A ESET lançou o seu mais recente Relatório de Atividade APT, que destaca as atividades de grupos APT (Ameaça Persistente Avançada) selecionados e documentados por investigadores da ESET de outubro de 2024 a março de 2025. Durante o período monitorizado, grupos alinhados com a Rússia, nomeadamente o Sednit e o Gamaredon, mantiveram campanhas agressivas visando principalmente a Ucrânia e países da UE.
A Ucrânia foi alvo da maior intensidade de ciberataques contra as infraestruturas críticas e as instituições governamentais do país. O grupo Sandworm, também alinhado com a Rússia, intensificou as operações destrutivas contra as empresas ucranianas do setor da energia, utilizando um novo wiper (malware que apaga dados) chamado ZEROLOT. Os grupos alinhados com a China continuaram a participar em campanhas de espionagem persistentes, centradas em organizações europeias.
O Gamaredon continuou a ser o grupo APT mais prolífico a visar a Ucrânia, melhorando a ofuscação de malware e introduzindo o PteroBox, um stealer (malware que rouba ficheiros) que utiliza o Dropbox.
“O infame grupo Sandworm concentrou-se fortemente no comprometimento das infraestruturas energéticas ucranianas. Em casos recentes, implantou o ZEROLOT na Ucrânia. Para isso, os atacantes abusaram da Política de Grupo do Active Directory nas organizações afetadas”, afirmou Jean-Ian Boutin, Diretor de Investigação de Ameaças da ESET.
O Sednit refinou a sua exploração de vulnerabilidades de scripts entre sites em serviços de webmail, expandindo a Operação RoundPress da Roundcube para incluir Horde, MDaemon e Zimbra. A ESET descobriu que o grupo explorou com sucesso uma vulnerabilidade de dia zero no Servidor de Email MDaemon contra empresas ucranianas. Vários ataques do Sednit contra empresas de defesa localizadas na Bulgária e na Ucrânia utilizaram campanhas de spearphishing (phishing personalizado) de email como isco. Outro grupo alinhado com a Rússia, o RomCom, demonstrou capacidades avançadas ao explorar vulnerabilidades de dia zero contra o Microsoft Windows e o Mozilla Firefox.
Na Ásia, os grupos APT alinhados com a China continuaram as suas campanhas contra instituições governamentais e académicas. Ao mesmo tempo, os agentes de ameaças alinhados com a Coreia do Norte aumentaram significativamente as suas operações dirigidas à Coreia do Sul, dando especial ênfase a indivíduos, empresas privadas, embaixadas e pessoal diplomático.
O Mustang Panda continuou a ser o mais ativo, visando instituições governamentais e empresas de transporte marítimo através de loaders (malware que carrega malware adicional) Korplug e unidades USB maliciosas. O DigitalRecyclers continuou a visar entidades governamentais da UE, implementando os backdoors (ferramentas para ultrapassar ciberproteção) RClient, HydroRShell e GiftBox. O PerplexedGoblin utilizou o seu novo backdoor de espionagem, que a ESET designou por NanoSlate, contra uma entidade governamental da Europa Central, enquanto o Webworm visou uma organização governamental sérvia utilizando a VPN SoftEther, enfatizando a contínua popularidade desta ferramenta entre os grupos alinhados com a China.
Noutros locais da Ásia, os grupos APT alinhados com a Coreia do Norte estiveram particularmente ativos em campanhas com motivações financeiras. O DeceptiveDevelopment alargou significativamente o seu alvo, utilizando ofertas de emprego falsas principalmente nos setores de criptomoeda, blockchain e finança. O grupo utilizou técnicas inovadoras de engenharia social para distribuir o malware multiplataforma WeaselStore. O roubo de criptomoedas Bybit, atribuído pelo FBI ao grupo TraderTraitor, envolveu um comprometimento da cadeia de abastecimento da Safe{Wallet} que causou perdas de aproximadamente 1,5 mil milhões de dólares.
Entretanto, outros grupos alinhados com a Coreia do Norte registaram flutuações no seu ritmo operacional: no início de 2025, o Kimsuky e o Konni voltaram aos seus níveis de atividade habituais após um declínio notável no final de 2024, desviando o seu alvo dos think tanks de língua inglesa, ONGs e especialistas da Coreia do Norte para se concentrarem principalmente em entidades e pessoal diplomático sul-coreanos; e o Andariel ressurgiu, após um ano de inatividade, com um ataque sofisticado contra uma empresa de software industrial sul-coreana.
Os grupos APT alinhados com o Irão mantiveram o seu foco principal na região do Médio Oriente, visando predominantemente organizações governamentais e entidades dos setores da indústria e da engenharia em Israel. Para além disso, a ESET observou um aumento global significativo nos ciberataques contra empresas de tecnologia, em grande parte atribuído ao aumento da atividade do DeceptiveDevelopment.
“As operações destacadas são representativas do cenário mais amplo de ameaças que investigámos durante este período. Ilustram as principais tendências e desenvolvimentos, e contêm apenas uma pequena fração dos dados de inteligência de cibersegurança fornecidos aos clientes dos relatórios APT da ESET”, acrescentou Boutin.
Relatório completo: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2024-q1-2025.pdf
