Σύμφωνα με τις δημόσιες αναφορές, ο APT-C-36 είναι APT actor χωρίς επιβεβαιωμένη γεωγραφική απόδοση. Στο MITRE ATT&CK αντιστοιχίζεται στην ομάδα G0099. Κίνητρο: κατασκοπεία. Κύριοι κλάδοι στόχευσης: Βιομηχανία, Ενέργεια, Δημόσιος τομέας, Χρηματοοικονομικά. Στις δημόσιες πηγές αναφέρεται επίσης ως Blind Eagle. Επίπεδο πολυπλοκότητας: προηγμένο. Σχετίζεται με 12 γνωστά CVEs (εκ των οποίων 4 κρίσιμα).

Τεχνική συμπεριφορά και TTPs

Με βάση τη δημόσια καταγραφή στο MITRE ATT&CK (G0099), στις κυριότερες τεχνικές του APT-C-36 περιλαμβάνονται:

  • T1583 – Acquire Infrastructure: Domains
  • T1059 – εκτέλεση εντολών και scripts (PowerShell, cmd, bash)
  • T1586 – Compromise Accounts: Email Accounts
  • T1584 – Compromise Infrastructure: Botnet
  • T1587 – Develop Capabilities: Malware
  • T1568 – Dynamic Resolution
  • T1480 – Execution Guardrails
  • T1133 – κατάχρηση απομακρυσμένων υπηρεσιών (SMB, RDP, SSH)

Συνδεδεμένα εργαλεία και malware

  • AsyncRAT (S1087)
  • Caminho (S9016)
  • DCRAT (S9017)
  • HeartCrypt (S9018)
  • Imminent Monitor (S0434)
  • njRAT (S0385)

Γιατί αφορά ελληνικούς και ευρωπαϊκούς οργανισμούς

Σε οργανισμούς με υποχρεώσεις NIS2, DORA και GDPR, η ύπαρξη ενός actor όπως ο APT-C-36 καθιστά αναγκαία τη συγκεκριμένη χαρτογράφηση αμυντικών ελέγχων σε ATT&CK techniques. Η ελληνική αγορά —ιδίως τράπεζες, ενέργεια, ναυτιλία, τηλεπικοινωνίες και κρίσιμες υποδομές— παραμένει στόχος ευρύτερων εκστρατειών που τέμνουν τους τομείς Βιομηχανία, Ενέργεια, Δημόσιο τομέα, Χρηματοοικονομικά. Η αλυσίδα εφοδιασμού (supply chain) αυξάνει την έκθεση ακόμα και όταν η οργάνωση δεν είναι στον αρχικό κύκλο στόχευσης του actor.

Από το προφίλ στην πράξη

Τα στοιχεία για κάθε adversary group συγκεντρώνονται από εκατοντάδες πηγές threat intelligence και περνούν από διασταύρωση και επιβεβαίωση πριν καταγραφούν ώστε κάθε τεχνική, εργαλείο και δείκτης που αποδίδεται στον actor να αντικατοπτρίζει επιβεβαιωμένη συμπεριφορά και όχι μεμονωμένες ή ανεπιβεβαίωτες αναφορές.

Διατηρούμε αυτά τα επιβεβαιωμένα προφίλ APT και τα αξιοποιούμε για να σχεδιάζουμε και να εκτελούμε adversary simulations με ακρίβεια στα συστήματα των πελατών μας. Αν διαθέτετε SOC, SIEM ή EDR, ο μόνος τρόπος να επαληθεύσετε αν η άμυνά σας δουλεύει είναι να τη δοκιμάσετε: το προφίλ μετατρέπεται σε ελεγχόμενα σενάρια επίθεσης, προσαρμοσμένα στην υποδομή σας, ώστε να δείτε στην πράξη τι ανιχνεύεται και τι περνά απαρατήρητο.

Δείτε την βιβλιοθήκη με όλους τους threat actors που έχουμε συγκεντρώσει