Que es
Apt16 es un actor APT (Advanced Persistent Threat) asociado al grupo regional de China, con alias como G0023, ELMER backdoor, Gh0st, HTRAN, UNICAT, Poison Ivy, Pandora. Este grupo se enfoca en comprometer entidades japonesas y taiwanesas en sectores como finanzas, tecnología, medios y gobierno. Su metodología incluye ataques por correo electrónico con documentos maliciosos y explotación de vulnerabilidades específicas.
Contexto
Apt16 ha sido vinculado a la entrega de spear phishing emails que contienen archivos Microsoft Word maliciosos. Estos documentos explotan vulnerabilidades como el uso de una falla en el componente EPS dict copy (use-after-free) y la vulnerabilidad local Windows CVE-2015-1701, permitiendo a los atacantes obtener acceso al sistema. La ejecución de ambas vulnerabilidades permite la entrega de malware como IRONHALO o ELMER. Además, el grupo ha utilizado credenciales de VPN comprometidas para mantener persistencia en redes.
Análisis
Indicadores de Compromiso (IOCs) relacionados con APT16 incluyen:
| Tipo | Valor | Contexto |
| Domain | www.fireeye.com |
Conexión verificada con el sitio de FireEye, una empresa de ciberseguridad conocida por su investigación sobre amenazas APT. |
El grupo no ha revelado otros IOCs públicos aparte de este dominio. Su actividad se centra en la explotación de vulnerabilidades y el uso de backdoors para mantener acceso a sistemas objetivo, con un enfoque particular en sectores críticos.
Conclusion
Apt16 representa una amenaza significativa debido a su origen regional y sus objetivos específicos. La detección de www.fireeye.com como IOC subraya la importancia de monitorear dominios asociados a organizaciones de ciberseguridad. Las técnicas empleadas, como el uso de correo phishing y vulnerabilidades explotables, requieren defensas robustas en entornos críticos. La vigilancia continua es clave para mitigar riesgos relacionados con este actor APT.