Connect with us

Francis Guibernau, Senior Adversary Research Engineer bij AttackIQ – Interviewreeks

Interviews

Francis Guibernau, Senior Adversary Research Engineer bij AttackIQ – Interviewreeks

mm
Published
Updated

Francis Guibernau is een Senior Adversary Research Engineer en lid van het Adversary Research Team (ART) bij AttackIQ. Francis voert diepgaand bedreigingsonderzoek en -analyse uit om hooguitgebreide en realistische adversary-emulaties te ontwerpen en te creëren. Hij coördineert ook het Cyber Threat Intelligence (CTI)-project, dat zich richt op het onderzoeken, analyseren, volgen en documenteren van adversaries, malware-families en cybersecurity-incidenten. Francis heeft uitgebreide ervaring met adversary-intelligence, waaronder zowel nationale als eCrime-bedreigingen, evenals met kwetsbaarheidsbeoordeling en -beheer, aangezien hij eerder bij Deloitte en BNP Paribas heeft gewerkt.

AttackIQ is een cybersecurity-bedrijf dat organisaties in staat stelt om verder te gaan dan alleen aannames over hun verdediging naar continue, datagestuurde validatie. Door adversary-tactieken te emuleren met het MITRE ATT&CK®-model en geautomatiseerde, productie-veilige tests aan te bieden in cloud-, hybride en on-premises-omgevingen, helpt het bedrijf bij het blootleggen van beveiligingsgaten in controles, processen en mensen – waardoor leiders prioriteit kunnen geven aan herstel, investeringen kunnen rechtvaardigen en kunnen overschakelen van reactieve cyber-reactie naar proactieve veerkracht.

Hoe bent u betrokken geraakt bij het cybersecurity-veld, en waarom hebt u besloten om u te specialiseren in Cyber Threat Intelligence? Hoe heeft CTI uw begrip van hoe bedreigingen evolueren over zowel nationale als criminele ecosystemen gevormd?

Mijn pad naar cybersecurity was niet gepland; het gebeurde door een gelegenheid in plaats van ontwerp. Het begon toen ik een volwassen cybersecurity-organisatie binnenkwam, waar ik werkte in twee sleutelgebieden: Vulnerability Assessment en Management, en Cyber Threat Intelligence (CTI). Door middel van Vulnerability Management kreeg ik een verdedigersperspectief – ervoor zorgend dat systemen goed werden onderhouden, gepatcht en resistent waren tegen aanvallen. Binnen CTI nam ik de aanvallersmentaliteit over, waarbij ik hun motivaties, doelstellingen en capaciteiten analyseerde. Dit is waar ik diep vertrouwd raakte met het MITRE ATT&CK Framework, dat ik gebruikte om adversary-tactieken, -technieken en -procedures (TTP’s) te documenteren en hun operationele playbooks te definiëren.

Deze dubbele ervaring gaf me een uitgebreid inzicht in hoe verdedigers en aanvallers interactie hebben binnen een constant evoluerend ecosysteem. CTI werd al snel een persoonlijke passie. De strategische doelstelling van het begrijpen van hoe adversaries opereren, evolueren en elkaar beïnvloeden, voelde bijna voorbestemd. Ik ben dankbaar dat ik binnen deze discipline kan blijven werken, waarbij ik de groeiende complexiteit van het mondiale bedreigingslandschap observeer en analyseer, waar staatssponsoreerde en eCrime-adversaries, ondanks hun verschillende motivaties, elkaar steeds meer beïnvloeden en elkaars operaties vormgeven.

Kijkend naar het verleden, welk specifiek project of ervaring vormde een keerpunt in uw carrière en vormde uw perspectief op cybersecurity? 

Een cruciaal moment kwam toen ik begon met onderzoek en documentatie van de TTP’s die adversaries en malware gebruiken om gecontroleerde omgevingen te detecteren en te ontwijken. Dit onderzoek werd de basis voor “Environment Awareness“, een onderzoeksproject dat ik uitvoerde met mijn collega en vriend Ayelen Torello, met wie ik nu de kans heb om samen te werken bij AttackIQ. Ons onderzoek richtte zich op het catalogiseren van de verschillende methoden die adversaries gebruiken om te herkennen en te vermijden gesandboxde of gevirtualiseerde omgevingen, waardoor ze ongedetecteerd konden blijven tijdens geautomatiseerde analyse. Het resulterende whitepaper werd later overgenomen als de basis voor techniek “T1497 – Virtualization/Sandbox Evasion” in het MITRE ATT&CK Framework.

