• ESET publiceert zijn nieuwe Advanced Persistent Threat (APT)-rapport voor de periode van april tot september 2025.
• Aan China gelinkte APT-groepen bleven de geopolitieke doelstellingen van Peking ondersteunen door de ‘adversary-in-the-middle’-techniek in te zetten, vooral gericht op regeringen in Latijns-Amerika.
• Aan Rusland gelinkte APT-groepen dreven hun acties op tegen Oekraïne en verschillende lidstaten van de Europese Unie en breidden hun activiteiten nog verder uit.
BRATISLAVA, 6 november 2025 — ESET Research publiceert zijn nieuwe APT-rapport over de activiteiten van geselecteerde APT-groepen van april tot september 2025. Gedurende die periode bleven aan China gelinkte groepen de geopolitieke objectieven van Peking ondersteunen. ESET zag een toenemend gebruik van de ‘adversary-in-the-middle’-techniek voor initiële toegang en laterale verplaatsing. Dit is wellicht een reactie op de strategische interesse van de Trump-regering in Latijns-Amerika, mogelijk beïnvloed door de aanhoudende machtsstrijd tussen de VS en China. De FamousSparrow-groep lanceerde een aanval op meerdere instanties in Latijns-Amerika. In heel Europa bleven overheidsinstanties een primair doelwit voor cyberspionage door aan Rusland gelinkte APT-groepen. Hun operaties tegen Oekraïne en verschillende EU-lidstaten namen toe.
Opmerkelijk is dat niet-Oekraïense doelwitten van aan Rusland gelinkte groepen toch strategische of operationele banden met Oekraïne hadden, zodat dit land centraal blijft voor de Russische inlichtingendiensten. RomCom gebruikte een zeroday-kwetsbaarheid in WinRAR om kwaadaardige DLL’s en diverse backdoors te installeren, vooral gericht op de financiële, productie-, defensie- en logistieke sectoren in de EU en Canada. Omdat een zeroday-kwetsbaarheid duur is, gebruikten zowel de Gamaredon- als de Sandworm-groep de veel goedkopere spearphishing-techniek als hun primaire methode om doelwitten te infecteren. Gamaredon bleef de meest actieve groep die zich op Oekraïne richtte, met een toename in intensiteit en frequentie. Sandworm richtte zich ook op Oekraïne, met vernietiging als doel in tegenstelling tot cyberspionage bij Gamaredon, en de groep concentreerde zich veelal op de overheids-, energie-, logistieke en graansector, wellicht om de Oekraïense economie te verzwakken.
De Belarussische groep FrostyNeighbor misbruikte een XSS-kwetsbaarheid in Roundcube. Poolse en Litouwse bedrijven werden het doelwit van spearphishing-mails die zich voordeden als afkomstig van Poolse bedrijven. De mails bevatten een opvallende combinatie van bullet points en emoji’s. Die structuur doet denken aan door AI gegenereerde content, wat erop wijst dat AI in de campagnes wordt gebruikt. De geleverde payloads bevatten een inloggegevens- en een mailberichtendief.
“Interessant is dat InedibleOchotense, een aan Rusland gelinkte cybercrimineel, een spearphishing-campagne voerde die zich voordeed als ESET. De campagne bestond uit mails en Signal-berichten die een trojan-achtige ESET-installer leverden die leidde tot de download van een legitiem ESET-product, samen met de Kalambur-backdoor”, aldus Jean-Ian Boutin, Director Threat Research bij ESET.
In Azië bleven APT-groepen zich richten op overheidsinstanties en de technologie-, engineering- en productiesector, een patroon dat consistent was met de vorige rapportage-periode. Aan Noord-Korea gelinkte dreigingsactoren bleven zeer actief in operaties gericht op Zuid-Korea en de Zuid-Koreaanse technologiesector, meer bepaald op cryptovaluta, een belangrijke bron van inkomsten voor het regime.
Boutin vervolgt: “Groepen gelinkt aan China blijven zeer actief. ESET-onderzoekers hebben recent nog campagnes in Azië, Europa, Latijns-Amerika en de VS waargenomen. Deze wereldwijde aanpak illustreert dat Chinese dreigingsactoren nog steeds gemobiliseerd worden om een brede waaier aan geopolitieke prioriteiten van Peking te dienen”.
Tussen juni en september zag ESET ook dat FamousSparrow meerdere operaties uitvoerde in Latijns-Amerika, vooral gericht tegen overheidsinstanties. Dit vertegenwoordigt het merendeel van de activiteiten die ESET in deze periode aan de groep toeschrijft. Dat suggereert dat deze regio de belangrijkste focus was van de groep tijdens de afgelopen maanden. Dit houdt mogelijk verband met de huidige machtsstrijd tussen de VS en China in die regio, als gevolg van de hernieuwde interesse van de Trump-regering in Latijns-Amerika. De waargenomen groep slachtoffers van FamousSparrow’s “Latijns-Amerikaanse tour” bestaat uit meerdere overheidsinstanties in Argentinië, een in Ecuador, een in Guatemala, meerdere in Honduras en een in Panama.
ESET-producten beschermen de systemen van klanten tegen de kwaadaardige activiteiten die in dit rapport beschreven zijn. De gedeelde informatie is vooral gebaseerd op ESET telemetrie-gegevens en is geverifieerd door zijn onderzoekers, die grondige technische rapporten en regelmatige updates publiceren met details over de activiteiten van specifieke APT-groepen. Deze analyses, bekend als ESET APT-rapporten, ondersteunen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminele en door staten aangestuurde cyberaanvallen. Meer informatie over de ESET APT-rapporten en de hoogwaardige tactische en strategische informatie over cyberbeveiligingsdreigingen is beschikbaar op de ESET Threat Intelligence-pagina (ESET Threat Intelligence page).
Voor meer informatie over de bovengenoemde en andere activiteiten van APT-groepen raadpleeg het volledige APT-activiteitenrapport “Russia-aligned APTs ramp up attacks against Ukraine and its strategic partners” op www.WeLiveSecurity.com/. Volg ESET Research op Twitter (tegenwoordig bekend als X), BlueSky, en Mastodon voor de nieuwste informatie.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.