Как и другие злоумышленники, группы APT пытаются украсть данные, нарушить работу или уничтожить инфраструктуру. В отличие от большинства киберпреступников, злоумышленники APT преследуют свои цели в течение месяцев или лет. Они адаптируются к киберзащите и часто перенаправляют свои атаки на одну и ту же жертву.

Тот факт, что в вашей системе есть варианты вредоносного ПО, связанные с APT, не означает, что вы являетесь объектом APT. Но ваша группа безопасности должна быть в курсе этого списка наиболее активных групп APT и принимать дополнительные меры предосторожности при обнаружении вредоносных программ, связанных с предыдущими атаками APT.

APT41

 Предполагаемая принадлежность: Китай

Целевые сектора: APT41 имеет непосредственные целевые организации, по крайней мере, в 14 странах, начиная с 2012 года. Шпионские кампании группы были нацелены на здравоохранение, телекоммуникации и высокотехнологичный сектор и исторически включали в себя кражу интеллектуальной собственности. Их вторжение в киберпреступность наиболее очевидно среди целевых приложений индустрии видеоигр, включая манипулирование виртуальными валютами и попытки развертывания вымогателей. Операции APT41 против высшего образования, туристических служб и новостных / медийных фирм дают некоторое представление о том, что группа также отслеживает отдельных лиц и проводит наблюдение.

Обзор: APT41 - это группа, которая активно реализует киберугрозы и осуществляет шпионскую деятельность, спонсируемую Китаем, в дополнение к финансово мотивированным действиям, потенциально находящимся вне контроля государства.

Связанное вредоносное ПО: APT41 был обнаружен с использованием как минимум 46 различных семейств кодов и инструментов.

Векторы атак: APT41 часто полагается на фишинговые электронные письма с вложениями, такими как скомпилированные файлы HTML (.chm), для первоначальной компрометации своих жертв. Оказавшись в организации-жертве, APT41 может использовать более сложные TTP и развертывать дополнительные вредоносные программы. Например, в кампании, проводимой почти год, APT41 скомпрометировал сотни систем и использовал около 150 уникальных вредоносных программ, включая бэкдоры, похитители учетных данных, кейлоггеры и руткиты. APT41 также ограниченно развернул руткиты и загрузочные записи Master Boot Record (MBR), чтобы скрыть свои вредоносные программы и сохранить устойчивость в некоторых системах-жертвах.

APT40

Предполагаемая принадлежность: Китай

Целевые сектора: APT40 - это китайская группа по кибершпионажу, которая, как правило, нацелена на страны, имеющие стратегическое значение для Инициативы «Пояс и дорога». Хотя группа нацелена на глобальные организации - особенно те, которые сосредоточены на разработке и обороне - она ??также исторически проводила кампании против региональных организаций в таких областях, как Юго-Восточная Азия. По крайней мере, с января 2013 года, группа проводила кампании против целого ряда вертикалей, включая морские цели, оборонные, авиационные, химические, научно-образовательные, государственные и технологические организации.

Обзор: FireEye Intelligence считает, что операции APT40 являются кибер-аналогом усилий Китая по модернизации своих военно-морских возможностей; это также проявляется в нацеливании широкомасштабных исследовательских проектов в университетах и ??получении проектов для морского оборудования и транспортных средств. Деятельность группы, как правило, нацелена на финансируемые правительством проекты и собирает большие объемы информации, характерной для таких проектов, включая предложения, встречи, финансовые данные, информацию о доставке, планы и чертежи, а также необработанные данные.

Связанное вредоносное ПО: APT40 был обнаружен с использованием как минимум 51 различных семейств кодов. Из них 37 непубличных. По крайней мере, семь из этих закрытых инструментов (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU и WIDETONE) доступны другим подозреваемым операторам China-nexus.

Векторы атаки: APT40, как правило, маскируется под известного человека, который, вероятно, представляет интерес для цели, чтобы послать фишинговые электронные письма. Это включает в себя притворство журналиста, сотрудника торговой публикации или сотрудника соответствующей военной организации или неправительственной организации (НПО). В некоторых случаях группа использовала ранее скомпрометированные адреса электронной почты для отправки электронных писем с фишингом.

