En los últimos 15 años, los ciberataques han pasado de atacar sistemas de TI a ataques dirigidos a sistemas de Tecnología Operacional (OT), también conocidos como Sistemas Ciberfísicos (CPS). El primer ciberataque dirigido a OT fue Stuxnet en 2010, momento en el cual apareció el término Amenaza Persistente Avanzada (APT). Una APT a menudo se refiere a un ciberataque sofisticado en dos etapas que requiere un extenso período de reconocimiento antes de ejecutar el ataque real. Tras Stuxnet, se han descubierto y documentado un número considerable de APT. Las APT son difíciles de detectar debido a los muchos pasos involucrados, la gran cantidad de capacidades del atacante que están en uso y la línea de tiempo. Tales ataques se llevan a cabo durante un período prolongado, a veces abarcando varios años, lo que significa que no pueden ser reconocidos utilizando firmas, anomalías o patrones similares. Las APT requieren capacidades de detección más allá de lo que los paradigmas de detección actuales son capaces de ofrecer, como sistemas de detección y prevención de intrusiones (IDS/IPS) basados en comportamiento, basados en firmas, basados en protocolos u otros tipos. Este documento describe pasos hacia la mejora de la detección de APT mediante huellas digitales de grupos APT. Una huella digital de grupo APT es una representación digital de las capacidades del atacante, sus relaciones y dependencias, y su implementación técnica para un grupo APT. La huella se representa como un gráfico dirigido, que modela las relaciones entre las capacidades relevantes. Este documento describe parte del análisis detrás del establecimiento de la huella digital del grupo APT para el Grupo de Operaciones Cibernéticas de Rusia - Sandworm.