Estos grupos lanzaron campañas usando redes sociales como Twitter o Linkedin o explotando vulnerabilidades Exchange.
El informe «Ciberamenazas y Tendencias. Edición 2022» publicado por CCN-CERT destaca el incremento en la explotación de vulnerabilidades críticas y también hace un resumen muy interesante, sobre la actividad llevada a cabo por los grupos APT. De ellos destaca a APT29 (NOBELIUM) y Lazarus, con una amplia y diversa actividad. Si bien también el informe resalta que el grupo con mayor impacto de 2021 ha podido ser HAFNIUM a través de la explotación de una vulnerabilidad de día cero de Microsoft Exchange entre marzo y abril.
Durante el primer trimestre de 2021, Lazarus llevó a cabo una campaña de phishing a través de la plataforma LinkedIn, donde ofrecían trabajo a personal vinculado con la organización que querían comprometer. Cabe destacar la utilización de binarios firmados digitalmente en fases de post explotación. Además, lanzó campañas contra analistas de ciberseguridad utilizando redes sociales como Twitter o LinkedIn para engañar a estos analistas. También usó vulnerabilidades de día 0, entre las que se encuentran algunas relacionadas con Chrome.
En 2021, Lazarus fue también protagonista de una campaña que tuvo como objetivo el sector de defensa. En ella destacó el uso del malware ThreatNee le, así como herramientas legítimas como PSCP (PuTTY Secure Copy Client) y una copia modificada de TightVNC.
Lazarus (también conocido como HIDDEN COBRA) es un grupo de APT que lleva activo desde al menos el año 2009. Es responsable de ataques a compañías de alto perfil, como fue el ciberataque a Sony Pictures Entertainment y el robo de decenas de millones de dólares en 2016, también del brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra Infraestructura crítica y pública de Corea del Sur desde al menos 2011.
En el caso de Nobelium, el nombre fue dado por Microsoft para denominar a los grupos de ciberdelincuentes vinculados a Rusia cuando en 2020 devastaron con múltiples ataques masivos la cadena de suministro del desarrollador de software SolarWinds. Tal fue la magnitud de los ataques que afectaron a más de 320.000 empresas. Desde entonces han ido lanzando más ciberataques a organizaciones gubernamentales, ONG, etc. En 2021 han lanzado campañas contra proveedores de servicios TIC de diferentes compañías. En ellas destaca el uso del backdoor SUNBURSTy los malware TEARDROP, GoldMax, Sibot, y GoldFinder.
El caso de HAFNIUM18 destaca por la agresiva campaña de explotación masiva de vulnerabilidades de Exchange y la subida de la webshell ChinaChopper19 en marzo de 2021.