Tijdens dit onderzoek zag ik de continue evolutie van adversaries, met hun payloads die steeds geavanceerder werden en hun vermogen om geautomatiseerde detectiesystemen te ontwijken, waardoor hun kansen op succesvolle compromittering van echte doelen toenamen. Deze ervaring vormde mijn begrip van adversary-aanpasbaarheid en de constante innovatiecyclus die moderne bedreigingen definieert.

Sinds u in 2021 bij AttackIQ bent gekomen als Adversary Research Engineer en de oprichting van het Cyber Threat Intelligence-initiatief hebt geleid, hoe zijn uw verantwoordelijkheden geëvolueerd, en hoe balanceert u de coördinatie van het CTI-project, strategisch bedreigingsonderzoek en de ontwikkeling van adversary-emulaties? 

Het opbouwen van het Cyber Threat Intelligence (CTI)-programma bij AttackIQ was een complexe taak. We moesten snel zichtbaarheid verkrijgen over een breed spectrum van bedreigingen. Als dienstverlener konden we ons niet beperken tot een enkele sector, regio of natie. In plaats daarvan hadden we een kennisbasis nodig die zowel adversaries omvatte, van staatssponsorende tot eCrime-groepen, als malware, van commodity tot op maat gemaakte families. Zodra de basis was gelegd, begonnen we ons te concentreren op wat ik “zware jongens” noem: zeer actieve en invloedrijke entiteiten die meerdere sectoren, regio’s en landen beïnvloeden. Deze aanpak stelt ons in staat om prioriteit te geven aan bedreigingen die het meest relevant zijn voor onze klanten.

Gezien het snel veranderende bedreigingslandschap is het balanceren van inlichtingengathering, bedreigingsanalyse en adversary-emulatie inherent complex. Elk type emulatie presenteert distincte uitdagingen. Aan de ene kant zijn nationale emulaties typisch zeer geavanceerd, aangepast aan specifieke doelstellingen, gekenmerkt door verlengde verblijftijden en gedreven door politieke motivaties. Het reproduceren van hun gedrag vereist diepgaande analyse, geduld en precisie, waardoor ze intellectueel uitdagend en lonend zijn om te emuleren. Aan de andere kant zijn eCrime-emulaties snel en opportununistisch. Deze adversaries introduceren nieuwe technieken, opereren met kortere verblijftijden en hebben vaak invloed op meerdere sectoren en regio’s. Hun gebruik van gedeelde, off-the-shelf-tools en commodity-malware, met overlappende TTP’s tussen groepen, maakt hun playbooks dynamisch en fascinerend om te reproduceren.

Het vinden van het juiste evenwicht is een strategisch proces. We aligneren onderzoeks- en emulatieprioriteiten met klantvereisten en mondiale ontwikkelingen, waaronder geopolitieke spanningen, nieuw gepubliceerde kritieke kwetsbaarheden en adviezen van internationale organisaties zoals de Cybersecurity and Infrastructure Security Agency (CISA) en het National Cyber Security Centre (NCSC). Uiteindelijk is dit werk een teaminspanning. Het Adversary Research Team (ART) bestaat uit uitzonderlijk getalenteerde individuen wiens bijdragen realistische en veilige emulaties mogelijk maken. CTI is slechts een onderdeel van het proces; het omzetten van inlichtingen in authentieke, gecontroleerde emulaties is een complexe uitdaging die samenwerking, precisie en gedeelde toewijding vereist.

Binnen AttackIQ’s Adversary Research Team, hoe is onderzoek gestructureerd en geprioriteerd, en welke zijn de grootste uitdagingen bij het omzetten van bedreigingsinlichtingen in actiegerichte adversary-emulaties?

