La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) identifica a cuatro prolíficos actores estatales: el gobierno chino, el gobierno ruso, el gobierno norcoreano y el gobierno iraní. Cada uno de estos actores utiliza varios métodos para comprometer la seguridad y obtener acceso a las redes de las víctimas.

Según el director asociado de búsqueda de amenazas de CISA, Jermaine Roebuck: "Estos incluyen el phishing, el uso de credenciales robadas y la explotación de vulnerabilidades sin parches y/o configuraciones erróneas de seguridad. Realizan un reconocimiento exhaustivo previo al compromiso para aprender sobre la arquitectura de la red e identificar vulnerabilidades. Con esta información, estos actores patrocinados por Estados explotan vulnerabilidades en dispositivos expuestos en el perímetro y aprovechan configuraciones incorrectas de los sistemas para obtener acceso inicial. A menudo utilizan código de explotación disponible públicamente para vulnerabilidades conocidas, pero también son expertos en descubrir y explotar vulnerabilidades de día cero. Cuando obtienen acceso a las redes de víctimas, los actores avanzados utilizan técnicas de vida fuera de la tierra (LOTL) para evitar la detección".

Al comprender las técnicas y tácticas utilizadas por los actores de amenazas, las organizaciones están mejor preparadas para asignar recursos de seguridad limitados donde serán más efectivos. "Conocer estas tácticas permite a los defensores aplicar conceptos de seguridad específicos y clases de tecnologías para mitigar a los actores adversarios y centrarse en propiedades y valores de datos claramente definidos para detectar sus técnicas", afirma Roebuck.

En otras palabras, cuantas más empresas y agencias aprendan sobre los métodos de ataque a los Estados-nación, mejor.