APT34

APT34, también conocido como OilRig, Helix Kitten o Hazel Sandstorm, es una APT que se ha atribuido al Gobierno de Irán. Esta atribución se realizó en base a detalles de su infraestructura que contienen referencias a Irán, el uso de infraestructura iraní y objetivos que coinciden con los intereses de este. Detectada por primera vez en el horizonte de amenazas en 2014, su principal objetivo es el espionaje. Gracias a la gran cantidad de recursos y alta sofisticación de sus operaciones, ha logrado realizar intrusiones en una amplia gama de sectores, destacándose especialmente sus ataques a entidades gubernamentales y militares a nivel mundial, principalmente en Oriente Medio.

Todas sus actividades se realizan de manera coordinada y alineadas con los objetivos de política exterior de Irán. Esta APT está orientada a apoyar los intereses estratégicos de Irán, comprometiendo organizaciones e instituciones con el fin de recopilar inteligencia de gobiernos y empresas, obteniendo así ventajas competitivas o políticas. Para conseguir sus objetivos ha llevado a cabo diferentes tácticas como ataques a la cadena de suministro (Supply chain attacks), ataque de abrevadero (Watering hole attacks) o campañas de phishing sofisticadas.

En 2019 Google detalló una de estas campañas en la que se observó al grupo usando perfiles falsos en LinkedIn para distribuir malware. APT34 se hacía pasar por personal de la Universidad de Cambridge y apuntaban contra objetivos que formaban parte de sectores como el gubernamental o el energético.

APT34 emplea tácticas similares a otras APT como campañas de phishing, explotación de vulnerabilidades conocidas (CVEs) o el uso de malware personalizado – desarrollado específicamente para llevar a cabo sus operaciones. El grupo no ha usado zero-days, lo que podría indicar un nivel de sofisticación menor en comparación al de otras APTs. De acuerdo con Mandiant, el acceso inicial se ha conseguido en ocasiones a través de otras APT iraníes como UNC1860. Este grupo está especializado en penetrar en redes de alto valor en Oriente Medio, que son explotadas más tarde por APT34.

En 2019 la NSA estadounidense y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) indicaron que la APT de origen ruso Turla explotó la infraestructura de APT34. Turla accedió a la infraestructura y las herramientas de Comando y Control (Neuron y Nautilus) de APT34. Turla se aprovechó de estas para llevar a cabo actividades de recopilación de inteligencia, dirigidas a Oriente Medio.