Verschillende factoren beïnvloeden hoe we onderzoek prioriteren binnen AttackIQ’s Adversary Research Team. Onze primaire focus ligt op het emuleren van adversaries die het grootste risico vormen voor het grootste deel van onze klanten, waarbij we ervoor zorgen dat resources geoptimaliseerd en geconcentreerd zijn op breed-impact-bedreigingen voordat we ons richten op zeer specifieke bedreigingen.

Dit omvat zowel adversaries als malware-families die in het wild worden waargenomen. We volgen continu een breed scala aan entiteiten, waarbij prioriteit wordt bepaald door operationele noodzaak in plaats van voorschriften. Nieuwe bedreigingen leiden vaak tot snelle herprioritisering. Escalatie van geopolitieke spanningen, toename van rapportage over een specifieke en kritieke kwetsbaarheid, of geconcentreerde CERT-adviezen verheffen snel onderwerpen naar de top van de wachtrij.

Een van onze primaire uitdagingen is het behouden van consistentie in prioriteit en het balanceren van resources om realistische en geavanceerde emulaties te leveren, terwijl we efficiëntie en schaalbaarheid garanderen tijdens ontwikkelingscycli. We leggen sterke nadruk op het ontwikkelen van brede, herbruikbare gedragingen. Door overeenkomsten te identificeren tussen adversaries en malware-families, richten we ons op het repliceren van technieken en procedures die consistent voorkomen in meerdere playbooks. Deze kunnen vervolgens worden aangepast en geïntegreerd in andere emulaties, waardoor grotere flexibiliteit en schaalbaarheid ontstaat. Deze aanpak stelt ons in staat om prioriteit te geven aan gedragingen met hoge herbruikbaarheid en operationele relevantie, in plaats van zware investeringen te doen in smalle, eenmalige implementaties. steady productiecycli, leveren flexibele, gerichte en zinvolle emulaties.

In uw recente RomCom-onderzoek, wat waren de belangrijkste keerpunten die de transformatie van een basis-backdoor naar een veelzijdig platform dat zowel spionage als financiële afpersing ondersteunt, beïnvloedden, en onder welke omstandigheden gaat malware over van een standalone-payload naar een volwaardig platform? 

Het geval van RomCom is bijzonder fascinerend omdat het in mei 2022 voor het eerst verscheen als een relatief eenvoudige backdoor, ontworpen voor remote-toegang en basis-gegevensexfiltratie. Het eerste grote keerpunt vond plaats een maand later met de release van RomCom 2.0, die aanzienlijke verbeteringen introduceerde die een meer volwassen, stealth-georiënteerd toolset weergaven, geoptimaliseerd voor spionage-operaties en langetermijnpersistentie. Deze updates verbeterden de gegevensexfiltratie- en -verzameling aanzienlijk, wat een duidelijke verschuiving naar een meer strategisch gebruik weergaf.

Het volgende keerpunt kwam met de introductie van RomCom 3.0 in februari 2023, die een modulaire architectuur introduceerde, gestructureerd in drie kerncomponenten. Het vertegenwoordigde een aanzienlijke sprong in flexibiliteit en functionaliteit, ondersteunend 42 distincte opdrachten, waarvan veel subtiele variaties van elkaar waren, wat de focus van de operator op aanpasbaarheid en operationele verfijning aangaf.

Volgende versies bleven zich richten op het verfijnen van capaciteiten en het verbeteren van operationele veerkracht. In de loop van de tijd evolueerde RomCom van een specifiek ontworpen backdoor naar een commodity-malware die door eCrime-groepen werd gebruikt, die het integreerden in hun playbooks om diverse criminele operaties te faciliteren en mogelijk te maken. Deze evolutie werd aangetoond door de integratie van RomCom met de Cuba-, Industrial Spy- en Underground-ransomware-operaties, wat duidelijk aangaf dat het een onderdeel was geworden van een breder adversariaal ecosysteem als gedeelde infrastructuur. Deze wijdverbreide adoptie trok onvermijdelijk de aandacht van staatssponsoreerde adversaries, met name die gelieerd aan Russische belangen, die RomCom begonnen te gebruiken als een polyvalent platform dat zowel spionage als strategische invloedsoperaties ondersteunde tegen hun geopolitieke doelstellingen.

