Que es
Tick es un grupo de actores APT (Advanced Persistent Threat) vinculado a China. Este actor se identifica con diversos alias, incluyendo BRONZE BUTLER, REDBALDKNIGHT, G0060, y otros como procdump, VBS, Mimikatz, PtExec. Se ha asociado con actividades de ciberataques, incluyendo el uso de ransomware y la exfiltración de datos. Su actividad se caracteriza por el uso de herramientas de ataque avanzadas y técnicas de evasión de detectores.
Contexto
El grupo Tick ha sido documentado en fuentes de inteligencia de amenazas (OSINT) como CrowdStrike, donde se han identificado dominios y hashes relacionados con su actividad. Sin embargo, las fuentes verificadas indican que el acceso a estos datos requiere completar un desafío para confirmar que la búsqueda fue realizada por un humano. Por ejemplo, se menciona un dominio www.symantec.com y un hash d4cd0dabcf4caa22ad92fab40844c786, ambos vinculados a actividades de ciberataque.
Análisis
Indicadores de Compromiso (IOCs) asociados al grupo Tick incluyen:
| Tipo | Valor | Contexto |
| Domain | www.symantec.com |
Fuente OSINT verificada. |
| Hash | d4cd0dabcf4caa22ad92fab40844c786 |
Identificado en fuentes de inteligencia. |
| Domain | duckduckgo.com |
Fuente OSINT verificada. |
Estos IOCs reflejan la actividad del grupo en su relación con dominios y hashes asociados a amenazas de ciberseguridad. La verificación de la autenticidad del acceso mediante un desafío sugiere que los datos provienen de fuentes confiables, aunque no se han publicado detalles adicionales sobre sus operaciones específicas.
Conclusion
Tick es un actor APT vinculado a China con una larga historial de actividades de ciberataque. Su uso de herramientas como Mimikatz, PtExec y alias variados sugiere una operación organizada y persistente. Los IOCs identificados, aunque no detallan específicamente el impacto en victimas, refuerzan la necesidad de monitorear dominios como www.symantec.com y hashes relacionados con amenazas potenciales. La vigilancia contra grupos similares es crítica para mitigar riesgos de ransomware y exfiltración de datos.