Το Ερευνητικό Κέντρο της ESET δημοσίευσε την τελευταία Έκθεση Δραστηριότητας APT (APT Activity Report), η οποία παρουσιάζει τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Απρίλιο έως το Σεπτέμβριο του 2025.
Τη συγκεκριμένη περίοδο, οι APT ομάδες που συνδέονται με την Κίνα συνέχισαν να εξυπηρετούν τους γεωπολιτικούς στόχους του Πεκίνου. Η ESET παρατήρησε αυξανόμενη χρήση της τεχνικής «adversary-in-the-middle». Η εξέλιξη αυτή φαίνεται να αποτελεί απάντηση στο ενισχυμένο στρατηγικό ενδιαφέρον της κυβέρνησης Τραμπ για τη Λατινική Αμερική και πιθανώς επηρεάζεται από τη συνεχιζόμενη αντιπαράθεση ΗΠΑ–Κίνας. Στο πλαίσιο αυτό, η ομάδα FamousSparrow ξεκίνησε μια σειρά επιθέσεων στη Λατινική Αμερική, βάζοντας στο στόχαστρο πολλούς κρατικούς φορείς στην περιοχή.
Στην Ευρώπη, οι κρατικοί φορείς παρέμειναν ο βασικός στόχος της κυβερνοκατασκοπείας από APT ομάδες που συνδέονται με τη Ρωσία, καθώς οι επιχειρήσεις τους εντάθηκαν κατά της Ουκρανίας αλλά και κατά αρκετών κρατών-μελών της Ευρωπαϊκής Ένωσης. Ομάδες που συνδέονται με τη Ρωσία είχαν βάλει στο στόχαστρο φορείς εκτός Ουκρανίας που είχαν στρατηγικούς ή επιχειρησιακούς δεσμούς με την Ουκρανία, στοιχείο που ενισχύει την άποψη ότι η χώρα παραμένει στο επίκεντρο των ρωσικών επιχειρήσεων.
Η ομάδα RomCom εκμεταλλεύτηκε μια ευπάθεια zero-day στο WinRAR για την εγκατάσταση κακόβουλων DLL και την παράδοση πολλαπλών backdoors, εστιάζοντας κυρίως στους τομείς των χρηματοοικονομικών, της μεταποίησης, της άμυνας και της εφοδιαστικής στην ΕΕ και στον Καναδά. Δεδομένου ότι τα zero-day exploits είναι δαπανηρά, οι ομάδες Gamaredon και Sandworm στηρίχθηκαν κυρίως στο spearphishing ως μέθοδο παραβίασης. Η Gamaredon παρέμεινε η πιο ενεργή APT ομάδα που έχει ως στόχο την Ουκρανία, παρουσιάζοντας σημαντική αύξηση στη συχνότητα και την ένταση των επιχειρήσεών της. Αντίστοιχα, η Sandworm συνέχισε να επικεντρώνεται στην Ουκρανία, αλλά με κύριο κίνητρο την πρόκληση καταστροφής και όχι την κατασκοπεία. Οι επιθέσεις της είχαν ως στόχο κρατικούς φορείς, καθώς και τους τομείς ενέργειας, εφοδιαστικής και σιτηρών, με πιθανή επιδίωξη την αποδυνάμωση της ουκρανικής οικονομίας.
Η ομάδα FrostyNeighbor, που συνδέεται με τη Λευκορωσία, αξιοποίησε μια ευπάθεια XSS στο Roundcube. Πολωνικές και λιθουανικές εταιρείες έγιναν στόχος ηλεκτρονικών μηνυμάτων spearphishing. Τα μηνύματα περιείχαν ένα χαρακτηριστικό συνδυασμό κουκκίδων και emoji, δομή που θυμίζει περιεχόμενο παραγόμενο από συστήματα τεχνητής νοημοσύνης, υποδηλώνοντας πιθανή χρήση τεχνητής νοημοσύνης στην εκστρατεία. Τα παραδοθέντα payloads περιλάμβαναν ένα εργαλείο υποκλοπής διαπιστευτηρίων και ένα πρόγραμμα κλοπής μηνυμάτων ηλεκτρονικού ταχυδρομείου.
«Είναι ενδιαφέρον ότι ένας παράγοντας απειλής που έχει σχέση με τη Ρωσία, ο InedibleOchotense, διεξήγαγε μια καμπάνια spearphishing στην οποία υποκρινόταν την εταιρεία ESET. Η καμπάνια περιλάμβανε μηνύματα ηλεκτρονικού ταχυδρομείου και μηνύματα μέσω Signal, τα οποία παρέδιδαν έναν τροποποιημένο πρόγραμμα εγκατάστασης λογισμικού της ESET, οδηγώντας σε λήψη τόσο ενός νόμιμου προϊόντος της εταιρείας όσο και του backdoor Kalambur», αναφέρει ο Jean-Ian Boutin, Διευθυντής Έρευνας Απειλών της ESET.