APT39

Предполагаемая принадлежность: Иран

Целевые секторы: хотя сфера таргетинга APT39 является глобальной, ее деятельность сосредоточена на Ближнем Востоке. APT39 отдает приоритет телекоммуникационному сектору с дополнительным нацеливанием на туриндустрию и ИТ-фирмы, которые поддерживают его, и индустрию высоких технологий.

Обзор. Внимание группы к телекоммуникационной и туристической отраслям предполагает намерение проводить операции по мониторингу, отслеживанию или надзору за отдельными лицами, собирать личные данные или данные клиентов для коммерческих или операционных целей, которые служат стратегическим требованиям, связанным с национальными приоритетами, или создавать дополнительные доступы и векторы для облегчения будущих кампаний. Ориентация на государственные организации предполагает потенциальное вторичное намерение собирать геополитические данные, которые могут быть полезны для принятия решений национальными государствами.

Связанное вредоносное ПО: группа в основном использует бэкдоры SEAWEED и CACHEMONEY вместе с конкретным вариантом бэкдора POWBAT.

Векторы атаки:Для первоначального компромисса FireEye Intelligence обнаружил, что APT39 использует фишинг с помощью вредоносных вложений и / или гиперссылок, что обычно приводит к заражению POWBAT. В некоторых случаях также использовались ранее скомпрометированные учетные записи электронной почты, которые могут злоупотреблять внутренними трастами и увеличивать шансы на успешную атаку. APT39 часто регистрирует и использует домены, которые маскируются как законные веб-сервисы и организации, имеющие отношение к предполагаемой цели. Кроме того, эта группа регулярно выявляет и использует уязвимые веб-серверы целевых организаций для установки веб-оболочек, таких как ANTAK и ASPXSPY, и использует украденные законные учетные данные для компрометации внешних ресурсов Outlook Web Access (OWA). Пока не обнаружено уязвимостей эксплойта APT39.

APT38

Предполагаемая принадлежность: Северная Корея

Целевые сектора: финансовые институты по всему миру

Обзор: Наш анализ поддерживаемой режимом северокорейской группы угроз, которую мы называем APT38, показывает, что они несут ответственность за совершение крупнейших кибер-преступлений. Хотя APT38 делится ресурсами по разработке вредоносных программ и спонсорством штата Северная Корея с группой, которую сообщество безопасности называет «Lazarus», мы считаем, что финансовая мотивация APT38, уникальный набор инструментов, а также тактика, методы и процедуры (TTP) достаточно различны для них и выделяются среди  других северокорейских кибер-активностей.

Сопутствующее вредоносное ПО: эта большая и многочисленная группа использует различные семейства вредоносных программ, в том числе бэкдоры, туннелисты, датаминеры и вредоносные вредоносные программы, чтобы украсть миллионы долларов у финансовых учреждений и сделать сети жертвы неработоспособными.

Векторы атак: APT38 провела операции в более чем 16 организациях по крайней мере в 11 странах. Эта группа осторожна, рассчитана и продемонстрировала желание поддерживать доступ к окружениям-жертвам столько времени, сколько необходимо для понимания схемы сети, необходимых разрешений и системных технологий для достижения ее целей. APT38 уникален тем, что они не боятся агрессивно уничтожать улики или сети жертв в рамках своей деятельности.

APT37

Предполагаемая принадлежность: Северная Корея

Целевые сектора: прежде всего Южная Корея - хотя также Япония, Вьетнам и Ближний Восток - в различных отраслях промышленности, включая химию, электронику, производство, авиакосмическую промышленность, автомобилестроение и здравоохранение.

Обзор: Наш анализ недавней активности APT37 показывает, что деятельность группы расширяется и расширяется благодаря набору инструментов, который включает доступ к уязвимостям нулевого дня и вредоносным программам. Мы с высокой степенью уверенности оцениваем, что эта деятельность осуществляется от имени правительства Северной Кореи с учетом артефактов, связанных с разработкой вредоносных программ, и нацеливания, соответствующего интересам государства Северной Кореи. FireEye iSIGHT Intelligence считает, что APT37 соответствует деятельности, публично заявленной как Scarcruft и Group123.

Сопутствующее вредоносное ПО: разнообразный набор вредоносных программ для первоначального проникновения и проникновения. Наряду с пользовательскими вредоносными программами, используемыми для шпионских целей, APT37 также имеет доступ к вредоносным вредоносным программам.