Deze convergentie bevestigde onze beoordeling dat de grenzen tussen eCrime- en staatssponsoreerde adversaries steeds meer vervaagd zijn. De transformatie van standalone-payload naar volwaardig platform vindt precies op dit snijvlak plaats, wanneer het begint te worden gebruikt voor geavanceerde, strategische en intangible doelstellingen die verder gaan dan opportunisme of financieel gewin. Op dat moment houdt het op een enkel tactisch doel te dienen en ondersteunt het in plaats daarvan meerdere, soms tegenstrijdige, operationele doelstellingen. Dit suggereert dat de operators het payload beschouwen als herbruikbare infrastructuur in plaats van een specifiek ontworpen wapen.

U hebt steeds vaker vervaagde grenzen tussen staatssponsoreerde activiteit en eCrime-adversaries waargenomen. Vanuit uw perspectief, wat zijn de primaire drivers achter deze convergentie, en hoe zouden verdedigers anders moeten denken bij het beoordelen van toewijzing en motivatie in deze gevallen? 

De convergentie tussen staatssponsoreerde en eCrime-operaties wordt voornamelijk gedreven door pragmatische factoren aan beide kanten. Voor staatssponsoreerde adversaries is het doel om snel capaciteiten te verwerven die al zijn gevalideerd en bewezen op het slagveld. Het gebruik van bestaande tooling of infrastructuur stelt hen in staat om operationele flexibiliteit te verkrijgen zonder uitgebreide resources te besteden aan het ontwikkelen van aangepaste tools van scratch. Als een payload robuust, effectief en beschikbaar is, waarom zou je het opnieuw uitvinden? Aan de andere kant stellen eCrime-operators toegang tot staatssponsoreerde resources en infrastructuur, waaronder inlichtingen, doelgegevens en beveiligde distributiekanalen, in staat om hun capaciteiten snel op te schalen terwijl ze gegarandeerde financiële steun ontvangen met minimale risico’s.

RomCom belichaamt deze convergentie. Aanvankelijk was het een commodity-malware ontworpen voor ransomware-operaties, maar later werd het overgenomen in activiteiten gelieerd aan Russische strategische belangen, waarbij het zich richtte op Oekraïense regeringsinstellingen, NAVO-geallieerde entiteiten en humanitaire organisaties. Onze beoordeling geeft aan dat RomCom is getransformeerd van een puur winstgedreven tool naar een utility die wordt gebruikt in staatssponsoreerde operaties, ondersteunend zowel spionage als disruptie-doelstellingen.

Deze evolutie benadrukt een belangrijk principe: ongeacht of de adversary financieel of politiek gemotiveerd is, het effect op het slachtoffer blijft hetzelfde. In deze context wordt threat-informed defense essentieel. Organisaties moeten prioriteit geven aan het valideren van verdedigingen en veerkracht tegen realistische, waargenomen gedragingen in plaats van zich exclusief te concentreren op toewijzing of vermoede motivatie.

Wat onthult RomCom over de convergentie van financiële en geopolitieke motivaties onder adversaries? Specifiek, hoe interpreteert u de groeiende trend van staatssponsoreerde groepen die eCrime-infrastructuur gebruiken als instrumenten van invloed of plausibele ontkenning? 

RomCom demonstreert de evolutie van een cybercriminele groep die langdurige operationele consistentie heeft behouden, terwijl het zijn netwerk van affiliaties gestaag heeft uitgebreid. Gedurende zijn activiteit heeft het duidelijke verbindingen gelegd met meerdere ransomware-families, met name Cuba, Industrial Spy en Underground, wat een diepe integratie in het eCrime-ecosysteem aantoont. In de loop van de tijd evolueerde het van een facilitator van disruptieve, afpersingsgebaseerde activiteiten naar een polyvalent platform dat diverse criminele operaties kon faciliteren en mogelijk maken. Deze evolutie werd aangetoond door de integratie van RomCom met de Cuba-, Industrial Spy- en Underground-ransomware-operaties, wat duidelijk aangaf dat het een onderdeel was geworden van een breder adversariaal ecosysteem als gedeelde infrastructuur.

