APT31

APT31, también conocido por los nombres Judgement Panda o Violet Typhoon, es una APT china que fue observada por primera vez en 2013, llevando a cabo operaciones dirigidas a organizaciones de Europa, Estados Unidos y Asia. Este grupo se centra en el ciberespionaje, seleccionando sus objetivos de manera muy concreta y eligiendo aquellos que están alineados con los requisitos de inteligencia del estado chino. Se cree que el grupo opera directamente bajo las órdenes del Ministerio de Seguridad del Estado (MSS) y el Departamento de Seguridad del Estado de Hubei (HSSD) – China obviamente negó estas acusaciones.

Las APTs chinas son conocidas por su alto nivel de sofisticación y capacidad operativa, habiendo conseguido comprometer sectores críticos en multitud de países. Uno de sus países preferidos, como no, es Estados Unidos. Los estadounidenses han sufrido campañas de espionaje por parte de APT31 dirigidas tanto a diversos sectores críticos como el de Defensa, Tecnológico o Energético, como dirigidas contra miembros del Congreso o de La Casa Blanca.

Países europeos como Francia, Finlandia, Reino Unido o Noruega también han tenido el placer de ser visitados por este grupo. APT31 también llevó a cabo ataques contra organizaciones de origen ruso en 2021. Esto se debe a que, si bien son Estados aliados en la práctica, en el ámbito del ciber-espionaje no existe este acercamiento, es decir: conseguir ventajas para el Estado es lo más importante, sea cual sea el país que pueda proporcionarlas.

Algunos de los ataques o campañas más relevantes del grupo son:

• Elecciones estadounidenses de 2020: Entre marzo y septiembre de 2020, APT31 lanzó cientos de ataques, consiguiendo comprometer cerca de 150 objetivos. El grupo se centró en individuos directamente asociados a las campañas presidenciales de Estados Unidos – incluidas las vinculadas a la campaña de Joe Biden y un antiguo miembro de la Administración de Trump. También apuntaron contra académicos de más de 15 universidades y miembros de 18 organizaciones de asuntos internacionales. Durante este mismo año realizaron actividades de espionaje contra el parlamento finlandés.
• Gobierno de Noruega: En 2018 APT31 llevó a cabo un ataque contra el gobierno noruego durante el cual consiguió acceso a bases de datos gubernamentales y exfiltró información.
• Campañas en Francia: A finales de 2021, el CERT-FR publicó un informe en el que detallaba las operaciones que llevó a cabo el grupo en el país. El informe describe como APT31 se centró en el uso de una infraestructura de anonimización consistente en un conjunto de routers comprometidos organizados como una “red de malla”. Esta red estaba dirigida mediante un malware llamado Pakdoor.

En cuanto a las TTPs utilizadas por la APT, Kaspersky publicó un informe detallando muchas de ellas. De manera adicional, MITRE ofrece en su framework ATT&CK un listado muy completo de estas, lugar que recomendamos para consultarlas – cabe destacar que no siempre está actualizado y a veces las TTPs de las últimas campañas solo estarán en informes publicados por fabricantes.