Векторы атак: тактика социальной инженерии, специально предназначенная для желаемых целей, стратегические веб-компромиссы, типичные для целевых операций кибершпионажа, и использование торрент-сайтов для обмена файлами для более широкого распространения вредоносных программ. Частая эксплуатация уязвимостей в текстовом процессоре Hangul (HWP), а также в Adobe Flash. Группа продемонстрировала доступ к уязвимостям нулевого дня (CVE-2018-0802) и способность включать их в операции.

APT34

Предполагаемая принадлежность: Иран

Целевые сектора: эта группа угроз имеет широкий список целей в различных отраслях, включая финансовые, государственные, энергетические, химические и телекоммуникационные, и в основном сосредоточила свои операции на Ближнем Востоке.

Обзор: Предполагается, что APT34 участвует в долгосрочной операции кибершпионажа, в основном сосредоточенной на разведывательных усилиях в интересах интересов иранского национального государства, и действует с 2014 года. Мы оцениваем, что APT34 работает от имени правительства Ирана на основе инфраструктуры подробности, содержащие ссылки на Иран, использование иранской инфраструктуры и нацеливание, соответствующее интересам национальных государств.

Связанное вредоносное ПО: POWBAT, POWRUNER, BONDUPDATER

Векторы атак: в своей последней кампании APT34 использовал последнюю уязвимость Microsoft Office CVE-2017-11882 для развертывания POWRUNER и BONDUPDATER.

APT33

Предполагаемая принадлежность: Иран

Целевые сектора: Аэрокосмос, Энергетика

Обзор: APT33 ориентирована на организации, охватывающие несколько отраслей, со штаб-квартирой в США, Саудовской Аравии и Южной Корее. APT33 проявляет особый интерес к организациям авиационного сектора, занимающимся как военным, так и коммерческим потенциалом, а также организациям энергетического сектора, связанным с нефтехимическим производством.

Сопутствующее вредоносное ПО: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Векторы атак: APT33 разослал фишинговые электронные письма сотрудникам, чья работа связана с авиационной промышленностью. Эти электронные письма включали тематические приманки для набора персонала и содержали ссылки на файлы вредоносного HTML-приложения (.hta). Файлы .hta содержали описания должностей и ссылки на законные объявления о вакансиях на популярных веб-сайтах по трудоустройству, которые были бы актуальны для целевых лиц.

APT32

Также известная как: OceanLotus Group

Предполагаемая принадлежность: Вьетнам

Целевые секторы: Иностранные компании, инвестирующие в производство, потребительские товары, консалтинг и гостиничное хозяйство Вьетнама.

Обзор: Недавние действия, направленные на частные интересы во Вьетнаме, позволяют предположить, что APT32 представляет угрозу для компаний, занимающихся бизнесом, производством или готовящихся инвестировать в страну. Хотя конкретная мотивация этой деятельности остается непрозрачной, она может в конечном итоге подорвать конкурентное преимущество целевых организаций.

Сопутствующее вредоносное ПО: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Векторы атаки: субъекты APT32 используют файлы ActiveMime, которые используют методы социальной инженерии, чтобы соблазнить жертву на включение макросов. После выполнения инициализированный файл обычно загружает несколько вредоносных полезных данных с удаленного сервера. Актеры APT32 доставляют вредоносные вложения через фишинговые электронные письма. Доказательства показали, что некоторые из них могли быть отправлены через Gmail.

APT30

Предполагаемая принадлежность: Китай

Целевые сектора: члены Ассоциации государств Юго-Восточной Азии (АСЕАН)

Обзор: APT30 известен не только устойчивой активностью в течение длительного периода времени, но также и успешной модификацией и адаптацией исходного кода, чтобы поддерживать те же инструменты, тактику и инфраструктуру по крайней мере с 2005 года. Опыт показывает, что группа распределяет приоритетные цели, скорее всего, работая в среде совместной работы и создает вредоносные программы исходя из согласованного плана развития. Группа реализовала возможность заражать сети с уязвимостями с 2005 года.

