Jacht op AI en energie: ESET waarschuwt voor statelijke hackers
Statelijke hackers stemmen hun digitale spionagecampagnes steeds fijnmaziger af op actuele geopolitieke brandhaarden en strategische industriële belangen. Dat blijkt uit het nieuwste APT Activity Report van cybersecurity-expert ESET Research. Vooral aan China en Noord-Korea gelieerde groepen tonen een scherpe interesse in vitale infrastructuur, defensie en geavanceerde technologieën zoals kunstmatige intelligentie (AI) en nucleaire energie.
Het rapport, dat de periode tussen oktober 2025 en maart 2026 beslaat, schetst een beeld van een cyberlandschap waarin digitale aanvallen direct meebewegen met fysieke conflicten en economische prioriteiten.
China volgt geopolitieke brandhaarden
Aan China gelieerde dreigingsactoren waren de afgelopen maanden wereldwijd zeer actief. Hun doelwitten weerspiegelen de economische en strategische langetermijnagenda van Beijing. Zo voerde de groep FamousSparrow een aanval uit op een Venezolaanse overheidsinstantie met een maritieme link. Volgens de onderzoekers van ESET was dit vermoedelijk bedoeld om zicht te krijgen op de veerkracht van lokale olietransporten na de recente Amerikaanse militaire interventie in het Zuid-Amerikaanse land.
Tegelijkertijd drong de groep SteppeDriver binnen in een Syrisch overheidsnetwerk, wat mogelijk verband houdt met Chinese commerciële belangen bij de wederopbouw van Syrië. In Azië en Midden-Amerika zette de groep UNC5221 de zogeheten SPAWN-malware in tegen overheidsinstanties in Cambodja en Panama, maar ook tegen een Zuid-Koreaanse specialist in AI en robotica. Deze laatste diefstal van intellectueel eigendom sluit naadloos aan bij Beijings 'Made in China 2025'-beleid, dat maximaal inzet op technologische dominantie.
Noord-Korea focust op kernenergie en defensie
Ook Noord-Korea blijft een agressieve speler op het digitale vinkentouw. Naast de bekende social-engineeringcampagnes gericht op het buitmaken van cryptovaluta en het infiltreren van softwareleveranciers, zag ESET de beruchte hackgroep Andariel terugkeren op het Zuid-Koreaanse toneel.
Andariel infecteerde een engineeringbedrijf dat vermoedelijk apparatuur produceert voor vloeibare waterstof en de nucleaire energiesector. De buitgemaakte kennis over deze dual-use technologieën is volgens de onderzoekers direct bruikbaar voor de ballistische en nucleaire wapenprogramma's van het regime in Pyongyang. In de Golfregio werd bovendien een defensiebedrijf in de Verenigde Arabische Emiraten gecompromitteerd, terwijl Arabischtalige journalisten en OSINT-onderzoekers werden belaagd met spyware via een vervalst Telegram-kanaal.
Russische sabotage raakt Poolse energiereus
De oorlog in Oost-Europa blijft ondertussen een katalysator voor Russische cyberoperaties. Aan Rusland gelieerde groepen zoals Sednit bleven zich primair richten op de Oekraïense defensieketen, met specifieke campagnes tegen militair personeel, droneproducenten en R&D-instellingen voor onbemand materieel.
De gevreesde cybercommando's van Sandworm intensiveerden tijdens de wintermaanden hun destructieve activiteiten. Naast het inzetten van nieuwe zogeheten wipers (datavernietigende software) tegen Oekraïense doelen, linkt ESET de groep met middelhoge zekerheid aan een ernstig datavernietigingsincident bij een Pools energiebedrijf in december 2025. Dit markeert een directe, destructieve overloop van het conflict naar een NAVO-bondgenoot.
Conflict in Iran verlamt eigen hackers
Opvallend is de situatie in Iran. Hoewel Israël het belangrijkste doelwit bleef van aan Teheran gelieerde spionage en destructieve hardware-aanvallen, zag ESET de activiteit van gevestigde Iraanse APT-groepen eind februari 2026 plotseling drastisch afnemen. Dit viel samen met het uitbreken van de oorlog in Iran, waarbij het internet in het land nagenoeg volledig werd afgesloten. Dit legde de operaties van de nationale hackersgroepen lam, waarna het vacuüm snel werd opgevuld door informele proxy-actoren en hacktivisten die de pijlen richtten op de VS en Israël.