Στην Ασία, οι APT ομάδες συνέχισαν να έχουν ως στόχο κρατικούς φορείς, καθώς και τους τομείς της τεχνολογίας, της μηχανικής και της μεταποίησης, μοτίβο που παραμένει σταθερό από την προηγούμενη περίοδο αναφοράς. Οι ομάδες που συνδέονται με τη Βόρεια Κορέα παρέμειναν ιδιαίτερα δραστήριες σε επιθέσεις κατά της Νότιας Κορέας και του τεχνολογικού της τομέα, με ιδιαίτερη έμφαση στα κρυπτονομίσματα, μια κρίσιμη πηγή εσόδων για το καθεστώς.
«Οι ομάδες που συνδέονται με την Κίνα παραμένουν ιδιαίτερα ενεργές, με εκστρατείες σε Ασία, Ευρώπη, Λατινική Αμερική και ΗΠΑ, όπως έχουν παρατηρήσει οι ερευνητές της ESET. Αυτή η παγκόσμια εξάπλωση υποδεικνύει ότι οι συγκεκριμένοι παράγοντες απειλής συνεχίζουν να κινητοποιούνται για να εξυπηρετήσουν το ευρύ φάσμα των τρεχουσών γεωπολιτικών προτεραιοτήτων του Πεκίνου», προσθέτει ο Boutin.
Από τον Ιούνιο μέχρι το Σεπτέμβριο, η ESET κατέγραψε αυξημένη δραστηριότητα της FamousSparrow στη Λατινική Αμερική, κυρίως κατά κρατικών φορέων. Οι επιχειρήσεις αυτές αποτελούν το μεγαλύτερο μέρος της δραστηριότητας που αποδόθηκε στην ομάδα για την εν λόγω περίοδο, δείχνοντας ότι η περιοχή αποτέλεσε τον βασικό άξονα των επιχειρήσεών της τους τελευταίους μήνες. Οι δραστηριότητες αυτές ενδέχεται να συνδέονται με τη συνεχιζόμενη αντιπαράθεση ΗΠΑ–Κίνας στην περιοχή, που σχετίζεται με το ανανεωμένο ενδιαφέρον της κυβέρνησης Τραμπ για τη Λατινική Αμερική.
Συνολικά, τα θύματα της FamousSparrow στη Λατινική Αμερική περιλαμβάνουν πολλαπλούς κρατικούς φορείς στην Αργεντινή, έναν κρατικό φορέα στον Ισημερινό, έναν στη Γουατεμάλα, πολλαπλούς στην Ονδούρα και έναν στον Παναμά.
Οι πληροφορίες που παρουσιάζονται εδώ βασίζονται κυρίως σε ιδιόκτητα δεδομένα τηλεμετρίας της ESET και έχουν επαληθευτεί από ερευνητές της ESET, οι οποίοι συντάσσουν αναλυτικές τεχνικές εκθέσεις και συχνές ενημερώσεις με λεπτομερείς πληροφορίες για τις δραστηριότητες συγκεκριμένων ομάδων APT.
Αυτές οι αναλύσεις πληροφοριών για απειλές, γνωστές ως Εκθέσεις APT της ESET, βοηθούν τους οργανισμούς που έχουν ως αποστολή την προστασία των πολιτών, των κρίσιμων εθνικών υποδομών και των περιουσιακών στοιχείων υψηλής αξίας από κυβερνοεπιθέσεις από εγκληματικές οργανώσεις και κράτη. Τα προϊόντα της ESET προστατεύουν τα συστήματα των πελατών της από τις κακόβουλες δραστηριότητες που περιγράφονται στην παρούσα έκθεση.
Περισσότερες πληροφορίες σχετικά με τις αναφορές ESET APT και την παροχή υψηλής ποιότητας, αξιοποιήσιμων τακτικών και στρατηγικών πληροφοριών για απειλές στον τομέα της κυβερνοασφάλειας διατίθενται στη σελίδα ESET Threat Intelligence. Για περισσότερες λεπτομέρειες σχετικά με τις δραστηριότητες των ομάδων APT, διαβάστε την πλήρη έκθεση “Russia-aligned APTs ramp up attacks against Ukraine and its strategic partners” στο WeLiveSecurity.com