Сопутствующее вредоносное ПО: SHIPSHAPE, SPACESHIP, FLASHFLOOD

Векторы атак: APT30 использует набор инструментов, который включает загрузчики, бэкдоры, центральный контроллер и несколько компонентов, предназначенных для заражения съемных дисков и сетей с уязвимостями для кражи данных. APT30 часто регистрирует свои собственные домены DNS для действий вредоносного CnC.

APT29

Предполагаемая принадлежность: российское правительство

Целевые сектора: правительства Западной Европы, внешнеполитические группы и другие подобные организации

Обзор: APT29 - это адаптивная и дисциплинированная группа угроз, которая скрывает свою деятельность в сети жертвы, общаясь нечасто и таким образом, который очень похож на законный трафик. Используя законные популярные веб-службы, группа также может использовать зашифрованные SSL-соединения, что делает обнаружение еще более трудным. APT29 - одна из наиболее развитых и способных групп угроз. Он развертывает новые бэкдоры, чтобы исправить свои ошибки и добавить новые функции. Он контролирует активность защитников сети для поддержания контроля над системами. APT29 использует только скомпрометированные серверы для связи CnC. Он противостоит попыткам исправить атаки. Он также поддерживает быстрый цикл разработки для своих вредоносных программ, быстро меняя инструменты, чтобы препятствовать обнаружению.

Сопутствующее вредоносное ПО: HAMMERTOSS, TDISCOVER, UPLOADER

Векторы атак: APT29 использовал сайты социальных сетей, такие как Twitter или GitHub, а также облачные сервисы для передачи команд и извлечения данных из скомпрометированных сетей. Группа передает команды через изображения, содержащие скрытые и зашифрованные данные. Информация извлекается из скомпрометированной сети, а файлы загружаются в облачные службы хранения.

APT28

Также известная как: Царская Команда

Предполагаемая принадлежность: российское правительство

Целевые сектора: Кавказ, в частности, Грузия, страны и вооруженные силы Восточной Европы, Организация Североатлантического договора (НАТО) и другие европейские организации безопасности и оборонные фирмы.

Обзор: APT28 - это опытная команда разработчиков и операторов, собирающая информацию по оборонным и геополитическим вопросам - информацию, которая будет полезна только правительству. Эта группа APT собирает образцы вредоносных программ с настройками русского языка в рабочее время (с 8:00 до 18:00) в соответствии с часовым поясом крупных городов России, включая Москву и Санкт-Петербург. Это говорит о том, что APT28 получает прямые текущие финансовые и другие ресурсы от стабильной организации, скорее всего, российского правительства.

Сопутствующее вредоносное ПО: CHOPSTICK, SOURFACE

Векторы атаки: Инструменты, обычно используемые APT28, включают загрузчик SOURFACE, его бэкдор второго уровня EVILTOSS и модульное семейство имплантатов, названное CHOPSTICK. APT28 использует шифрование RSA для защиты файлов и украденной информации, перемещенной из сети жертвы в контроллер. С 2007 года компания также внесла постепенные и систематические изменения в загрузчик SOURFACE и окружающую его экосистему, что указывает на давние и целенаправленные усилия по разработке.

APT19

Также известная как: команда Codoso

Предполагаемая принадлежность: Китай

Целевые сектора: юридические и инвестиционные

Обзор: группа, вероятно, состоит из фрилансеров, с определенной степенью спонсорства со стороны правительства Китая.

Связанное вредоносное ПО: BEACON, COBALTSTRIKE

Векторы атаки: в 2017 году APT19 использовал три различных метода, чтобы попытаться взломать цели. В начале мая фишинговые приманки использовали вложения RTF, которые использовали уязвимость Microsoft Windows, описанную в CVE 2017-0199. В конце мая APT19 переключился на использование документов Microsoft Excel (XLSM) с поддержкой макросов. В самых последних версиях APT19 добавил обходной список приложений в документы XLSM. По крайней мере, одна наблюдаемая фишинговая приманка доставила полезную нагрузку Cobalt Strike.

APT18

Также известная как: Wekby

Предполагаемая принадлежность: Китай

Целевые сектора: аэрокосмическая и оборонная промышленность, строительство и инженерия, образование, здравоохранение и биотехнология, высокие технологии, телекоммуникации, транспорт

Обзор: очень мало было опубликовано об этой группе.

