internos hacia el exterior son una bandera roja. Igualmente, inicios de sesión fuera de horario o desde ubicaciones atípicas delatan credenciales comprometidas.

Las infecciones recurrentes de malware que reabren puertas traseras y reaparecen tras “limpiezas” señalan persistencia. Si además emergen archivos de gran tamaño o comprimidos con formatos poco usados en la empresa, toca investigar.

Los correos raros recibidos por directivos o personal sensible, típicos de spear phishing, suelen ser el primer peldaño de la cadena APT. Otra pista: actividad anómala en bases de datos con operaciones voluminosas.

Algunos proveedores registran dónde se abre un correo o desde qué IP; ver accesos extraños o intercepción de correspondencia puede indicar intrusos revisando comunicaciones. A nivel de endpoint, el atacante explora políticas y huecos de cumplimiento para aprovechar debilidades.

Tipos de APT por objetivo y ejemplos ilustrativos

  • Sabotaje o interrupción: operaciones de altísima complejidad que manipulan procesos industriales sin alertar a la víctima. El caso paradigmático: Stuxnet, que afectó a centrifugadoras iraníes.
  • Extorsión: campañas orientadas a beneficio financiero como el ransomware. Ryuk destacó por ataques dirigidos que cifran activos críticos y exigen rescates elevados.
  • Infiltración y exfiltración: el objetivo es permanecer y extraer datos de forma continuada. Se han atribuido campañas a APT32 y APT37 para espionaje económico y político.
  • Cadena de suministro: comprometen proveedores para alcanzar a sus clientes. El ejemplo mediático fue SolarWinds (atribuido en foros a APT29), y NotPetya se propagó vía actualización comprometida, causando daños globales.

Casos reales que enseñan lecciones

El ataque a Target con RAM Scraper explotó la debilidad de un proveedor para entrar a su ecosistema. El actor se infiltró en terminales de punto de venta durante semanas, robando datos de tarjetas de crédito y exfiltrando enormes volúmenes de una sola tacada.

Investigadores detectaron campañas de un subgrupo de Lazarus que modificó el conocido malware DTrack y empleó el ransomware Maui. Se ejecutaron cargas en memoria en Windows, DTrack recopiló datos del sistema e historial del navegador, y el tiempo de permanencia fue de meses.

LuckyMouse desplegó una variante troyana del servicio de mensajería Mimi para backdoors contra macOS, Windows y Linux, comprometiendo organizaciones en Taiwán y Filipinas. Muestra la transversalidad de plataformas típica de APT.

El grupo SEABORGIUM, vinculado a intereses rusos, llevó a cabo espionaje en Europa durante años, abusando de spear phishing para entrar en OneDrive y LinkedIn. La explotación de servicios cloud legítimos complica la detección.

Tendencias recientes en TTP: lo que cambia y lo que no

Durante un trimestre reciente de verano, los analistas observaron diferencias claras entre actores: algunos evolucionaron su kit de herramientas hacia marcos modulares muy persistentes, mientras otros alcanzaron objetivos con cadenas de infección de toda la vida, demostrando que lo “simple y probado” aún funciona.

Uno de los hallazgos más llamativos fue una infección mediante bootkit UEFI, parte de un framework por etapas conocido como Mosaic Regressor, que hizo el implante extremadamente duradero y difícil de erradicar. El UEFI es crítico: infectarlo confiere persistencia por debajo del sistema operativo.

También se han visto técnicas de esteganografía con carga lateral: una campaña atribuida a Ke3chang empleó una versión de la backdoor Okrum que aprovechaba un binario firmado de Windows Defender para ocultar la carga útil principal, manteniendo la firma digital válida para reducir la detección.

Otros grupos, como MuddyWater, han iterado frameworks multifase, mientras que DTrack incorporó nuevas capacidades para ejecutar más tipos de payload. En paralelo, DeathStalker mantiene cadenas sencillas pero muy centradas en evadir la detección, demostrando que no siempre hace falta sofisticación para tener éxito.

APT35 en foco: TTP característicos y dianas

APT35 es conocido por correos de spear phishing muy creíbles y documentación falsa que mimetiza invitaciones académicas o comunicaciones de organismos. Es frecuente ver suplantaciones de inicios de sesión, abuso de enlaces acortados y páginas de captura de credenciales con apariencia impecable.

En Windows, este grupo tiende a apoyarse en scripts y herramientas nativas para pasar desapercibido, establecer C2 y moverse lateralmente. La combinación de ingeniería social con explotación oportunista de software sin parchear explica su alta tasa de éxito si no hay controles de comportamiento y segmentación adecuados.

Cómo blindar Windows frente a APT35 y otras APT

EDR y XDR. Las soluciones modernas detectan comportamientos anómalos en tiempo real, aportan telemetría de proceso, red y memoria, y permiten respuesta rápida (aislar equipo, matar procesos, revertir cambios).

Parcheo y endurecimiento. Actualiza Windows, navegadores y suites ofimáticas. Aplica reglas de reducción de superficie, limita PowerShell, deshabilita macros por defecto y controla la ejecución de binarios no firmados.