RomCom benadrukt ook een bredere trend van staatssponsoreerde adversaries die eCrime-tooling overnemen of hergebruiken. Deze tools zijn bewezen, effectief en dienen als handige enablement voor bredere strategische doelstellingen. Rusland blijft een voorbeeld: uitgebreid rapporteren toont aan dat Russische gelieerde criminele groepen opereren als de facto-uitbreidingen van staatoperaties of worden rechtstreeks gebruikt om deze te ondersteunen. Deze dynamiek onthult een wederzijds voordelige relatie: RomCom-operators en hun affiliates verwerven invloed en financiële beloningen, terwijl staten toegang krijgen tot capabele, ontkenbare assets. In het eCrime-landschap is loyaliteit transactiegebonden, geworteld in invloed en winst.

Deze modus biedt duidelijke strategische voordelen, waardoor het steeds vaker voorkomt. Crime-partnerschappen bieden staten toegang tot capaciteiten zonder directe toewijzing, en de resulterende operationele ambiguïteit compliceert diplomatieke en juridische reacties. Malware-families zijn effectief instrumenten van staatskunst geworden, die traditionele spionage aanvullen door middel van criminele infrastructuur die ontkenbaar, schaalbaar en zelfonderhoudend is.

Modern malware blijft vaak niet beperkt tot één industrie of regio. Wat suggereert dit over de prioriteiten of beperkingen van aanvallers, en zijn er sectoren of geografische gebieden die u “next” acht voor cross-domeinuitbreiding? 

Terwijl sommige adversaries zichzelf beperkingen opleggen, behandelen velen urgentie en crises als aanvullende infectievector, versnellend intrusies en exploiterend afgeleide of gespannen verdedigingen. Motivatie beïnvloedt targeting maar beperkt het zelden. Financieel gemotiveerde groepen prioriteren doelstellingen met hoge potentiële opbrengsten of operationele afhankelijkheden, zoals financiën, betalingsverwerkers en grote ondernemingen met strikte uptime-eisen. In tegenstelling tot staatssponsoreerde groepen, die zich richten op sectoren die geopolitieke doelstellingen ondersteunen, waaronder overheid, defensie en kritieke infrastructuur. Toch is overlapping tussen deze motivaties steeds vaker voorkomend.

“Spray-and-pray”-tactieken en commodificatie zullen voortduren. Ransomware-as-a-Service (RaaS)-modellen, commodity-tooling en geautomatiseerde scanning stellen financieel gemotiveerde adversaries in staat om hun doelsets agressief uit te breiden. Elke blootgestelde, zwak verdedigde service is potentieel in scope. Geografische uitbreiding volgt zowel kansen als maturiteitsgaten. Regio’s die een snelle digitale transformatie ondergaan maar een beperkte cybermaturiteit of incidentrespons-capaciteit hebben, zijn aantrekkelijk voor initiële compromittering en schaaloperaties. Aan de andere kant hebben hoge-waardedoelstellingen in goed verdedigde regio’s vaak te maken met supply-chain-compromittering of uitbesteedde toegang. Kijkend naar de toekomst, is uitbreiding waarschijnlijk in regio’s grenzend aan actieve geopolitieke conflicten waar inlichtingengathering strategische belangen ondersteunt en defensieve maturiteit nog achterblijft bij adversary-sophisticatie.

Wanneer u realistische adversary-emulaties creëert, wat zijn de moeilijkste technische uitdagingen waar u mee te maken krijgt? Hoe valideert u dat deze emulaties voldoende representatief zijn voor echte bedreigingen, en zijn er gedragingen die bijzonder moeilijk zijn om betrouwbaar te simuleren?

Een van de moeilijkste technische uitdagingen is het bereiken van behavior-fidelity zonder operationeel risico in te voeren. Emulaties moeten real-world-gedragingen precies repliceren om detectie- en preventiecontroles te valideren, terwijl ze veilig genoeg blijven om in productieomgevingen te draaien. Die afweging is constant. Te agressieve implementaties riskeren systemen te destabiliseren of gevaarlijke valse positieven/negatieven te produceren, terwijl te voorzichtige implementaties aan geloofwaardigheid en nut inboeten. We prioriteren het emuleren van de adversary’s “chokepoints”, de kritieke gedragingen die bepalen of een intrusie slaagt of faalt, en waar defensieve zichtbaarheid en respons het meest tellen. Door geloofwaardigheid te focussen op deze beslissende gedragingen, leveren emulaties de hoogste waarde voor zowel detectie-dekking als veerkrachtvalidatie.

Sommige technieken zijn opzettelijk beperkt of weggelaten omdat ze onaanvaardbaar risico’s met zich meebrengen of niet getrouw kunnen worden geëmuleerd zonder de omgeving te schaden. Een implementatie een klein beetje verkeerd uitvoeren, en je test iets wat de adversary nooit daadwerkelijk doet, of je destabiliseert het systeem dat je probeert te beschermen. Andere uitdagingen ontstaan door gedragingen die afhankelijk zijn van omgevingscontext of geverifieerde toegang vereisen. Netwerkgedragingen zijn ook beperkt: bijvoorbeeld, we reproduceren protocolpatronen en beacon-gedrag voor C2 zonder verbinding te maken met kwaadwillige infrastructuur.

Het creëren van realistische emulaties is dus een iteratief engineeringsproces: identificeren, documenteren, implementeren, testen, valideren en verfijnen. Elke iteratie balanceert geloofwaardigheid, veiligheid en operationele relevantie om ervoor te zorgen dat emulaties zowel realistisch als inzetbaar zijn.

Kijkend drie tot vijf jaar vooruit, welke trends in malware-sophisticatie, aanvaller-methode of bedreigings-ecosystemen vindt u het meest zorgwekkend of intrigerend, en welke fundamentele stappen zou u aanbevelen voor organisaties die beginnen met hun reis in threat-informed defense en adversary-emulatie?

Een van de meest intrigerende en zorgwekkende trends is de toenemende complexiteit van cybercriminele ecosystemen. In de afgelopen decennia hebben eCrime-actoren hun invloed dramatisch uitgebreid.

In eerdere jaren was het aantal deelnemers beperkt, en hun invloed was relatief marginaal. Tegenwoordig bestaan honderden met elkaar verbonden entiteiten, die elk gespecialiseerde rollen vervullen. Deze interdependentie vormt een complex, business-georiënteerd ecosysteem dat in structuur en efficiëntie een legitieme markt spiegelt. Het ransomware-ecosysteem belichaamt dit perfect: tientallen actieve families coëxisteren, evolueren en volgen elkaar op. Deze constante verandering onthult een ingewikkeld web van relaties dat steeds moeilijker is om te ontwarren.

Een andere definiërende trend is de convergentie tussen staat en criminele operaties. Niet alleen op operationeel niveau, maar ook in de ontwikkeling van gedeelde infrastructuur en malware-platforms. RomCom belichaamt deze evolutie. Het evolueerde van een puur winstgedreven commodity naar een veelzijdig platform dat zowel spionage als financiële afpersing ondersteunt. De doelstelling van regeringsinstellingen, militair personeel, humanitaire organisaties en NAVO-geallieerde entiteiten toont een verschuiving naar een instrument van staatskunst, ondersteunend Russische inlichtingendoelstellingen terwijl het zijn eCrime-multipurpose behoudt.

Voor organisaties die nieuw zijn in threat-informed defense, is de fundamentele stap om het MITRE ATT&CK Framework te adopteren als de gedeelde taal voor het begrijpen en bespreken van adversary-gedrag. ATT&CK biedt een gedrags-taxonomie die het mogelijk maakt voor verdedigers om detecties en controles rechtstreeks te koppelen aan aanvaller-technieken in plaats van statische indicatoren. Prioriteer gedragsdetectie boven signature-gebaseerde benaderingen. Indicatoren van compromittering veranderen constant, maar adversary-technieken blijven relatief stabiel, een principe dat wordt gevangen in het Pyramid of Pain-framework.

Bedankt voor de gedetailleerde antwoorden, lezers die meer willen leren, moeten AttackIQ bezoeken.

mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.