Связанное вредоносное ПО: Gh0st RAT

Векторы атак: часто разрабатываемые или адаптированные эксплойты нулевого дня для операций, которые, вероятно, были запланированы заранее. Использовались данные из утечки Hacking Team, которые продемонстрировали, что группа может перемещать ресурсы (т.е. выбирать цели, готовить инфраструктуру, создавать сообщения, обновлять инструменты), чтобы использовать неожиданные возможности, такие как недавно обнаруженные эксплойты.

APT17

Также известная как: команда Tailgator

Предполагаемая принадлежность: Китай

Целевые сектора: правительство США, международные юридические фирмы и компании, занимающиеся информационными технологиями.

Обзор: Осуществляет вторжение в сети организаций, намеченных в качестве целей.

Сопутствующее вредоносное ПО: BLACKCOFFEE

Векторы атак. Группа угроз использовала возможность создавать профили и публиковать сообщения на форумах для встраивания закодированного CnC для использования с вариантом используемого вредоносного ПО. Этот метод может затруднить специалистам по сетевой безопасности определение истинного местоположения CnC и позволить инфраструктуре CnC оставаться активной в течение более длительного периода.

APT16

Предполагаемая принадлежность: Китай

Целевые сектора: японские и тайваньские организации в сфере высоких технологий, государственных услуг, средств массовой информации и финансовых услуг

Обзор: Китайская группа, занимающаяся политическими и журналистскими вопросами на Тайване.

Связанное вредоносное ПО: IRONHALO, ELMER

Векторы атак: подстрекательские электронные письма, отправленные тайваньским СМИ и адресам электронной почты. Документы-приманки содержали инструкции по регистрации и последующему листингу товаров на тайваньском аукционе.

APT12

Также известна как: Calc Team

Предполагаемая принадлежность: Китай

Целевые сектора: журналисты, правительство, оборонно-промышленный комплекс

Обзор: APT12 считается группой кибершпионажа, которая, как считается, имеет связи с Народно-освободительной армией Китая. Цели APT12 соответствуют наиболее крупным целям Китайской Народной Республики (КНР). Вторжения и кампании, проводимые этой группой, соответствуют целям КНР и его интересам на Тайване.

Сопутствующее вредоносное ПО: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Векторы атак: FireEye заметил, что APT12 доставляет эти эксплойты с помощью фишинговых писем с действительных, но скомпрометированных учетных записей. Исходя из прошлой активности APT12, ожидается, что группа угроз продолжит использовать фишинг в качестве метода доставки вредоносного ПО.

APT10

Также известная как: Menupass Team

Предполагаемая принадлежность: Китай

Целевые сектора: строительные и инженерные, аэрокосмические и телекоммуникационные фирмы, а также правительства Соединенных Штатов, Европы и Японии.

Обзор: APT10 - это китайская группа кибершпионажа, которую FireEye отслеживает с 2009 года. Они исторически предназначались для строительных и инженерных, аэрокосмических и телекоммуникационных компаний, а также правительств в Соединенных Штатах, Европе и Японии. Мы считаем, что нацеливание на эти отрасли было направлено на поддержку целей национальной безопасности Китая, включая получение ценной военной и разведывательной информации, а также кражу конфиденциальных коммерческих данных для поддержки китайских корпораций.

Сопутствующее вредоносное ПО: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Векторы атак. Это недавнее мероприятие APT10 включало как традиционный фишинг, так и доступ к сетям жертвы через поставщиков управляемых услуг. (Для получения дополнительной информации о заражении через поставщиков услуг см. M-Trends 2016). Копья APT10 были относительно простыми, используя файлы .lnk в архивах, файлы с двойным расширением (например, [Redacted] _Group_Meeting_Document_20170222_doc_.exe), а в некоторых случаях просто идентично именованные поддельные документы и вредоносные программы запуска в одном и том же архиве. В дополнение к копьям, FireEye ISIGHT Intelligence обнаружил, что APT10 получает доступ к жертвам через глобальных поставщиков услуг.