Control de aplicaciones y dominios. La lista de permitidos (allowlisting) reduce el riesgo, pero exige políticas de actualización estrictas y revisión constante: incluso dominios “de confianza” pueden verse comprometidos.

WAF y seguridad de aplicaciones. Un cortafuegos de aplicaciones web ayuda a aislar ataques en la capa de aplicación y frenar intentos de RFI o inyección SQL; monitorizar tráfico interno revela patrones fuera de norma.

Gobierno de acceso y datos. Segmenta la red, aplica privilegio mínimo, refuerza MFA y vigila el acceso a recursos sensibles. Controla el intercambio de archivos y bloquea dispositivos extraíbles si es posible.

Telemetría y DNS. Vigila patrones que apunten a túneles DNS u otras rutas encubiertas de exfiltración; crea alertas sobre compresiones inusuales y movimientos de grandes volúmenes de datos.

Concienciación, pero sin fe ciega. La formación ayuda, aunque incluso personal entrenado puede caer. Complementa con controles técnicos, listas de vigilancia y detección de comportamiento.

Cómo responder: del primer indicio a la mejora continua

  • Identificación y evaluación. Usa herramientas avanzadas de monitorización y análisis forense de eventos y archivos. Determina alcance real, vectores y cuentas afectadas revisando logs y artefactos.
  • Contención. Aísla los sistemas comprometidos, revoca sesiones y tokens, cambia credenciales y segmenta con urgencia. Evita que el atacante siga moviéndose o exfiltrando.
  • Erradicación y recuperación. Elimina herramientas de ataque, corrige vulnerabilidades y restaura desde copias conocidas como íntegras. Mantén monitorización reforzada para detectar actividad residual.
  • Análisis y mejora. Documenta el incidente, actualiza políticas, ajusta reglas de detección y comunica con transparencia a las partes interesadas. Esta fase reduce el coste de futuras brechas.

Herramientas e inteligencia: lo que marca la diferencia

Los enfoques basados en IA que detectan binarios de malware y ransomware antes de su ejecución, servicios de búsqueda proactiva de amenazas (threat hunting) y el refuerzo diario del SOC a través de MDR son palancas clave para ir por delante de TTP emergentes.

Los portales de inteligencia sobre amenazas con acceso a información técnica y de contexto en tiempo casi real permiten anticipar campañas, actualizar detecciones y nutrir listas de vigilancia. Complementa con EDR/XDR en endpoints y sensores de red para una cobertura completa.

Señales de compromiso habituales en Windows que no debes ignorar

  • Inicios de sesión elevados fuera de horario y en cuentas con altos privilegios; correlación entre picos de datos y accesos remotos.
  • Actores recurrentes o reaparición de backdoors: clones de troyanos que vuelven tras un supuesto “limpiado”.
  • Intercepción de correo o inicios de sesión extraños en buzones; spear phishing específico contra directivos o finanzas.
  • Otras anomalías: lentitud inusual de servidores, cambios en registros, creación de cuentas desconocidas o servicios extraños en el arranque.

Costes y motivaciones: por qué una APT no necesita gran presupuesto

Aunque sorprenda, el coste operativo de algunas campañas APT puede ser modesto. Herramientas comerciales de pruebas de penetración y algunos servicios de infraestructura representan gran parte del gasto, pero el retorno para el atacante (económico o estratégico) suele justificar la inversión.

Preguntas frecuentes

  • ¿Qué diferencia hay entre APT y un “ataque dirigido avanzado” (ATA)? En la práctica, un ATA describe la metodología que emplean grupos bien establecidos; cuando esa actividad es sostenida, con persistencia y adaptación continuas, hablamos de APT. Se distinguen por táctica, infraestructura, reutilización de código y tipo de objetivos.
  • ¿Cuáles son las dianas y modus operandi típicos de APT35? Suelen apuntar a sectores estratégicos y academia, con spear phishing muy creíble, robo de credenciales, abuso de servicios cloud y persistencia en Windows mediante herramientas nativas y C2 camuflado.
  • ¿Cómo detecto una APT si casi no deja rastro? Busca comportamientos anómalos: inicios de sesión fuera de patrón, grandes ficheros comprimidos, tráfico saliente extraño, procesos que inician conexiones no habituales y recurrencia de malware tras la limpieza.
  • ¿Basta con antivirus y formación? No. Necesitas EDR/XDR, telemetría, segmentación, control de aplicaciones y respuesta orquestada. La concienciación ayuda, pero la automatización y la visibilidad son imprescindibles.

Reforzar Windows contra APT35 y otras APT exige combinar vigilancia, tecnología y procesos. Con controles de acceso sólidos, EDR/XDR, inteligencia de amenazas y una respuesta bien engrasada, puedes reducir de forma drástica la ventana de oportunidad del adversario y minimizar el impacto incluso cuando consiga el primer clic.

Artículo relacionado:
Guía completa para hacer copias de seguridad incrementales en Windows