ESET ATP-rapport: spionage in Venezuela, de Golfregio en Zuid-Korea door aan China gelinkte groepen
ESET Research publiceert zijn nieuwste APT-rapport waarin de activiteiten van een select aantal APT-groepen door ESET Research worden belicht van oktober 2025 tot maart 2026. Tijdens de onderzochte periode bleven aan China gelinkte dreigingsactoren wereldwijd zeer actief en voerden ze spionagecampagnes uit die werden beïnvloed door geopolitieke ontwikkelingen die de economische en veiligheidsbelangen van Peking raakten. Na de Amerikaanse operatie in Venezuela en de aanhoudende instabiliteit in de Golfregio, zag ESET aanwijzingen dat aan China gelinkte groepen gemobiliseerd werden om Peking meer inzicht te geven in maritieme, energetische en politieke ontwikkelingen in het buitenland. Andariel, de aan Noord-Korea gelinkte groep, viel een bedrijf aan dat bij de kernenergie-industrie betrokken zou zijn.
De aan China gelinkte groep FamousSparrow richtte zich op een Venezolaanse instantie die betrokken is bij maritieme zaken, wellicht om na de Amerikaanse interventie de continuïteit van olietransporten te monitoren. ESET ontdekte daar ook SteppeDriver, een andere aan China gelinkte APT-groep die zich op een Syrisch overheidsnetwerk richtte. Dit weerspiegelt mogelijk zowel de Chinese commerciële belangen bij het heropbouwen van Syrië als de veiligheidszorgen rondom Oeigoerse strijders in dat land. De aan China gelinkte malwarefamilie SPAWN van UNC5221 richtte zich op overheidsinstanties in Cambodja en Panama, alsook op een AI- en robotica-bedrijf in Zuid-Korea. Die laatste aanval sluit aan bij de aanhoudende interesse van Peking in strategische technologieën die prioriteit krijgen in het industriële ontwikkelingsbeleid ‘Made in China 2025’.
“In Azië waren de campagnes vooral gericht op overheidsorganisaties, strategische industrieën en geavanceerde technologiesectoren. In het Midden-Oosten bleef Israël het voornaamste doelwit van activiteiten die gelinkt waren aan Iran, met doelen variërend van organisaties die getroffen werden door spionage-inbraken tot fabrikanten van toestellen die het doelwit waren van destructieve wapens”, aldus Jean-Ian Boutin, directeur dreigingsonderzoek bij ESET.
De oorlog in Iran, die eind februari 2026 begon, was bepalend voor activiteiten van aan Iran gelinkte groepen tijdens die periode. Paradoxaal genoeg viel het conflict samen met een reductie van de activiteit van gevestigde, aan Iran gelinkte APT-groepen. Dat zag men in de ESET-telemetrie. Wellicht omdat de door Iran opgelegde internetbeperkingen hun vermogen om efficiënt te werken, belemmerden. Tegelijkertijd lijkt deze omgeving de mobilisatie te bevorderen van proxy- en hacktivistische spelers die zich richtten op Israël, de VS en andere staten die als vijanden van Teheran werden beschouwd. ESET Research documenteerde ook een ongewone piek in activiteiten tegen Israëlische doelen die niet met zekerheid aan eerder bekende groepen konden gekoppeld worden. Rusty Boots en MoKhargosh, twee activiteitsclusters, toonden zowel spionagecapaciteiten als destructief potentieel tegen Israël – waaronder de inzet van een bootkit-achtige wiper, terwijl ze destructieve tools voor later gebruik hielden.
ESET ontdekte ook dat een defensiebedrijf in de UAE gehackt was en dat Arabischsprekende gebruikers het doelwit waren van Android-spyware. De aanval was mogelijk gericht op journalisten of experten in open-source intelligence, daar de naam van het Telegram-kanaal van de aanvaller wellicht geïnspireerd was op Liveuamap (Live Universal Awareness Map), een legitiem en bekend OSINT-platform, dat zich toelegt op het in kaart te brengen van militaire incidenten wereldwijd.
Aan Noord-Korea gelinkte dreigingsactoren bleven actief op verschillende fronten. Diverse groepen bleven ontwikkelaars en het cryptovaluta-ecosysteem aanvallen met social engineering-methoden die zowel direct financieel gewin als mogelijkheden tot beschadiging van de supply-chain kunnen opleveren. ESET ontdekte ook de terugkeer van de Andariel-groep bij aanvallen op Zuid-Korea, waar deze de groep TigerRAT inzette en de Rook-ransomware trachtte te verspreiden binnen een ingenieursbedrijf dat apparatuur produceert voor de verwerking van vloeibare waterstof en de kernenergie-industrie – technologieën die duidelijk van belang zijn voor de ballistische en nucleaire ambities van Pyongyang.
Aan Rusland gelinkte cybercriminelen bleven zich doorgaans richten op Oekraïne en entiteiten die verbonden zijn aan de defensiesystemen van dat land. Sednit zette zijn Covenant- en BeardShell-implantaten in tegen Oekraïens militair personeel, dronefabrikanten en organisaties die betrokken zijn bij onderzoek en ontwikkeling van drones en richtte zich eveneens op logistieke en transportbedrijven buiten Oekraïne. Tijdens de winter intensiveerde Sandworm zijn destructieve activiteiten en zette verschillende nieuwe wipers in Oekraïne in tegen overheids- en particuliere doelen. Zeer opvallend was een incident in december 2025 waarbij gegevens van een Pools energiebedrijf werden vernietigd. ESET kon dit met gemiddelde zekerheid aan Sandworm toeschrijven.
Met zijn producten beschermt ESET de systemen van zijn klanten tegen de kwaadwillige activiteiten die in dit rapport worden beschreven. De hier gedeelde informatie is grotendeels gebaseerd op ESET-telemetriegegevens en is geverifieerd door zijn onderzoekers. Zij stellen grondige technische rapporten op en frequente updates over de activiteiten van specifieke APT-groepen. Deze analyses, ESET APT-rapporten, helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa beschermen tegen criminele en door staten aangestuurde cyberaanvallen.
Meer informatie over ESET APT Reports, die hoogwaardige, strategische, bruikbare en tactische informatie over cyberbeveiligingsdreigingen leveren, is beschikbaar op de ESET Threat Intelligence-pagina.
Voor meer informatie over bovenvermelde en andere activiteiten van APT-groepen, kunt u het volledige APT-activiteitenverslag raadplegen “Conflict-informed espionage: Monitoring oil shipments, targeting drone makers” op www.welivesecurity.com. Volg ook ESET Research op X, BlueSky en Mastodon voor de nieuwste informatie.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
