Como he oído mucho el termino APT, voy a explicar un poco lo que es y lo que significa. El termino APT son las siglas del término inglés Advanced Persistent Threat (Amenaza Avanzada Persistente).
Muchos lo confunden con malware de cualquier tipo, pero, esto no es así.

El termino APT se puso en boca de todos cuando una unidad militar china (posteriormente APT1) atacó redes de diferentes medios. Este ataque se produjo básicamente con spear phishing y malware.

En las APT al contrario que otro tipo de campañas maliciosas, se ataca con un objetivo claro y no son aleatorias. Antes de lanzar una APT, existe un gran trabajo de inteligencia detrás. Se trata de obtener la máxima información del objetivo posible.

La tendencia de estas campañas es atacar a objetivos más fáciles, que pueden ser empleados que no tienen grandes privilegios dentro de la organización, y encadenar una serie de ataques hasta llegar a información privilegiada.

Hace poco se descubrió una gran campaña que tenía como objetivo, diplomáticos, políticos, agencias gubernamentales etc., que son personas que manejan información muy relevante y de gran valor.

Una campaña APT tiene las siguientes fases:
RECONOCIMIENTO - Básicamente OSINT

COMPROMISO INICIAL - Spear-Phishing / Water Hole / Explotación directa

PERSISTENCIA – Claves en el registro / otro tipo de técnicas

COMANDO Y CONTROL – Spoofing de dominios, C&C por proxys, covert channel por HTTPs / HTTP , DNS o email.

ESCALADA DE PRIVILEGIOS - Uso de exploit o zeroday

MOVIMIENTO LATERAL - Credential harvesting (keyloggin / memory / browser)

DESCUBRIMIENTO DE ACTIVOS - Grep/Búsqueda manual

EXFILTRACIÓN DE DATOS - Normalmente por DNS

Durante mis años de experiencia en el mundo de la ciberseguridad, he llegado a hacerme con un gran repositorio, de malware, artefactos etc. que son usados en las grandes campañas de APT.

De todo esto he podido aprender mucho, y he de decir que algunas campañas han sido muy, muy avanzadas y que aun hoy sigo aprendiendo de ellas.