Um relatório recente da ESET sobre a atividades de grupos APT (Ameaças Persistentes Avançadas), referente ao período de outubro de 2024 a março de 2025, revela que grupos de cibercriminosos mantiveram campanhas intensas contra a Ucrânia e outros países europeus. As operações visaram principalmente infraestruturas críticas e instituições governamentais.
Grupos alinhados com a Rússia, como Sednit e Gamaredon, destacaram-se pela agressividade das suas ações, enquanto grupos ligados à China continuaram com campanhas de espionagem focadas em organizações europeias, segundo a empresa de cibersegurança.
Ações de grupos APT alinhados com a Rússia
A Ucrânia continuou a ser o principal alvo de ciberataques por grupos associados à Rússia. O grupo Gamaredon manteve-se como o mais prolífico, com melhorias na ofuscação de malware e a introdução do PteroBox, um software malicioso para roubo de ficheiros que utiliza o Dropbox. O Sandworm intensificou as suas operações destrutivas contra o setor energético ucraniano, com o recurso a um novo wiper (software que apaga dados) denominado ZEROLOT. “Em casos recentes, [o Sandworm] implantou o ZEROLOT na Ucrânia. Para isso, os atacantes abusaram da Política de Grupo do Active Directory nas organizações afetadas“, explicou Jean-Ian Boutin, Diretor de Investigação de Ameaças da ESET.
O grupo Sednit refinou a exploração de vulnerabilidades em serviços de webmail, como Roundcube, Horde, MDaemon e Zimbra, e explorou uma vulnerabilidade de dia zero no servidor de email MDaemon contra empresas ucranianas. O Sednit também conduziu campanhas de spearphishing (phishing personalizado) contra empresas de defesa na Bulgária e Ucrânia. Já o grupo RomCom demonstrou capacidades avançadas na exploração de vulnerabilidades de dia zero no Microsoft Windows e Mozilla Firefox.
Espionagem persistente por grupos APT ligados à China
Grupos APT alinhados com a China mantiveram o foco em campanhas de espionagem contra instituições governamentais e académicas na Europa. O Mustang Panda foi o mais ativo, com o uso de loaders (software que instala outro malware) Korplug e unidades USB maliciosas contra instituições governamentais e empresas de transporte marítimo.
O DigitalRecyclers continuou a visar entidades governamentais da União Europeia e implementou os backdoors (ferramentas de acesso remoto não autorizado) RClient, HydroRShell e GiftBox. O PerplexedGoblin utilizou o seu novo backdoor de espionagem, designado pela ESET como NanoSlate, contra uma entidade governamental na Europa Central. O Webworm, por sua vez, atacou uma organização governamental sérvia através da VPN SoftEther.
Atividade crescente de grupos APT da Coreia do Norte
Os agentes de ameaças alinhados com a Coreia do Norte aumentaram as suas operações, com especial ênfase na Coreia do Sul, e visaram indivíduos, empresas privadas, embaixadas e pessoal diplomático. As campanhas com motivações financeiras também se destacaram. O grupo DeceptiveDevelopment alargou os seus alvos, com o uso de ofertas de emprego falsas nos setores de criptomoeda e finança para distribuir o malware multiplataforma WeaselStore. O roubo de criptomoedas da plataforma Bybit, atribuído pelo FBI ao grupo TraderTraitor, envolveu um comprometimento da cadeia de abastecimento da Safe{Wallet} e resultou em perdas estimadas em 1,5 mil milhões de dólares.
Os grupos Kimsuky e Konni retomaram os seus níveis de atividade no início de 2025, após um declínio no final de 2024, e focaram-se em entidades sul-coreanas. O grupo Andariel ressurgiu após um ano de inatividade com um ataque a uma empresa de software industrial sul-coreana.
Outras tendências e observações
Grupos APT alinhados com o Irão mantiveram o seu foco principal no Médio Oriente, com ataques a organizações governamentais e setores industriais em Israel. A ESET observou ainda um aumento global nos ciberataques contra empresas de tecnologia, em grande parte atribuído à atividade do DeceptiveDevelopment.
“As operações destacadas são representativas do cenário mais amplo de ameaças que investigámos durante este período“, acrescentou Boutin.
O relatório completo da ESET – ESET APT Activity Report Q4 2024-Q1 2025 – detalha estas e outras atividades.
Conclusão
O relatório da ESET evidencia um cenário de ciberameaças persistente e em evolução, em que grupos APT utilizam táticas cada vez mais sofisticadas contra alvos na Ucrânia, Europa e outras regiões. A espionagem, os ataques destrutivos e as campanhas com motivações financeiras continuam a marcar a atividade destes grupos.
Outros artigos interessantes:
