Campaign SolarWinds / SUNBURST / NOBELIUM (2020)

type: entity
title: "Campaign SolarWinds / SUNBURST / NOBELIUM (2020)"
aliases: ["SolarWinds Hack", "SUNBURST", "UNC2452", "NOBELIUM", "Cozy Bear Operation"]
tags:
  - topic/cyber-threat-intelligence
  - topic/threat-actors
  - topic/apt
  - topic/supply-chain
status: seedling
first_seen: 2026-04-28
last_updated: 2026-04-28
mentions_count: 1

Definicion

Campana de espionaje de gran escala atribuida a APT29 (Cozy Bear / SVR) rusos. El actor comprometio el proceso de build de SolarWinds Orion e inserto el backdoor SUNBURST en actualizaciones legitimas (firmadas digitalmente) entre marzo-junio 2020. Aprox 18.000 organizaciones recibieron el update troyanizado; el actor selecciono ~100 targets de alto valor para post-exploitation con TEARDROP/RAINDROP.

Contexto

Es el supply chain attack mas significativo de la historia conocida. Cambio la forma en que la industria pensa en software supply chain security (SBOM, SLSA, dependency review). Lectura obligada para todo junior CTI.

Datos clave

Atribucion: APT29 (Cozy Bear) / SVR (Russian Foreign Intelligence)
Vector: trojanized update de SolarWinds Orion (marzo-junio 2020)
Descubrimiento: FireEye/Mandiant, diciembre 2020
Victimas confirmadas: US Treasury, Commerce, State Dept, DHS, NTIA, NIH, FireEye, Microsoft, Cisco, Intel, VMware, ~100 mas
Malware chain: SUNSPOT (build server) -> SUNBURST/Solorigate (backdoor) -> TEARDROP/RAINDROP (loaders) -> Cobalt Strike (post-exploitation)
Impacto: catalizo Executive Order 14028 (Biden, mayo 2021), creacion de SBOM standards, SLSA framework
Lectura recomendada: Mandiant white papers + CISA AA20-352A

Apariciones

cti-recursos-juniors-unificado — referenciada en la nota madre del vault.

Conexiones

Relacionado con: [[]]
Tema principal: Themes/

Themes

tema-cti-fundamentos-doctrina