APT designation

Una designación APT es la convención de la industria de inteligencia de amenazas para asignar una etiqueta-nombre a la actividad de intrusión agrupada en clústeres y atribuida (o candidata a atribución) a un único actor cibernético patrocinado o tolerado por un Estado. La etiqueta no es la realidad institucional. La entidad subyacente — cuando puede identificarse — suele ser una unidad militar o de servicio de inteligencia, un contratista que trabaja bajo una de ellas, o un arreglo cooperativo multiproveedor bajo dirección estatal. La etiqueta es la cobertura descriptiva que la industria de inteligencia de amenazas ha colocado sobre esa realidad institucional, usando la taxonomía elegida por cada proveedor. "APT" en sí significa advanced persistent threat (amenaza persistente avanzada), un término técnico que se originó en 2006 dentro de la United States Air Force para describir campañas de intrusión sostenidas atribuidas a programas de recolección de la República Popular China; el término entró en uso general tras las intrusiones Aurora de 2010 y el informe concurrente M-Trends 2010 de Mandiant (The Advanced Persistent Threat), que en conjunto lo popularizaron en toda la industria de la seguridad.¹

Las principales taxonomías de proveedores actualmente en uso siguen convenciones distintas:

Mandiant (ahora Google Cloud) usa numeración secuencial — APT1, APT10, APT28, APT29, APT41, y así sucesivamente — asignada en el orden en que Mandiant caracterizó por primera vez el clúster de actividad como una entidad distinta. El informe de Mandiant de 2013 sobre la Unidad 61398 del Ejército Popular de Liberación (designada APT1) es el ejemplo canónico de la convención y el informe que estableció la metodología de atribución institucional ahora estándar en toda la industria de inteligencia de amenazas.²

CrowdStrike usa una taxonomía animal vinculada al país de atribución — Bear para Rusia (Fancy Bear, Cozy Bear, Voodoo Bear, Berserk Bear), Panda para China (Comment Panda, Stone Panda, Wicked Panda), Kitten para Irán (Charming Kitten, Helix Kitten, Static Kitten), Chollima para Corea del Norte (Silent Chollima, Stardust Chollima), Buffalo para Vietnam, y Spider para actores no estatales con motivación financiera. El animal lleva la atribución de país; el modificador nombra el clúster específico. La convención fue introducida por el cofundador de CrowdStrike, Dmitri Alperovitch, a principios de la década de 2010 y es el sistema de denominación de inteligencia de amenazas más ampliamente reconocido en la literatura periodística y de seguridad.³

Microsoft (Threat Intelligence) completó un cambio de nombre exhaustivo de su taxonomía de actores de amenaza en abril de 2023, reemplazando los nombres anteriores con temática de elementos (STRONTIUM, IRIDIUM, PHOSPHORUS, NOBELIUM, ZINC) por una familia de fenómenos meteorológicos. Los actores atribuidos a Rusia se convirtieron en Blizzards (Forest Blizzard para APT28, Midnight Blizzard para APT29, Seashell Blizzard para Sandworm). Los actores atribuidos a China se convirtieron en Typhoons (Volt Typhoon, Salt Typhoon, Brass Typhoon). Irán se convirtió en Sandstorms (Mint Sandstorm para APT35). Corea del Norte se convirtió en Sleets (Diamond Sleet, Citrine Sleet). Los actores con motivación financiera se convirtieron en Tempests. El cambio de nombre prácticamente duplicó de la noche a la mañana la superficie de alias para cada gran actor patrocinado por un Estado y añadió una capa de vocabulario que aún no se ha estabilizado en la literatura de seguridad y periodística.⁴

Kaspersky Lab usa nombres temáticos de clúster sin una única taxonomía general — Equation Group (el clúster atribuido a la Tailored Access Operations de la NSA), Lazarus Group (el paraguas bajo el cual se ha agrupado históricamente la mayor parte de la actividad cibernética norcoreana), Turla (un clúster atribuido al SVR con una larga historia de recolección). Trend Micro usa nombres temáticos de clúster — Pawn Storm para APT28, Earth Lusca para actividad adyacente a APT41. Recorded Future usa Sofacy para APT28. ESET usa nombres con temática rusa — Sednit para APT28. La proliferación refleja la ausencia de un organismo de normalización a nivel de industria para la denominación de actores de amenaza.⁵

La correspondencia entre etiquetas de proveedores es en su mayoría estrecha pero no siempre claramente uno-a-uno. Fancy Bear (CrowdStrike), APT28 (Mandiant), Sofacy (Recorded Future), Pawn Storm (Trend Micro), Sednit (ESET), STRONTIUM → Forest Blizzard (Microsoft) se refieren todos a la misma entidad subyacente — la Unidad 26165 del GRU ruso, formalmente designada el 85.º Centro Principal de Servicio Especial de la Dirección Principal de Inteligencia del Estado Mayor General, una confirmación que se apoya en la acusación de octubre de 2018 del United States Department of Justice contra siete oficiales del GRU y en la atribución conjunta de los socios de inteligencia Five Eyes entre 2018 y 2020.⁶ Pero otros clústeres están divididos o fusionados de manera diferente entre proveedores — Lazarus Group es tratado por algunos proveedores como un paraguas sobre lo que otros dividen en APT37 (el clúster Reaper / ScarCruft), APT38 (el brazo de delitos financieros) y APT43 (el clúster Kimsuky / Velvet Chollima). La etiqueta Cozy Bear anterior a 2016 cubría actividad que desde entonces ha sido reatribuida entre el Centro 16 del FSB y el Centro de Medidas Activas del SVR, dependiendo del período de tiempo y del proveedor que la evalúa. Las etiquetas son heurísticas descriptivas; la realidad institucional es el referente subyacente y se establece (o se disputa) de forma independiente sobre una base documental separada.

