APT28

APT28, también conocido como Fancy Bear, fue observado por primera vez en 2004 aunque ganó más notoriedad en 2007 debido a la sofisticación de sus ataques. Se ha identificado que APT28 está asociado a Rusia, operando con el respaldo del GRU (Oficina Principal de Inteligencia de Rusia). El gobierno ruso ha negado cualquier vínculo con el grupo.

El enfoque de APT28 se alinea con los intereses estratégicos de Rusia. Sus actividades incluyen ciberespionaje, sabotaje, desinformación y manipulación política en apoyo a los objetivos geopolíticos rusos.

El grupo ha sido acusado de múltiples ciberataques contra gobiernos occidentales, incluidas infiltraciones en redes gubernamentales, robo de información clasificada y presuntos intentos de interferir en procesos electorales como el estadounidense.

En 2018, una acusación del Fiscal Especial de los Estados Unidos identificó a APT28 como la Unidad GRU 261651, reforzando su notoriedad internacional. Algunas de las herramientas empleadas por el grupo, como X-Agent, X-Tunnel, Zebrocy, Komplex, Eviltoss y CredoMap, permiten a sus operadores mantener una presencia persistente dentro de los sistemas de las víctimas.

APT28 tiene la capacidad de lanzar campañas simultáneas en distintos países, empleando una infraestructura que facilita el camuflaje y la coordinación de actividades ilícitas. Estos ataques incluyen tanto la intrusión en redes como la difusión de desinformación a través de redes sociales y medios digitales, a menudo sincronizados con eventos clave en la política internacional. Estas actividades indican un profundo conocimiento e interés geopolítico.

• Intervención en procesos electorales: APT28 ha sido señalado como adversario culpable de campañas de desinformación y manipulación en varios países. Esto incluye la interferencia en las elecciones presidenciales de Estados Unidos en 2016, donde comprometió sistemas del Comité Nacional Demócrata y difundió datos confidenciales. Este ataque fue clave para dar visibilidad internacional al grupo y consolidar su reputación en el ciberespionaje.
• Ataques contra medios de comunicación: El actor ruso se ha dedicado a atacar a medios en varios países para interrumpir operaciones, robar información sensible o difundir desinformación. Uno de los ataques más destacados en esta línea fue el dirigido contra la cadena de televisión francesa TV5Monde en 2015. Los atacantes lograron suspender las transmisiones, tomar el control de sus cuentas en redes sociales para difundir mensajes de apoyo a ISIS y robar información interna. Este acceso incluyó datos sensibles de la cadena y de su personal, lo que tuvo un impacto considerable en la seguridad de la organización. La mayoría de los archivos analizados por el EDR de Mandiant estaban configurados en idioma ruso, los analistas confirmaron “que una parte significativa del malware APT28 se compiló en un entorno de compilación en idioma ruso de manera constante a lo largo de seis años”.

En julio de 2022, en Ucrania, el grupo empleó técnicas de spear-phishing para engañar a los usuarios, logrando que descargaran archivos o hicieran clic en enlaces maliciosos. Los documentos maliciosos de APT28 contenían exploits de vulnerabilidades de día cero, en concreto la vulnerabilidad de Microsoft Follina (CVE-2022-30190). El uso de Follina en estos documentos permitió al grupo comprometer sistemas sin necesidad de interacción adicional de las víctimas, facilitando el acceso a información sensible y potenciando sus campañas de espionaje en un momento crítico del conflicto en Ucrania.