• Russische APT-groepen verhogen aantal aanvallen op Oekraïne en de EU, gebruiken zero-day-kwetsbaarheden en zetten wipers in.
• Aan China gelinkte groepen – Mustang Panda en DigitalRecyclers – gaan door met spionage-campagnes, gericht op de EU-overheden en de maritieme sector.
• Aan Noord-Korea gelinkte groepen breiden hun financieel gemotiveerde campagnes uit met nep-vacatures en social engineering.
19 mei 2025 — ESET Research publiceert zijn nieuwe APT-rapport over de activiteiten van een selectie APT-groepen die door ESET onderzoekers gedocumenteerd zijn vanoktober 2024 tot maart 2025. Gedurende die periode voerden Sednit en Gamaredon, aan Rusland gelinkte cyberactoren, agressieve campagnes uit, vooral gericht op Oekraïne en EU-landen. Oekraïne was het slachtoffer van de meest intensieve cyberaanvallen op kritieke infrastructuur en overheidsinstellingen. De destructieve operaties van de aan Rusland gelinkte Sandworm-groep tegen Oekraïense energiebedrijven namen toe en ZEROLOT, een nieuwe wiper, werd ingezet. Aan China gelinkte cyberactoren bleven spionage-campagnes voeren, met een focus op Europese organisaties.
Gamaredon was de meest productieve speler die zich op Oekraïne richtte, door malware beter te verdoezelen en de introductie van PteroBox, een bestandsdief die Dropbox misbruikt. “De beruchte Sandworm-groep zette zich in op het compromitteren van de Oekraïense energie-infrastructuur. In recente gevallen werd de ZEROLOT-wiper in Oekraïne ingezet. De aanvallers misbruikten het Active Directory-groepsbeleid van de getroffen organisaties”, aldus Jean-Ian Boutin, Director of Threat Research bij ESET.
Sednit verfijnde de exploitatie van cross-site scripting-kwetsbaarheden in webmail-diensten en breidde Operation RoundPress van Roundcube uit naar Horde, MDaemon en Zimbra. ESET ontdekte dat de groep met succes een zero-day-kwetsbaarheid in de MDaemon Email Server (CVE-2024-11182) had misbruikt tegen Oekraïense bedrijven. Bij verschillende Sednit-aanvallen op defensiebedrijven in Bulgarije en Oekraïne werden spearphishing-e-mailcampagnes als lokaas gebruikt. RomCom, een aan Rusland gelinkte groep, demonstreerde geavanceerde mogelijkheden door zero-day-exploits te implementeren tegen Mozilla Firefox (CVE 2024 9680) en Microsoft Windows (CVE 2024 49039).
In Azië zetten aan China gelinkte groepen hun campagnes tegen overheids- en academische instellingen voort terwijl aan Noord-Korea gelinkte cybercriminelen verdergingen met activiteiten gericht op Zuid-Korea, met een bijzondere aandacht voor burgers, particuliere bedrijven, ambassades en diplomatiek personeel. Mustang Panda was het meest actief en richtte zich op overheidsinstellingen en maritieme transportbedrijven via Korplug-laders en kwaadaardige USB-sticks. DigitalRecyclers bleef zich richten op EU-overheidsinstanties, gebruikte het KMA VPN-anonimiseringsnetwerk en de RClient-, HydroRShell- en GiftBox-backdoors. PerplexedGoblin gebruikte NanoSlate, zijn nieuwe spionage-backdoor, tegen een Centraal-Europese overheidsinstantie, terwijl Webworm een Servische overheidsorganisatie aanviel met SoftEther VPN, wat de aanhoudende populariteit van deze tool bij de aan China gelinkte groepen liet zien.
Noord-Koreaanse dreigingsactoren waren ook bijzonder actief in campagnes gericht op financieel gewin. DeceptiveDevelopment breidde zijn doelwitten uit en gebruikte nep-vacatures, vooral in de crypto-, blockchain- en financiële sector. De groep gebruikte innovatieve technieken in social engineering om de multiplatform WeaselStore-malware te verspreiden. De diefstal van cryptovaluta bij Bybit, door de FBI toegeschreven aan de TraderTraitor APT-groep, ging ook om een inbreuk op de toeleveringsketen van Safe{Wallet}, wat leidde tot verliezen van ongeveer 1,5 miljard dollar. Andere Noord-Koreaanse groepen vertoonden schommelingen in hun operationele tempo: begin 2025 keerden Kimsuky en Konni terug naar hun gebruikelijke activiteitenniveau na een merkbare daling eind 2024, waarbij ze hun doeleinden verlegden van Engelstalige denktanks, ngo’s en Noord-Koreaanse experts naar Zuid-Koreaanse entiteiten en diplomatiek personeel. Andariel dook na een jaar weer op met een geavanceerde aanval op een Zuid-Koreaans bedrijf, gespecialiseerd in industriële software.
Aan Iran gelinkte APT-groepen behielden hun focus op het Midden-Oosten, op overheidsorganisaties en entiteiten binnen de productie- en engineeringsector in Israël. ESET stelde een aanzienlijke wereldwijde toename vast van cyberaanvallen op technologiebedrijven, vooral toe te schrijven aan de activiteiten van DeceptiveDevelopment, een organisatie gelinkt aan Noord-Korea.
“De vermelde activiteiten zijn representatief voor het dreigingslandschap dat we in deze periode onderzochten. Ze illustreren de belangrijkste trends en ontwikkelingen en bevatten slechts deel van de cybersecurity-informatie die ESET aan klanten van zijn APT Reports verstrekt”, voegt Boutin toe.
De in de privé-rapporten gedeelde informatie is gebaseerd op de ESET telemetriegegevens en is geverifieerd door ESET-onderzoekers, die diepgaande technische rapporten en frequente updates opstellen met details over specifieke APT-groepen. Deze analyses van bedreigingsinformatie, bekend als ESET APT Reports PREMIUM, ondersteunen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminele en door staten aangestuurde cyberaanvallen. Meer informatie over ESET APT Reports PREMIUM en hun hoogwaardige, bruikbare, tactische en strategische informatie over cyberbedreigingen is beschikbaar op de ESET Threat Intelligence pagina.
Voor de nieuwste informatie, volg ESET Research Twitter (today known as X), BlueSky, en Mastodon.
Meer lezen
