Uptime Hamster: 0d 0h 0mDeploy: 5 Jul 2026 10:25Updated: 2026-07-10
Logo de Allegedly attributed the first UEFI rootkit seen in the wild: LoJax (2018) (Russia)

Allegedly attributed the first UEFI rootkit seen in the wild: LoJax (2018) (Russia)

Fecha
9 Jul 2026
Actor
allegedly-attributed-the
Tipo
Reference
Pais
Russia
Sector
-
Confianza
medium
65
Prioridad analitica
Media

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

3IOCs
0TTPs
allegedly-attributed-theActor
RussiaPais

Allegedly attributed the first UEFI rootkit seen in the wild: LoJax (2018) (Russia)

Que es

LoJax fue identificado como el primer rootkit de firmware UEFI detectado en la práctica, atribuido a un grupo de actores maliciosos vinculados a Rusia. Este ataque se llevó a cabo en 2018 y fue catalogado como una operación de alto nivel por su complejidad técnica y su objetivo de comprometer sistemas operativos mediante el acceso al firmware del equipo.

Contexto

LoJax fue atribuido a un actor APT (Actor de Potencia Técnica) asociado a Rusia, con alias que incluyen referencias a Zebrocy, aptnotes.malwareconfig.com, viewer.html, y otros dominios analizados en fuentes de inteligencia de ciberseguridad. Los datos disponibles sugieren una conexión entre este ataque y actividades maliciosas relacionadas con el análisis de malware y la distribución de componentes dañinos.

Análisis

Los indicadores de compromiso (IOCs) extraídos incluyen:

Tipo Valor Contexto
Dominio aptnotes.malwareconfig.com Fuente de análisis de malware vinculada a operaciones APT.
Dominio viewer.html Potencial uso en entornos maliciosos para visualizar o manipular archivos dañinos.
Documento apt28.pdf Archivo compartido en plataformas como app.box.com, probablemente relacionado con operaciones APT.
Plataforma app.box.com Uso para compartir archivos en entornos de análisis o distribución de componentes maliciosos.

Estos IOCs reflejan la activa participación de actores con acceso a herramientas de análisis y distribución de malware, sugiriendo una conexión entre el ataque LoJax y actividades de ciberdelincuencia organizada.

Conclusión

LoJax representa un caso destacado de una operación APT vinculada a Rusia, con implicaciones en la seguridad de sistemas críticos. Aunque los IOCs analizados apuntan a actividades maliciosas, no se han encontrado evidencias concluyentes que confirmen directamente el atributo al actor rusio. La vigilancia sobre dominios como aptnotes.malwareconfig.com y app.box.com sigue siendo relevante para detectar futuras amenazas similares.

Diamond Model

Adversary
allegedly-attributed-the
Ver perfil →
Victim
Allegedly attributed the first UEFI rootkit seen in the wild: LoJax (2018) (Russia)
aptnotes.malwareconfig.com
Russia
Capability
Reference
Infrastructure
aptnotes.malwareconfig.com

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
File apt28.pdf Artefacto observado VT OffSec SOCRadar
Domain aptnotes.malwareconfig.com Dominio victima VT OffSec SOCRadar

Referencias y enlaces

→ Perfil del actor allegedly-attributed-the en el blog → Ver allegedly-attributed-the en IntelTracker → Buscar allegedly-attributed-the en APTTrail → Repositorio APTTrail → Mas incidentes en Russia → Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes