Profil d'Émulation d'Adversaire APT29 (Cozy Bear)

Ce qu'il fait

Ce SKILL fournit un profil d'émulation d'adversaire complet pour APT29 (Cozy Bear / Midnight Blizzard), traduisant les techniques MITRE ATT&CK en directives exploitables pour le framework de red-team Decepticon. Il documente le ciblage, les campagnes notables, les mappages détaillés des TTP tout au long du cycle de vie de l'attaque (accès initial, accès aux identifiants, mouvement latéral, C2, exfiltration), les analogues d'outils recommandés et des conseils d'émulation explicites mettant l'accent sur les techniques cloud/identité (Golden SAML, abus OAuth, password spraying, compromission de la chaîne d'approvisionnement). Le profil inclut des conseils opérationnels sur la furtivité, la rotation des sorties (egress) et le nettoyage — adapté aux exercices autorisés et à portée limitée.

Quand l'utiliser

Utilisez ce skill lors d'engagements red-team ou purple-team autorisés qui doivent émuler un acteur d'espionnage étatique patient et centré sur l'identité. Il est approprié pour la simulation de menaces axée sur le cloud (flux Microsoft 365/Entra), les exercices de scénarios de chaîne d'approvisionnement et le test de détection/réponse aux abus OAuth/fédération. À utiliser uniquement dans des périmètres approuvés et avec une autorisation signée.

Ce qui est inclus

• Scripts : aucun script fourni avec le SKILL (has_scripts=false) — le corps fait référence aux outils Decepticon (bash, cloud, lateral-movement, defense-evasion) pour exécuter les émulations.
• Références : riches références inline vers MITRE, CISA, Microsoft et les avis de fournisseurs (has_references=false dans la sortie fetch, mais de nombreux liens sont présents dans le corps).
• Instructions : directives procédurales détaillées pour émuler les comportements d'APT29 — par exemple, des modèles de password spray lents et discrets, l'émulation de l'enregistrement d'applications OAuth, des laboratoires de forgeage de jetons, des exercices de marquage de la chaîne d'approvisionnement et des modèles de C2/exfiltration.

Agents compatibles

Idéalement utilisé avec des environnements d'exécution d'agents exposant des outils shell/CI et cloud (agents Decepticon/Red-team, agents de type Claude/Copilot compatibles shell capables d'exécuter des étapes bash/CI).