Que es
LoJax fue identificado como el primer rootkit de firmware UEFI detectado en la práctica, atribuido a un grupo de actores maliciosos vinculados a Rusia. Este ataque se llevó a cabo en 2018 y fue catalogado como una operación de alto nivel por su complejidad técnica y su objetivo de comprometer sistemas operativos mediante el acceso al firmware del equipo.
Contexto
LoJax fue atribuido a un actor APT (Actor de Potencia Técnica) asociado a Rusia, con alias que incluyen referencias a Zebrocy, aptnotes.malwareconfig.com, viewer.html, y otros dominios analizados en fuentes de inteligencia de ciberseguridad. Los datos disponibles sugieren una conexión entre este ataque y actividades maliciosas relacionadas con el análisis de malware y la distribución de componentes dañinos.
Análisis
Los indicadores de compromiso (IOCs) extraídos incluyen:
| Tipo | Valor | Contexto |
| Dominio | aptnotes.malwareconfig.com |
Fuente de análisis de malware vinculada a operaciones APT. |
| Dominio | viewer.html |
Potencial uso en entornos maliciosos para visualizar o manipular archivos dañinos. |
| Documento | apt28.pdf |
Archivo compartido en plataformas como app.box.com, probablemente relacionado con operaciones APT. |
| Plataforma | app.box.com |
Uso para compartir archivos en entornos de análisis o distribución de componentes maliciosos. |
Estos IOCs reflejan la activa participación de actores con acceso a herramientas de análisis y distribución de malware, sugiriendo una conexión entre el ataque LoJax y actividades de ciberdelincuencia organizada.
Conclusión
LoJax representa un caso destacado de una operación APT vinculada a Rusia, con implicaciones en la seguridad de sistemas críticos. Aunque los IOCs analizados apuntan a actividades maliciosas, no se han encontrado evidencias concluyentes que confirmen directamente el atributo al actor rusio. La vigilancia sobre dominios como aptnotes.malwareconfig.com y app.box.com sigue siendo relevante para detectar futuras amenazas similares.