APTAdvanced Persistent Threat
Definición
Actor de amenaza con recursos significativos, objetivos a largo plazo y técnicas sofisticadas. Frecuentemente patrocinado por un Estado o por crimen organizado de alto nivel.
Por qué se nombran (APT28 = Fancy Bear / GRU rusa, APT41 = chinas, Lazarus = norcoreana, Webworm = china): porque su infraestructura, sus TTPs (Tactics, Techniques and Procedures), su malware custom y sus objetivos se mantienen consistentes en el tiempo. Eso permite a CTI (Cyber Threat Intelligence) trackearlos y atribuirles incidentes nuevos.
Objetivos típicos: espionaje, exfiltración de IP, sabotaje, operaciones de influencia. Tiempos: campañas de meses o años, no de horas.
Frameworks útiles: MITRE ATT&CK (catálogo de TTPs), Diamond Model (adversary-capability-infrastructure-victim), Pyramid of Pain (hashes son fáciles de cambiar, TTPs son los más difíciles).