jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Archive via Custom Method

Archive via Custom Method

Threat-actor 3 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
Software
Confianza
medium

Key Points

  • Encriptación con XOR: Un algoritmo simple pero efectivo para obstruir los datos en tránsito.
  • Cifradores de flujo personalizados: Implementaciones sin dependencia de bibliotecas externas, lo que reduce la firma digital del código.
  • Compresión personalizada: Algoritmos no estándar que pueden ser difíciles de detectar por sistemas de seguridad tradicionales.
  • Comportamientos anómalos relacionados con la compresión o encriptación no estándar.
  • Códigos personalizados que no se alinean con las firmas conocidas de software legítimo.

Archive via Custom Method

Descripción de la Tecnica

Archive via Custom Method es una técnica del MITRE ATT&CK (T1560.003) que describe cómo un adversario puede compresionar o encriptar datos recopilados antes de su exfiltración utilizando un método personalizado. Este enfoque permite a los atacantes ocultar la naturaleza de los datos sensibles al emplear algoritmos no convencionales, como encriptación con XOR o cifradores de flujo implementados sin dependencia de bibliotecas externas.

Este método se utiliza para evitar detección por parte de sistemas de seguridad tradicionales, ya que los algoritmos personalizados pueden ser difíciles de rastrear o identificar en redes o sistemas operativos. La técnica también incluye la posibilidad de implementar versiones personalizadas de algoritmos de compresión conocidos.

¿Cómo Funciona?

La técnica implica que el atacante utiliza un código propio para archivar datos antes de su transferencia a un entorno externo. Este proceso puede incluir:

  • Encriptación con XOR: Un algoritmo simple pero efectivo para obstruir los datos en tránsito.
  • Cifradores de flujo personalizados: Implementaciones sin dependencia de bibliotecas externas, lo que reduce la firma digital del código.
  • Compresión personalizada: Algoritmos no estándar que pueden ser difíciles de detectar por sistemas de seguridad tradicionales.

El objetivo principal es garantizar que los datos recopilados (como registros de actividad, información de usuarios o archivos sensibles) no sean identificables ni rastreables durante su exfiltración.

Actores que la Utilizan

Aunque no se especifica un actor concreto en el contexto proporcionado, esta técnica es parte del MITRE ATT&CK, una base de conocimiento de amenazas cyberseguras. Los atacantes que utilizan este método suelen ser grupos o ciberdelincuentes con experiencia en técnicas avanzadas de evasión de detección.

Detección

La detección de esta técnica requiere un análisis profundo de los patrones de compresión, encriptación y transferencia de datos. Los sistemas de seguridad deben monitorear:

  • Comportamientos anómalos relacionados con la compresión o encriptación no estándar.
  • Códigos personalizados que no se alinean con las firmas conocidas de software legítimo.
  • Patrones de exfiltración que implican transferencia de datos en formatos no convencionales.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación

Para mitigar el riesgo asociado a esta técnica, se recomienda:

  • Implementar encriptación robusta para datos sensibles y monitorear actividades de exfiltración.
  • Realizar auditorías regulares de sistemas y redes para detectar comportamientos atípicos.
  • Utilizar herramientas de detección avanzada que puedan identificar algoritmos no estándar de compresión o encriptación.
  • Actualizar regularmente sistemas y aplicaciones para corregir vulnerabilidades conocidas.
← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable