Es un grupo de espionaje altamente sofisticado respaldado por el estado Chino que está activo desde al menos 2012, también se ha involucrado en campañas motivadas financieramente para su beneficio. Ha aprovechado los certificados de firma de código robados para firmar malware. Generalmente utiliza sitios web legítimos como C2 para evitar la detección. Desde 2017, se ha centrado en los ataques a la cadena de suministro para inyectar código malicioso en archivos legítimos y comprometer organizaciones e individuos adicionales. Posee un vasto arsenal de artefactos & TTPs, incluida la distribución de correos electrónicos de spearphishing con archivos adjuntos maliciosos, el uso de credenciales robadas, el uso del webshell CHINACHOP y el compromiso de los puntos finales del protocolo de escritorio remoto (RDP). Se le atribuye la fuerte explotación de Microsoft Exchange a nivel LATAM.

Es un grupo que en líneas generales aprovechan la filtración de datos de otras fuentes para adjudicárselas y ser referentes sociales con la causa social que se vive en Chile. Desde octubre de 2019, junto con las revueltas sociales evidenciadas en el país, hemos presenciado ciber delincuentes hacktivistas que han manipulado las redes y sistemas con fin de apoyar la causa social que se está exigiendo al gobierno y políticos de Chile.

El grupo es muy público sobre sus operaciones, socialmente activo y mantiene presencia en el foro clandestino RaidForums, Facebook, Twitter y supuestos sitios web de la empresa del mismo nombre que el grupo. Desde julio de 2014, han publicado activamente bases de datos comprometidas, información de identificación personal y documentos de entidades corporativas, militares y gubernamentales, incluidos los servidores de comunicaciones por satélite de la Marina de los EE.UU. Aunque las víctimas de las acciones del grupo incluyen entidades gubernamentales y militares, sus ataques parecen ser más oportunistas que dirigidos.

Es un grupo de ciber criminales nigerianos con presencia activa desde 2014 su principal vector de ataque es a través de correo electrónico BEC (Business Email Compromise). Sus engaños apuntan a los departamentos de finanzas de las organizaciones, utilizan correos electrónicos comprometidos o suplantados para lograr la confianza de sus víctimas, haciéndose pasar por colaboradores de la propia organización o por algún proveedor para solicitar el cambio de cuentas bancarias de transferencias de dinero.

Hotarus Corp es un grupo de ciber actores maliciosos que apareció en febrero de 2021 adjudicándose violaciones de datos y hackeos a sitios web. El grupo de amenazas ha apuntado principalmente a organizaciones ecuatorianas, tales como: Banco Pichincha, el Ministerio de Finanzas de Ecuador y OfferChocados.

Está detrás de algunas de las campañas de malspam más grandes jamás detectadas, utiliza una amplia gama de malware en sus operaciones, siendo conocido por el extraordinario despliegue masivo que utiliza en sus campañas. Los registros actuales informan que este grupo parece haber comenzado a distribuir malware como un servicio (MaaS) para otros grupos de ciberdelincuentes.

Es un grupo de ciber actores de amenazas con habilidades y recursos notables activo desde el 2014, se especula que está patrocinado por el gobierno iraní, el grupo comúnmente usa spear phishing para engañar a las víctimas para que descarguen ejecutables maliciosos. Junto a otros grupos iraníes estuvo a cargo de las campañas Fox Kitten (2020) y Pay 2 Kitten (2021), explotando vulnerabilidades de conexiones VPN.

Vinculados directamente con operaciones de ciberespionaje del gobierno Ruso centrados principalmente en compañías de infraestructura y servicios críticos. Como parte de sus técnicas se encuentra la explotación de vulnerabilidades conocidas y técnicas como spearphishing. A fines de 2021 se advirtió sobre la utilizacion de un nuevo malware llamada Foggyweb el cual opera como una puerta trasera para acceder a servidores de Microsoft Active Directory Federation Services (AD FS).

El grupo ha estado relacionado con algunos de los hacks más memorables de la historia, en 2014 contra Sony Pictures, en 2016 en el robo del banco Bangladesh, en 2017 distribuyendo ransomware WannaCry que explotaba el protocolo SMB para su propagación como gusano, en 2018 en el robo del Banco de Chile, entre otros. Gran parte de los objetivos de Lazarus Group se han centrado históricamente en Corea del Sur y Estados Unidos.

Sodinokibi es el grupo de amenazas detrás del ransomware homónimo Sodinokibi, también conocido como REvil. La primera actividad atribuida a este grupo de amenazas data de abril de 2019, cuando los actores de amenazas explotaron la vulnerabilidad CVE-2019-2725 (Oracle WebLogic) para instalar el ransomware Sodinokibi. Desde entonces, los afiliados de la banda Sodinokibi han distribuido su ransomware a través de kits de explotación, técnicas de exploración y explotación, servicios de protocolo de escritorio remoto (RDP) e instaladores de software con puertas traseras, manteniendo la modalidad Ransomware-as-a-Service. El mayor hito fue en julio de 2021 con el ataque a la cadena de suministro de Kaseya. Desde mediados de octubre de 2021, las actividades del ransomware han cesado abruptamente.

El Grupo Trickbot es la banda de ciberdelincuentes detrás del troyano bancario Trickbot. El malware Trickbot roba credenciales e información financiera confidencial de los usuarios infectados. Aunque el principal objetivo del troyano bancario es comprometer a los usuarios de la banca en línea, Trickbot es un troyano modular, lo que significa que tiene varias otras capacidades que podrían usarse para otros fines, como la exfiltración de documentos. Al igual que muchas bandas de delincuentes cibernéticos, Trickbot agregó ransomware a su arsenal en 2018. Desde 2018, el ransomware Ryuk ha sido el ransomware preferido de los operadores de Trickbot, afectando a entidades como organizaciones de medios, escuelas y hospitales. A mediados de 2020, el grupo comenzó a utilizar adicionalmente el ransomware Conti.