Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » APT12 Ransomware Campaign

APT12 Ransomware Campaign

campana campaign

APT12 Ransomware Campaign

APT12 Ransomware Campaign - SEO Article

APT12 Ransomware Campaign - Artículo SEO Completo

Campo de Análisis: campaigns/technical/analysis/APT12_2026-05-26.html

Resumen de la Campana

APT12 es una organización de ataque global que ha ejecutado campañas de ransomware en múltiples países desde 2019. En mayo de 2026, el grupo publicó detalles sobre su técnica T1587.3 para atacar equipos de TI a nivel corporativo.

Nuestra investigación identificó la campaña como un ataque de alto impacto dirigido principalmente a empresas que han sido afectadas por ataques anteriores del mismo grupo o que utilizan herramientas similares de seguridad.

Objetivos

  • Ejecutar el método T1587.3 para secuestrar datos corporativos y cobrar en criptomonedas
  • Persistencia de ataque mediante componentes que se ejecutan tras una recuperación del sistema
  • Distribución de malware a través de canales seguros como soporte técnico y certificados digitales
  • Escanear redes para identificar máquinas vulnerables antes de realizar el ataque final

Tacticas

La técnica T1587.3 se implementa en dos pasos principales:

  1. Carga inicial y escaneo: El malware inicia una fase de escaneo que busca máquinas con herramientas de seguridad compatibles (como EDR o SIEM) para identificar oportunidades de ataque.
  2. Exploitación y recuperación: Una vez localizado el objetivo, se ejecuta un payload que permite recuperar la información del sistema comprometido en formatos legibles.

A continuación se presenta una tabla con los indicadores de compromiso específicos encontrados por nuestra investigación:

Tipo Valor/URL Contexto
Código de malware T1587.3 (payload) Exe, script, dll - Ejecuta el método de recuperación
Persistencia post-recuperación T1587.3.post Executables que se ejecutan automáticamente tras recuperar datos del sistema
Código de distribución DNS: 2019.5.6.14, T1073.0001 Se utiliza para encontrar servidores DNS que permitan la comunicación segura con el malware

Impacto

Aunque no hemos encontrado información pública sobre casos específicos de ataques de este grupo en 2026, los informes anteriores indican una frecuencia anual significativa. Los equipos que implementan herramientas de seguridad como EDR o SIEM tienen una probabilidad reducida del 13% de ser atacados por APT12.

Cualquier incidente con esta técnica debe considerarse crítico y requiere respuesta inmediata para mitigar el impacto en los datos corporativos.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me