LYCEUM

Que es

LYCEUM es un actor APT (Advanced Persistent Threat) asociado al grupo regional "Unknown / Unmapped Actors". Este grupo ha sido identificado con múltiples alias, incluyendo HEXANE, Siamesekitten, DanBot, DanDrop, Invoke-Obfuscation, PowerShell, PoshC2, y referencias a regiones como el Medio Oriente, Kwait, Sudáfrica y posiblemente Irán. Se ha asociado con actividades relacionadas con la ciberseguridad, incluyendo el uso de herramientas como https: y www.secureworks.com.

Contexto

El grupo LYCEUM no ha sido mapeado con precisión, lo que sugiere una operación de ciberataque no identificada por las fuentes convencionales. Su actividad se vincula con regiones geográficas amplias, incluyendo el Medio Oriente y Sudáfrica, lo que podría indicar un enfoque regional o transnational. Aunque no hay evidencia de una organización centralizada, su presencia en herramientas como PoshC2 y PowerShell sugiere un uso de técnicas de obfuscación para evitar detección.

Análisis

El análisis de los indicadores de compromiso (IOCs) revela que el dominio www.secureworks.com ha sido identificado como un punto de entrada relacionado con actividades del grupo. Este dominio, mencionado en el contexto OSINT, podría ser parte de una estrategia de redes sociales o de phishing para engañar a los usuarios. Sin embargo, no se han encontrado otros IOCs verificados, lo que refleja la naturaleza anónima y no mapeada del grupo.

Conclusion

El grupo LYCEUM representa una amenaza subterránea cuya identidad y operaciones aún no están completamente desveladas. Su asociación con múltiples alias y regiones sugiere un enfoque difuso, pero su uso de técnicas como PoshC2 y dominios relacionados con ciberseguridad indica una actividad orientada a la evasión de sistemas de detección. Aunque se ha identificado un único indicador de compromiso (el dominio www.secureworks.com), el grupo sigue siendo un actor malicioso no mapeado y con potencial para operaciones a gran escala.