APT5

Предполагаемая принадлежность: невыяснена

Целевые сектора: региональные телекоммуникационные провайдеры, азиатские сотрудники глобальных телекоммуникаций и технологические фирмы, высокотехнологичное производство, военные прикладные технологии

Обзор: APT5 была активна, по крайней мере, с 2007 года. APT5 нацеливалась или нарушала деятельность организаций во многих отраслях, но его внимание, по-видимому, сосредоточено на телекоммуникационных и технологических компаниях, особенно на информации о спутниковой связи.

Связанное вредоносное ПО: LEOUNCIA

Векторы атак. Похоже, это большая группа угроз, состоящая из нескольких подгрупп, часто с четкой тактикой и инфраструктурой. Группа использует вредоносные программы с возможностью ведения кейлогинга, специально предназначенные для корпоративных сетей, сотрудников и руководителей телекоммуникационных компаний.

APT3

Также известная как: команда UPS

Предполагаемая принадлежность: Китай

Целевые сектора: аэрокосмическая и оборонная промышленность, строительство и инженерия, высокие технологии, телекоммуникации, транспорт

Обзор: Китайская группа угроз - одна из наиболее сложных групп угроз, которую отслеживает FireEye Threat Intelligence, и у них есть история использования эксплойтов на основе браузера в качестве нулевых дней (например, Internet Explorer, Firefox и Adobe Flash Player). После успешной эксплуатации целевого хоста эта группа быстро сбросит учетные данные, переместится в другом направлении на дополнительные хосты и установит пользовательские бэкдоры. Инфраструктуру управления и контроля (CnC) APT3 сложно отследить, так как между кампаниями мало общего.

Сопутствующее вредоносное ПО: SHOTPUT, COOKIECUTTER, SOGU

Векторы атак. Фишинговые электронные письма, используемые APT3, обычно носят общий характер и выглядят почти как спам. При атаках использовалась незащищенная уязвимость, заключающаяся в том, что Adobe Flash Player анализирует файлы Flash Video (FLV). Эксплойт использует общие методы искажения векторов для обхода рандомизации разметки адресного пространства (ASLR) и обратного ориентированного программирования (ROP) для обхода предотвращения выполнения данных (DEP). Аккуратный трюк с их техникой ROP упрощает ее использование и позволяет избежать некоторых методов обнаружения ROP. Shellcode хранится в упакованном файле эксплойта Adobe Flash Player вместе с ключом, используемым для его расшифровки. Полезная нагрузка кодируется xor и скрыта внутри изображения.

APT1

Также известная как: Единица 61398, Команды Команды

Предполагаемая принадлежность: 3-й отдел (GSD) Главного штаба Народно-освободительной армии Китая (PLA), который более известен под обозначением MUCD как подразделение 61398.

Целевые сектора: информационные технологии, аэрокосмическая отрасль, государственное управление, спутники и телекоммуникации, научные исследования и консалтинг, энергетика, транспорт, строительство и производство, инженерные услуги, высокотехнологичная электроника, международные организации, юридические услуги, средства массовой информации, реклама и развлечения, навигация, химическая промышленность, Финансовые услуги, Пищевая промышленность и сельское хозяйство, Здравоохранение, Горнодобывающая промышленность, Образование.

Обзор: APT1 систематически крал сотни терабайт данных, по крайней мере, из 141 организации и продемонстрировал способность и намерение одновременно красть у десятков организаций. Группа сосредоточена на компрометации организаций в широком спектре отраслей в англоязычных странах. Размер инфраструктуры APT1 подразумевает крупную организацию, в которой работают не менее десятков, а возможно и сотен операторов.

Связанное вредоносное ПО: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Векторы атаки:Наиболее часто наблюдаемый метод первоначального компромисса - фишинг. Фишинговые электронные письма содержат либо вредоносное вложение, либо гиперссылку на вредоносный файл. Строка темы и текст в теле письма обычно относятся к получателю. APT1 также создает учетные записи веб-почты, используя имена реальных людей. В то время как злоумышленники APT1 иногда используют общедоступные бэкдоры, такие как Poison Ivy и Gh0st RAT, подавляющее большинство времени они используют то, что кажется их собственными бэкдорами. На протяжении всего своего пребывания в сети (а это может быть годы) APT1 обычно устанавливает новые бэкдоры, поскольку они требуют больше систем в среде. Затем, если один бэкдор обнаружен и удален, у них все еще есть другие бэкдоры, которые они могут использовать.