El Equipo de Investigación de Amenazas de la Unidad 42 de Palo Alto Networks ha introducido un enfoque sistemático innovador para la atribución de actores de amenaza, abordando desafíos de larga data en el análisis de inteligencia de ciberseguridad.
El marco de atribución de la Unidad 42, presentado el 31 de julio de 2025 transforma lo que tradicionalmente se ha considerado “más arte que la ciencia” en una metodología estructurada para analizar y clasificar las amenazas cibernéticas.
El marco aborda las brechas críticas en la inteligencia de amenazas al proporcionar un sistema de clasificación de tres niveles que progresa desde la observación de la actividad inicial hasta la identificación definitiva del actor de amenaza.
A diferencia de los enfoques convencionales que dependen en gran medida de la experiencia individual de los investigadores, esta metodología integra el modelo de análisis de intrusos de diamantes con el sistema de admiradería para crear mecanismos de puntuación estandarizados para la evaluación de confiabilidad y credibilidad.
Los profesionales de ciberseguridad han luchado durante mucho tiempo con las convenciones de nombres de amenazas inconsistentes y las decisiones de atribución prematura que pueden conducir a recursos defensivos mal dirigidos.
El marco de atribución de la Unidad 42: tres niveles de actividad rastreada (fuente – Redes Palo Alto)
El nuevo marco establece criterios claros para cada nivel de atribución, que requiere múltiples fuentes de corroboración y análisis integrales antes de elevar las amenazas a través de la jerarquía de clasificación.
Analistas de Palo Alto Networks identificado La necesidad de este enfoque sistemático después de observar la confusión generalizada en la nomenclatura del actor de amenaza en toda la comunidad de seguridad cibernética.
El marco aplica estándares rigurosos en siete categorías clave de datos de amenazas: tácticas, técnicas y procedimientos (TTP), configuraciones de herramientas, análisis de código de malware, consistencia de seguridad operativa, análisis de línea de tiempo, infraestructura de red y patrones de victimología.
El proceso de atribución comienza con los grupos de actividad, designados con el prefijo “cl-” seguido de indicadores de motivación como STA para el estado, CRI para el estado para motivación del crimen o desencadenante para la motivación desconocida.
Estos grupos requieren al menos dos eventos relacionados que compartan indicadores de compromiso, TTP similares o proximidad temporal. Por ejemplo, múltiples campañas de phishing que se dirigen a instituciones financieras con hashes de SHA256 idénticos constituirían un grupo de actividades calificadas.
Implementación técnica avanzada y análisis de estudio de casos
La sofisticación técnica del marco se hace evidente en sus criterios de elevación para los grupos de amenazas temporales, que requieren un mínimo de observación de seis meses y un mapeo integral del modelo de diamante en los cuatro vértices: adversario, infraestructura, capacidad y víctima.
Los grupos de amenazas temporales reciben prefijos “TGR-” con sistemas idénticos de etiquetado de motivación.
La metodología incorpora técnicas avanzadas de análisis de infraestructura, examinando no solo las direcciones y dominios IP, sino también las relaciones entre los elementos de infraestructura, incluidos los proveedores de alojamiento compartido y los patrones de registro.
El análisis de similitud de código se extiende más allá de las simples comparaciones de hash para examinar la funcionalidad estructural, las bibliotecas compartidas y las características únicas que indican fuentes de desarrollo comunes.
Ejemplo Atribución Elementos de hoja de puntaje: Fiabilidad de origen: escala AF (a = confiable, f = desconocido) Credibilidad de información: 1-6 Escala (1 = Confirmada, 6 = incierta) Puntuaciones de IOC predeterminadas: direcciones IP (4), Hashes de archivo (2), dominios (3)
La aplicación práctica del marco se demuestra a través del análisis de una década de la actividad de Tauro señorial, que comenzó con el descubrimiento de Troya de lombrices de 2015.
Unidad 42 Los investigadores emplearon el análisis de hash SHA256 para mapear las conexiones de infraestructura entre campañas aparentemente dispares, estableciendo en última instancia enlaces definitivos a través de la nueva metodología de atribución en 2025.
El marco incluye un análisis de seguridad operacional sofisticado, el seguimiento de los errores de actores de amenazas consistentes, como los errores tipográficos de código, las manijas de los desarrolladores en metadatos y las configuraciones de infraestructura abierta.
Estas “huellas digitales OPSEC” proporcionan evidencia de atribución valiosa cuando se combinan con el análisis de correlación temporal y el mapeo de eventos geopolíticos.
Este enfoque sistemático representa un avance significativo en la maduración de la inteligencia de amenazas, ofreciendo transparencia en las decisiones de atribución al tiempo que establece metodologías reproducibles que mejoran la investigación de amenazas colaborativas en toda la comunidad de seguridad cibernética.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
