APT28 (Fancy Bear / Sofacy / Pawn Storm / Strontium)

type: entity
title: "APT28 (Fancy Bear / Sofacy / Pawn Storm / Strontium)"
aliases: ["APT28", "Fancy Bear", "Sofacy", "Pawn Storm", "Strontium", "Forest Blizzard", "GRU 26165", "STRONTIUM"]
tags:
  - topic/cyber-threat-intelligence
  - topic/threat-actors
  - topic/apt
status: seedling
first_seen: 2026-04-28
last_updated: 2026-04-28
mentions_count: 1

Definicion

Threat actor nation-state ruso atribuido al GRU Unit 26165 (Inteligencia Militar). Activo desde al menos 2004. Targets primarios: gobiernos OTAN, militares, contratistas defensa, periodistas, organizaciones deportivas (WADA), partidos politicos (DNC hack 2016, Bundestag 2015, eleccion francesa 2017).

Contexto

APT28 es el actor APT mas perfilado del mundo. Conocer sus TTPs es prerequisito para CTI. Operacion icono: hack DNC + dox via Guccifer 2.0 / DCLeaks (julio 2016).

Datos clave

Atribucion: GRU (Russian Military Intelligence) Unit 26165 / 85th Main Special Service Center
Activo desde: ~2004
Malware famoso: X-Agent / Sofacy, X-Tunnel, Sednit, Zebrocy, Drovorub, Cannon
TTPs notables: spear-phishing avanzado, 0-day exploits, credential harvesting, GRX / NetBIOS abuse
MITRE ATT&CK group ID: G0007
Indictment US DOJ: julio 2018 (12 oficiales GRU acusados)

Apariciones

cti-recursos-juniors-unificado — referenciada en la nota madre del vault.

Conexiones

Relacionado con: [[]]
Tema principal: Themes/

Themes

tema-cti-fundamentos-doctrina