A ESET acaba de divulgar o seu mais recente Relatório de Atividade APT, que destaca as atividades de grupos APT selecionados que foram documentadas pelos investigadores da ESET entre abril e setembro de 2025. Durante o período monitorizado, os grupos APT alinhados com a China continuaram a promover os objetivos geopolíticos de Pequim.
A ESET observou um aumento no uso da técnica adversário no meio (adversary-in-the-middle) tanto para acesso inicial quanto para movimento lateral, no que parece ser uma resposta ao interesse estratégico do governo Trump na América Latina e possivelmente influenciado pela contínua disputa de poder entre os EUA e a China.
O grupo FamousSparrow iniciou um ataque à América Latina, visando várias entidades governamentais na região. Em toda a Europa, as entidades governamentais continuaram a ser o foco principal da ciberespionagem por parte de grupos APT alinhados com a Rússia, à medida que intensificavam as suas operações contra a Ucrânia e vários Estados-Membros da União Europeia.
Mesmo alvos não ucranianos de grupos alinhados com a Rússia exibiram ligações estratégicas ou operacionais com a Ucrânia, reforçando a noção de que o país continua a ser central para os esforços de inteligência da Rússia. O RomCom explorou uma vulnerabilidade zero-day no WinRAR para implantar DLLs maliciosas e entregar uma variedade de backdoors, focadas principalmente nos setores financeiro, industrial, de defesa e logístico na UE e no Canadá. Como as explorações zero-day são caras, os grupos Gamaredon e Sandworm usaram a técnica de spearphishing, muito mais barata, como seu principal método de comprometimento.
O Gamaredon continuou a ser o grupo APT mais ativo a visar a Ucrânia, com um aumento notável na intensidade e frequência das suas operações. Da mesma forma, o Sandworm concentrou-se na Ucrânia — embora com a destruição como motivo, em vez da ciberespionagem do Gamaredon — concentrando-se principalmente nos setores governamental, energético, logístico e cerealífero, sendo o objetivo provável o enfraquecimento da economia ucraniana.
O grupo FrostyNeighbor, alinhado com a Bielorrússia, explorou uma vulnerabilidade XSS no Roundcube. Empresas polacas e lituanas foram alvo de emails de spearphishing que se faziam passar por empresas polacas. Os emails continham um uso e uma combinação distintos de marcadores e emojis, uma estrutura que lembra o conteúdo gerado por IA, sugerindo o possível uso de IA na campanha. As cargas entregues incluíam um roubador de credenciais e um roubador de mensagens de email.
“Curiosamente, um agente de ameaças alinhado com a Rússia, InedibleOchotense, conduziu uma campanha de spearphishing fazendo-se passar pela ESET. Esta campanha envolveu emails e mensagens do Signal que entregavam um instalador ESET trojanizado que levava ao download de um produto ESET legítimo junto com o backdoor Kalambur”, diz Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET.
Na Ásia, os grupos APT continuaram a ter como alvo entidades governamentais, bem como os setores de tecnologia, engenharia e manufatura, um padrão consistente com o período anterior. Os agentes de ameaças alinhados com a Coreia do Norte permaneceram altamente ativos em operações direcionadas à Coreia do Sul e ao seu setor de tecnologia, particularmente criptomoedas, que são uma fonte importante de receita para o regime.
“Os grupos alinhados com a China continuam muito ativos, com campanhas que abrangem a Ásia, a Europa, a América Latina e os EUA, como foi recentemente observado pelos investigadores da ESET. Esta abrangência global ilustra que os agentes de ameaça alinhados com a China continuam a ser mobilizados para atender a uma vasta gama de prioridades geopolíticas atuais de Pequim”, acrescenta Boutin.
Entre junho e setembro, a ESET observou também o FamousSparrow a realizar diversas operações na América Latina, principalmente contra entidades governamentais. Estas operações representam a maior parte das atividades que a ESET atribuiu ao grupo durante este período, sugerindo que esta região foi o principal foco operacional do grupo nos últimos meses. Estas atividades podem estar parcialmente ligadas à atual disputa de poder entre os EUA e a China na região, resultante do renovado interesse da administração Trump pela América Latina. No geral, as vítimas observadas na “digressão latino-americana” do FamousSparrow incluem múltiplas entidades governamentais na Argentina, uma entidade governamental no Equador, uma entidade governamental na Guatemala, múltiplas entidades governamentais nas Honduras e uma entidade governamental no Panamá.
Mais informações: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2025-q3-2025.pdf
