ESET: Russisch-Chinese cyberdreigingen intensiveren
ESET Research heeft haar nieuwste rapport over geavanceerde aanhoudende dreigingen (APT) gepubliceerd, dat de periode van april tot en met september 2025 beslaat. De bevindingen tonen een duidelijke en zorgwekkende toename van door staten gesteunde cyberactiviteiten. Met name groepen gelinkt aan Rusland hebben hun operaties tegen Oekraïne en EU-lidstaten aanzienlijk uitgebreid, terwijl China zijn strategische focus op regeringen in Latijns-Amerika heeft versterkt.
Rusland escaleert aanvallen op Oekraïne en het Westen
Volgens ESET-onderzoekers blijven Russische APT-groepen Oekraïne en haar bondgenoten in het Westen centraal stellen in hun inlichtingen- en sabotageactiviteiten. De frequentie en intensiteit van de aanvallen zijn toegenomen, met diverse groepen die verschillende tactieken hanteren:
- RomCom maakte gebruik van een zogeheten zero day-kwetsbaarheid in WinRAR om kwaadaardige DLL-bestanden en backdoors te installeren. Deze campagne was met name gericht op de financiële, productie-, defensie- en logistieke sectoren in de EU en Canada.
- Gamaredon bleef de meest actieve groep tegen Oekraïne, waarbij ze voornamelijk spearphishing gebruikten als de belangrijkste aanvalsmethode.
- Sandworm voerde vernietigende operaties uit tegen de overheid, energie, logistiek en de graansector, met als primair doel de Oekraïense economie te verzwakken.
Bovendien werd een spearphishingcampagne waargenomen waarbij de aan Rusland gelieerde actor InedibleOchotense de beveiligingsorganisatie ESET zelf nabootste, wat wijst op een escalerende aanvalsdynamiek.
China richt zich strategisch op Latijns-Amerika
APT-groepen die banden hebben met China blijven actief de geopolitieke doelen van Beijing ondersteunen. ESET observeerde een verschuiving in focus, waarbij overheidsinstellingen in meerdere Latijns-Amerikaanse landen het doelwit werden.
Deze strategische focus wordt vermoedelijk ingegeven door de hernieuwde strategische interesse van de Verenigde Staten in de regio en de toenemende concurrentiestrijd tussen Washington en Beijing.
De groep FamousSparrow voerde meerdere operaties uit tegen overheidsinstellingen in landen als Argentinië, Ecuador, Guatemala, Honduras en Panama. Dit vormde het zwaartepunt van de groep in de onderzochte periode.
Jean-Ian Boutin, Director of Threat Research bij ESET, verklaarde: “China-gelieerde groepen blijven wereldwijd zeer actief, met campagnes in Azië, Europa, Latijns-Amerika en de VS. Deze wereldwijde aanpak laat zien dat China-georiënteerde dreigingsactoren worden ingezet om uiteenlopende geopolitieke doelen van Beijing te ondersteunen.”
Chinese actoren vertonen ook een toenemend gebruik van de adversary-in-the-middle-techniek voor initiële toegang en laterale beweging binnen netwerken.
Nieuwe tactieken en misbruik van AI
Het rapport benadrukte eveneens de introductie van nieuwe tactieken in spearphishingcampagnes. De aan Belarus gelieerde groep FrostyNeighbor misbruikte een XSS-kwetsbaarheid in Roundcube en richtte zich op Poolse en Litouwse organisaties.
Opvallend was de opmaak van de verstuurde spearphishingmails, die opmaakkenmerken vertoonden die doen denken aan door AI-gegenereerde content (zoals een ongebruikelijke combinatie van opsommingstekens en emoji’s)
In Azië bleven Noord-Koreaanse dreigingsactoren zich met name richten op Zuid-Koreaanse overheidsinstanties en de technologiesector, met een voortdurende aandacht voor de cryptovalutamarkt als cruciale inkomstenbron voor het regime.
De bevindingen van de ESET APT Reports dienen om organisaties te helpen bij het beschermen van kritieke infrastructuur en bedrijfskritische activa tegen statelijke en criminele cyberdreigingen.
