En el campo de la seguridad informática, las diferentes empresas de seguridad tienen diferentes formas de nombrar a los grupos APT de hackers internacionales para analizar las amenazas. Mandiant utiliza el formato “APT-número”, como el APT-10 que ataca a Taiwán con frecuencia; para los APT que aún no se han identificado claramente, se usan “TEMP-inglés” como alias, como TEMP-HEX; también están los que se nombran como “UNC-número”, como UNC 3236. Estas formas de nombrar ayudan a los expertos en seguridad informática a identificar y enfrentar rápidamente las posibles amenazas.
En los últimos años, Microsoft comenzó a publicar artículos sobre la inteligencia de amenazas y utiliza “typhoon” como parte del nombre de cada grupo APT, como el Volt Typhoon que es un nombre de grupo de hackers chino que se menciona con frecuencia en las noticias recientes y que se enfoca en atacar a Taiwán.
Cada empresa de seguridad tiene su propio estilo para nombrar a los grupos de hackers y algunos nombres corresponden a los nombres más comúnmente utilizados para estos grupos. Por ejemplo, Mustang Panda es un grupo de hackers chino muy activo en el este de Asia que ataca a menudo a Taiwán. Al describir eventos de ataque, cada empresa utiliza su propio nombre y luego señala que ese grupo es Mustang Panda.
Estas reglas de nombramiento pueden no ser un problema para los investigadores de inteligencia de amenazas altamente especializados, pero para las empresas en general puede ser difícil distinguir si varios eventos de ataque son obra del mismo grupo de hackers debido a los diferentes nombres que se les da a estos grupos.
Además, algunas definiciones de grupos de hackers pueden ser similares, pero en realidad pueden ser diferentes. Por ejemplo, la empresa de seguridad A y la empresa de seguridad B pueden nombrar a un grupo de APT que han descubierto, incluso si observan la misma herramienta de código abierto y programa malicioso utilizado en el ataque, puede ser que ese programa malicioso sea de uso común en ese país o región. Por ejemplo, PlugX es comúnmente utilizado por grupos de hackers chinos, por lo que cuando se describe un evento de ataque, ambas empresas pueden confundirlo con el trabajo de un solo grupo de hackers cuando en realidad son dos grupos diferentes.
Identificar a los hackers y atribuir su trabajo es un desafío debido a las diferentes definiciones y descripciones que utilizan las diferentes empresas de seguridad. Para abordar este problema, la plataforma de intercambio de información de malware (MISP por sus siglas en inglés) ha propuesto una serie de recomendaciones para nombrar a los grupos APT. Aunque aún no están completas, estas recomendaciones proporcionan un estándar de referencia para analistas de inteligencia de amenazas y plataformas de inteligencia de amenazas para promover la comunicación y el intercambio de información entre diferentes organizaciones.
MISP ha sugerido algunas reglas específicas para nombrar a los grupos APT con el fin de mejorar la consistencia y precisión en el nombramiento. Por ejemplo, el nombre no debe ser una palabra común del diccionario y si se compone de varias partes, deben separarse con guiones y tener una longitud máxima de 7 caracteres en ASCII. Además, el nombre no debe estar relacionado con herramientas, técnicas o patrones utilizados, como por ejemplo, si un grupo APT es nombrado Turla, pero también es el nombre de un programa malicioso, no sería una buena elección.
En general, el uso de diferentes nombres por parte de las empresas de seguridad para describir al mismo grupo de hackers hace que sea difícil identificarlos.