Nowy raport ESET o grupach APT: nasilenie rosyjskich ataków na Ukrainę i Europę; chińskie grupy celują w rządy Ameryki Łacińskiej

ESET opublikował najnowszy raport dotyczący zagrożeń typu APT, obejmujący okres od kwietnia do września 2025 roku. Firmy z Polski i Litwy obrane zostały za cel ataku spearphishingowego. Rozsyłano do nich wiadomości e-mail podszywające się pod polskie przedsiębiorstwa. Grupy APT powiązane z Chinami nadal realizowały geopolityczne cele Pekinu, coraz częściej wykorzystując technikę „adversary-in-the-middle” i atakując rządy kilku państw Ameryki Łacińskiej. Grupy APT powiązane z Rosją zintensyfikowały działania wymierzone w Ukrainę oraz kilka państw członkowskich Unii Europejskiej, a także rozszerzyły zakres swoich operacji.

ESET opublikował najnowszy raport dotyczący aktywności grup APT, w którym przedstawiono działania wybranych ugrupowań zaobserwowane przez analityków ESET w okresie od kwietnia do września 2025 roku. W tym czasie grupy APT powiązane z Chinami kontynuowały działania wspierające geopolityczne cele Pekinu. ESET odnotował rosnące wykorzystanie techniki „adversary-in-the-middle”, zarówno na etapie uzyskiwania początkowego dostępu, jak i w trakcie tzw. „lateral movement”. Wydaje się, że jest to odpowiedź na strategiczne zainteresowanie administracji Trumpa regionem Ameryki Łacińskiej oraz wynik trwającej rywalizacji o wpływy między USA a Chinami. Grupa FamousSparrow rozpoczęła kampanię wymierzoną w państwa Ameryki Łacińskiej, atakując wiele instytucji rządowych w tym regionie. W Europie to właśnie instytucje rządowe pozostawały głównym celem działań cyberszpiegowskich grup APT powiązanych z Rosją, które zintensyfikowały operacje przeciwko Ukrainie i kilku państwom członkowskim Unii Europejskiej.

Wiele celów atakowanych przez grupy powiązane z Rosją, mimo że nie były zlokalizowane na terytorium Ukrainy, miało z nią strategiczne lub operacyjne powiązania. To dodatkowo potwierdza, że Ukraina pozostaje kluczowym obszarem zainteresowania rosyjskiego wywiadu. Grupa RomCom wykorzystała podatność typu zero-day w programie WinRAR, aby za pomocą złośliwych bibliotek DLL dostarczać różnego rodzaju backdoory. Ataki były skierowane głównie w sektor finansowy, produkcyjny, obronny i logistyczny w krajach Unii Europejskiej oraz w Kanadzie. Ze względu na wysokie koszty wykorzystywania podatności typu zero-day, grupy Gamaredon i Sandworm posługiwały się przede wszystkim znacznie tańszą techniką spearphishingu. Gamaredon pozostawał najbardziej aktywną grupą APT atakującą Ukrainę, wzrosła zarówno intensywność, jak i częstotliwość jej działań. Sandworm również koncentrował swoje ataki na Ukrainie, jednak jego celem była przede wszystkim destrukcja, w przeciwieństwie do cyberszpiegostwa prowadzonego przez Gamaredona. Ataki Sandworma były wymierzone w instytucje rządowe, sektor energetyczny, logistykę oraz przemysł zbożowy, co wskazuje na próbę osłabienia ukraińskiej gospodarki.

Grupa FrostyNeighbor, powiązana z Białorusią, wykorzystywała podatność typu XSS w aplikacji Roundcube. Firmy z Polski i Litwy stały się celem ataku spearphishingowego, w którym rozsyłano wiadomości e-mail podszywające się pod polskie przedsiębiorstwa. Wiadomości wyróżniały się nietypowym układem punktorów i emotikonów, przypominającym treści generowane przez sztuczną inteligencję. Może to wskazywać na użycie AI w tej kampanii. Rozsyłane pliki zawierały narzędzia kradnące dane logowania oraz wiadomości e-mail z zaatakowanych skrzynek.

W Azji grupy APT kontynuowały ataki na instytucje rządowe oraz na sektor technologiczny, inżynieryjny i produkcyjny, co jest zgodne z trendami obserwowanymi w poprzednim okresie raportowym. Grupy powiązane z Koreą Północną były szczególnie aktywne w działaniach wymierzonych w Koreę Południową, zwłaszcza w jej sektor technologiczny i rynek kryptowalut, który stanowi jedno z kluczowych źródeł dochodu północnokoreańskiego reżimu.

Grupy powiązane z Chinami pozostają bardzo aktywne. Analitycy ESET zaobserwowali niedawno kampanie prowadzone w Azji, Europie, Ameryce Łacińskiej oraz Stanach Zjednoczonych. Tak szeroki zasięg działań pokazuje, że grupy te są nadal wykorzystywane do realizacji różnych priorytetów geopolitycznych Pekinu

Jean-Ian Boutin

Od czerwca do września ESET obserwował kilka operacji prowadzonych przez grupę FamousSparrow w Ameryce Łacińskiej, głównie wymierzonych w instytucje rządowe. Stanowiły one zdecydowaną większość działań przypisanych tej grupie w tym okresie, co wskazuje, że region ten był jej głównym obszarem operacyjnym w ostatnich miesiącach. Aktywność ta może być częściowo związana z rywalizacją między Stanami Zjednoczonymi a Chinami o wpływy w regionie, nasilającą się w związku z ponownym zainteresowaniem Ameryką Łacińską ze strony administracji Trumpa. Wśród zaatakowanych celów znalazły się liczne instytucje rządowe w Argentynie oraz pojedyncze jednostki administracji państwowej w Ekwadorze, Gwatemali, Hondurasie i Panamie.

Pełny raport znaleźć można tutaj.