ESET APT-rapport: toename Russische aanvallen in Oekraïne en Europa, Chinezen richten zich op Latijns-Amerika
ESET Research publiceert zijn nieuwe APT-rapport over de activiteiten van geselecteerde APT-groepen van april tot september 2025. Gedurende die periode bleven aan China gelinkte groepen de geopolitieke objectieven van Peking ondersteunen. ESET zag een toenemend gebruik van de ‘adversary-in-the-middle’-techniek voor initiële toegang en laterale verplaatsing. Dit is wellicht een reactie op de strategische interesse van de Trump-regering in Latijns-Amerika, mogelijk beïnvloed door de aanhoudende machtsstrijd tussen de VS en China. De FamousSparrow-groep lanceerde een aanval op meerdere instanties in Latijns-Amerika. In heel Europa bleven overheidsinstanties een primair doelwit voor cyberspionage door aan Rusland gelinkte APT-groepen. Hun operaties tegen Oekraïne en verschillende EU-lidstaten namen toe.
Opmerkelijk is dat niet-Oekraïense doelwitten van aan Rusland gelinkte groepen toch strategische of operationele banden met Oekraïne hadden, zodat dit land centraal blijft voor de Russische inlichtingendiensten. RomCom gebruikte een zeroday-kwetsbaarheid in WinRAR om kwaadaardige DLL’s en diverse backdoors te installeren, vooral gericht op de financiële, productie-, defensie- en logistieke sectoren in de EU en Canada. Omdat een zeroday-kwetsbaarheid duur is, gebruikten zowel de Gamaredon- als de Sandworm-groep de veel goedkopere spearphishing-techniek als hun primaire methode om doelwitten te infecteren. Gamaredon bleef de meest actieve groep die zich op Oekraïne richtte, met een toename in intensiteit en frequentie. Sandworm richtte zich ook op Oekraïne, met vernietiging als doel in tegenstelling tot cyberspionage bij Gamaredon, en de groep concentreerde zich veelal op de overheids-, energie-, logistieke en graansector, wellicht om de Oekraïense economie te verzwakken.
De Belarussische groep FrostyNeighbor misbruikte een XSS-kwetsbaarheid in Roundcube. Poolse en Litouwse bedrijven werden het doelwit van spearphishing-mails die zich voordeden als afkomstig van Poolse bedrijven. De mails bevatten een opvallende combinatie van bullet points en emoji’s. Die structuur doet denken aan door AI gegenereerde content, wat erop wijst dat AI in de campagnes wordt gebruikt. De geleverde payloads bevatten een inloggegevens- en een mailberichtendief.
“Interessant is dat InedibleOchotense, een aan Rusland gelinkte cybercrimineel, een spearphishing-campagne voerde die zich voordeed als ESET. De campagne bestond uit mails en Signal-berichten die een trojan-achtige ESET-installer leverden die leidde tot de download van een legitiem ESET-product, samen met de Kalambur-backdoor”, aldus Jean-Ian Boutin, Director Threat Research bij ESET.
In Azië bleven APT-groepen zich richten op overheidsinstanties en de technologie-, engineering- en productiesector, een patroon dat consistent was met de vorige rapportage-periode. Aan Noord-Korea gelinkte dreigingsactoren bleven zeer actief in operaties gericht op Zuid-Korea en de Zuid-Koreaanse technologiesector, meer bepaald op cryptovaluta, een belangrijke bron van inkomsten voor het regime.
Boutin vervolgt: “Groepen gelinkt aan China blijven zeer actief. ESET-onderzoekers hebben recent nog campagnes in Azië, Europa, Latijns-Amerika en de VS waargenomen. Deze wereldwijde aanpak illustreert dat Chinese dreigingsactoren nog steeds gemobiliseerd worden om een brede waaier aan geopolitieke prioriteiten van Peking te dienen”.
Tussen juni en september zag ESET ook dat FamousSparrow meerdere operaties uitvoerde in Latijns-Amerika, vooral gericht tegen overheidsinstanties. Dit vertegenwoordigt het merendeel van de activiteiten die ESET in deze periode aan de groep toeschrijft. Dat suggereert dat deze regio de belangrijkste focus was van de groep tijdens de afgelopen maanden. Dit houdt mogelijk verband met de huidige machtsstrijd tussen de VS en China in die regio, als gevolg van de hernieuwde interesse van de Trump-regering in Latijns-Amerika. De waargenomen groep slachtoffers van FamousSparrow’s “Latijns-Amerikaanse tour” bestaat uit meerdere overheidsinstanties in Argentinië, een in Ecuador, een in Guatemala, meerdere in Honduras en een in Panama.
ESET-producten beschermen de systemen van klanten tegen de kwaadaardige activiteiten die in dit rapport beschreven zijn. De gedeelde informatie is vooral gebaseerd op ESET telemetrie-gegevens en is geverifieerd door zijn onderzoekers, die grondige technische rapporten en regelmatige updates publiceren met details over de activiteiten van specifieke APT-groepen. Deze analyses, bekend als ESET APT-rapporten, ondersteunen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminele en door staten aangestuurde cyberaanvallen. Meer informatie over de ESET APT-rapporten en de hoogwaardige tactische en strategische informatie over cyberbeveiligingsdreigingen is beschikbaar op de ESET Threat Intelligence-pagina (ESET Threat Intelligence page).
Voor meer informatie over de bovengenoemde en andere activiteiten van APT-groepen raadpleeg het volledige APT-activiteitenrapport “Russia-aligned APTs ramp up attacks against Ukraine and its strategic partners” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X), BlueSky, en Mastodon voor de nieuwste informatie.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