La atribución institucional de un clúster designado como APT suele descansar sobre cinco categorías de evidencia consideradas conjuntamente: superposición de infraestructura técnica (servidores de mando y control, huellas de certificados, patrones de registro de dominios); superposición de herramientas (familias de malware personalizadas, técnicas específicas de explotación); superposición de tradecraft operativo (patrones de selección de objetivos, análisis de horarios de trabajo, residuos de paquetes de idioma en las compilaciones); señales contextuales (sincronización respecto a eventos diplomáticos o militares de interés para un Estado específico); y, en última instancia, divulgación por parte de fuentes gubernamentales (acusaciones, declaraciones de atribución conjunta, evaluaciones de inteligencia desclasificadas). Las atribuciones más sólidas se sostienen sobre las cinco; las más débiles se sostienen únicamente sobre la superposición técnica. La metodología fue desarrollada sustancialmente en SRI International, FireEye/Mandiant, CrowdStrike y las agencias cibernéticas gubernamentales de los Estados Unidos y el Reino Unido durante el período 2008–2018.⁷

Cómo esta referencia maneja las designaciones APT

La convención editorial de Plausible Denial trata la unidad institucional como la entrada canónica y las designaciones APT como alias sobre ella. La entrada sobre la Unidad 26165 del GRU ruso lleva una lista aka en el frontmatter que incluye Fancy Bear, APT28, Sofacy, Pawn Storm, Sednit y Forest Blizzard — las búsquedas de cualquiera de esas etiquetas conducen a la misma entrada. La excepción es Lazarus Group, que lleva su propia entrada porque la atribución institucional subyacente dentro del Reconnaissance General Bureau norcoreano es genuinamente difusa entre múltiples burós subordinados y la etiqueta Lazarus se ha convertido en el referente canónico en el registro forense y periodístico de una manera en que ninguna unidad individual del RGB lo ha hecho.

Véase también

• Cybint — inteligencia cibernética, la categoría más amplia de disciplina de recolección
• Sigint — la disciplina de inteligencia matriz dentro de la cual operan la mayoría de los actores nombrados bajo designaciones APT
• Cryptonym — la convención paralela de nombre en clave dentro de la Central Intelligence Agency para uso interno institucional
• Falsa bandera — la técnica operativa que complica la metodología de atribución de amenazas
• Tradecraft — la categoría más amplia de oficio operativo a la que pertenecen los conjuntos de intrusión de estilo APT

Fuentes y lecturas adicionales

1. Mandiant, APT1: Exposing One of China's Cyber Espionage Units (febrero de 2013) — el informe que estableció la metodología de atribución institucional ahora estándar en toda la industria de inteligencia de amenazas. El término técnico "advanced persistent threat" estuvo en uso en contextos de la United States Air Force desde 2006 en adelante y entró en el vocabulario general de la industria de seguridad a través del trabajo de respuesta a incidentes de Mandiant en 2010.
2. Mandiant, op. cit., 2013; informes APT de FireEye y Mandiant (ahora Google Cloud) publicados a través del flujo de investigación de FireEye / Mandiant / Google Cloud Threat Intelligence.
3. CrowdStrike, Adversary Universe — índice taxonómico público; Dmitri Alperovitch, contexto de respuesta al incidente Operation Aurora (2010); serie Global Threat Report de CrowdStrike (anual).
4. Microsoft Threat Intelligence, How Microsoft names threat actors (abril de 2023, revisado en abril de 2024) — anuncio de Microsoft de la convención de denominación con temática meteorológica y la tabla de correspondencia con los nombres anteriores.
5. Kaspersky, índice APT Groups and Operations (referencia cruzada a nivel de industria mantenida en ThaiCERT); Trend Micro Research; reportes de Recorded Future Insikt Group; blog de ESET Research.
6. United States Department of Justice, U.S. Charges Russian GRU Officers (octubre de 2018) — acusación que nombra a siete oficiales del GRU adscritos a la Unidad 26165 y la Unidad 74455; United Kingdom National Cyber Security Centre, declaraciones de atribución conjunta (2018, 2020); atribución conjunta de Five Eyes sobre NotPetya (febrero de 2018).
7. Thomas Rid, Active Measures: The Secret History of Disinformation and Political Warfare (Farrar, Straus and Giroux, 2020); Andy Greenberg, Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (Doubleday, 2019); Kim Zetter, Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon (Crown, 2014); informes anuales Foreign Threats del United States National Counterintelligence and Security Center.