Prayukth KV
Comprendiendo los actores de amenazas chinos, TTPs y prioridades operativas - Parte uno
Los grupos APT chinos operan con un alto grado de autonomía financiera. Esto significa que, a diferencia de sus contrapartes norcoreanas, rusas o incluso iraníes, los grupos APT chinos no siempre tienen que solicitar asignaciones presupuestarias a sus ministerios o departamentos de origen. Esto te debería dar una idea de cuán único se ha vuelto la amenaza de estos grupos en la última década.
Están en todas partes y su profundidad operativa puede incluso sorprender a un investigador de amenazas experimentado. Sin embargo, es el nivel al cual estos APT están integrados con la tecnología y los objetivos estratégicos del estado chino lo que coloca a estos grupos en una liga aparte. Involuntariamente, los grupos APT chinos ya están desempeñando un papel clave en la influencia de los enfoques de defensa cibernética que están siendo diseñados por gobiernos y empresas por igual. Sus manuales y tácticas están siendo estudiados para desarrollar arquitecturas de red y SOPs que puedan ser defendidas.
En la publicación de hoy, realizaremos una mirada general a los actores de amenazas respaldados por el estado chino APT1, APT41, APT10 APT, 40, APT 31 y comprenderemos sus estrategias operativas y prioridades junto con cómo estos grupos están aprovechando la IA para vulnerar sus objetivos y dar sentido a un gran volumen de datos robados.
Este es un primer artículo en una serie que trata sobre actores de amenazas respaldados por el estado chino.
Características de los grupos APT chinos
Parámetro | Característica(s) |
Autonomía funcional | Baja: Todos los grupos están estrictamente controlados por el Ministerio de Seguridad del Estado. El 14.º Buró responsable del reconocimiento técnico es el principal cuerpo de control designado.
Si bien las operaciones son ampliamente asignadas por (o a través de) el 14.º buró, a algunos equipos de reportes se les permite un pequeño margen de maniobra para probar nuevas tácticas para vulnerar objetivos designados. La autonomía funcional depende puramente del éxito registrado por el grupo APT en el pasado. |
Uso de IA | China ha estado utilizando IA para vigilancia doméstica desde hace tiempo y una consecuencia natural de esto fue la necesidad de procesamiento automatizado de datos para identificar patrones de interés. China vinculó sus datos de vigilancia doméstica a LLMs “naturalizados” en la última década y en el proceso, fue capaz de evolucionar enormemente en el área del procesamiento de datos impulsado por IA.
Desde la pandemia, China centró su atención en el uso de IA para realizar sondeos iniciales en redes objetivo. Esto incluyó ping automatizado, recolección de credenciales robadas pertenecientes a empleados clave de empresas objetivo, desarrollo y manipulación de malware y phishing. Desde 2023, los ataques, la exfiltración de datos y el procesamiento de datos se han automatizado a través de IA.
Ahora, los equipos dentro del MSS están experimentando con el uso de IA para inyectar paquetes de datos falsos con el fin de envenenar conjuntos de datos dentro de entornos vulnerados. |
Jerarquía | APT 1, 41 y 10 son considerados relativamente senior y utilizados para proyectos de alto nivel, mientras que otros grupos APT y sub-grupos se utilizan para abrir o crear una apertura en caso de objetivos estratégicos. El APT 41 es utilizado por el MSS para también crear cadenas de brechas que avanzan y retroceden.
Los sub-grupos que pueden gestionar proyectos por sí solos pueden ser ascendidos para ciertos proyectos. Los grupos senior como APT 41, 1 y 10 también están encargados de asesorar a los sub-grupos. |
Viajar | A los empleados de estos grupos no se les permite viajar a otros países excepto bajo cobertura diplomática china (eso también es una ocurrencia rara). APT 1 y 10 son conocidos por tener programas activos de intercambio de conocimiento e información con sus contrapartes en Corea del Norte. Tenemos razones para creer que el actor de amenazas norcoreano Lazarus (APT 38) mantiene una pequeña presencia dentro de China.
La presencia podría indicar un alto nivel de colaboración y targeting conjunto, incluyendo el pago de regalías o equivalente por parte de Lazarus a una entidad china desconocida. |
Objetivos | Ampliamente divididos en dos categorías: comercial y estratégico. La primera tiene que ver con la acumulación de ingresos y la segunda con la acumulación de inteligencia e IP. Ambos son importantes y grupos como APT 41, de hecho, transitan ambos mundos. Ha habido al menos dos casos de APT 41 monetizando datos robados interna y externamente. |
Integración con los objetivos de política exterior china | Completa. Esta es un área donde no hay ambigüedad. Desde una perspectiva de clasificación, las naciones y objetivos son clasificados según las recomendaciones emitidas por el gobierno chino. También hay un bucle de retroalimentación activo, con la información robada de los objetivos siendo utilizada para dar forma a las intervenciones y métodos de política exterior. |
Gestores | Cada grupo mientras reporta al Buró 14 también tiene un gestor o gerente designado por el MSS que es principalmente responsable de supervisar las operaciones, realizar sesiones informativas y reportar sobre proyectos a la Comisión Central de Asuntos Políticos y Legales (CPLC) del Partido Comunista Chino. También hay una línea de reporte que incluye a entidades locales del MSS, pero esta relación no es muy clara hasta ahora. Los gestores son responsables de los aspectos operativos y se les considera personalmente responsables de que los actores de amenazas alcancen sus objetivos.
Curiosamente, la CPLC también tiene un supervisor proxy o sombra incrustado en la cadena para vigilar las actividades del grupo y validar la información compartida por el gestor. |
¿Qué hacen estos grupos con los datos robados? | Parte de esta pregunta ya ha sido respondida. Aquí está la otra parte: · Todos los datos primero son procesados y analizados utilizando algoritmos de IA, principalmente con aprendizaje automático y Aprendizaje Profundo. Estos se utilizan para procesar grandes conjuntos de datos aprendiendo de los datos. Estos algoritmos construidos o desarrollados son capaces de manejar datos no estructurados, como texto e imágenes, y datos estructurados, como números y estadísticas. Los datos refinados con subrayados se marcan para la atención de un analista humano. · Los datos de importancia financiera o que contienen IP industrial se marcan para acción comercial o para negociación con la víctima · Cualquier dato de importancia estratégica se clasifica, archiva y etiqueta para la atención de un analista senior · Los datos que pueden ser utilizados como arma para crear más brechas o mantener el acceso a un entorno objetivo se entregan al equipo específico dentro del actor de amenazas específico que maneja esa cuenta · Los datos residuales se envían a un grupo común accesible para todos los grupos para entrenamiento · El ciclo promedio de datos dura alrededor de 28 días |
Logos: Ministerio de Seguridad Pública y Ministerio de Seguridad del Estado (fuente: prcleader.org)
Aprende más sobre los actores de amenazas chinos en nuestro Informe de Paisaje de Amenazas 2025.
Accede a más investigaciones de Shieldworkz desde nuestra biblioteca de investigación
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Deep dive into the Stryker cyberattack and the blind spot few are talking about
Prayukth K V
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
