ESET APT Activity Report: ruské kyberútoky na Ukrajine sa stupňujú, Sandworm vypúšťa nový ničivý wiper

• Spoločnosť ESET vydala svoju najnovšiu správu APT Activity Report o aktivite skupín zameraných na pokročilé pretrvávajúce hrozby.
• Ruské APT skupiny zintenzívnili útoky na Ukrajinu a Európsku úniu, pričom využívajú zero-day zraniteľnosti a nasadzujú wipery.
• Skupiny napojené na Čínu ako Mustang Panda a DigitalRecyclers pokračovali v špionážnych kampaniach zameraných na vládny a námorný sektor EÚ.
• Skupiny napojené na Severnú Kóreu rozšírili svoje finančne motivované kampane s využitím falošných pracovných ponúk a sociálneho inžinierstva.

Spoločnosť ESET vydala najnovšiu správu APT Activity Report, ktorá mapuje aktivity vybraných APT skupín, ktoré boli zdokumentované výskumníkmi spoločnosti ESET od októbra 2024 do marca 2025. Počas sledovaného obdobia útočníci napojení na Rusko, najmä Sednit a Gamaredon, vykonávali agresívne kampane zamerané predovšetkým na Ukrajinu a krajiny Európskej únie. Ukrajina bola terčom najintenzívnejších kybernetických útokov proti svojej kritickej infraštruktúre a vládnym inštitúciám. Skupina Sandworm zintenzívnila deštruktívne operácie proti ukrajinským energetickým spoločnostiam, pričom nasadila nový wiper s názvom ZEROLOT. Skupiny napojené na Čínu sa naďalej zapájali do vytrvalých špionážnych kampaní so zameraním na európske organizácie.

Najaktívnejšou APT skupinou zameranou na Ukrajinu zostala Gamaredon, pričom zlepšila obfuskáciu (kamufláž s cieľom vyhýbať sa detekcii) malvéru a predstavila PteroBox, nástroj na krádež súborov využívajúci Dropbox. „Neslávne známa skupina Sandworm sa vo veľkej miere sústredila na kompromitáciu ukrajinskej energetickej infraštruktúry.  V posledných prípadoch nasadila na Ukrajine malvér typu wiper -  ZEROLOT. Na tento účel útočníci zneužili skupinovú politiku služby Active Directory v napadnutých organizáciách,“ hovorí riaditeľ výskumu hrozieb spoločnosti ESET, Jean-Ian Boutin. 

Skupina Sednit zdokonalila zneužívanie zraniteľností typu cross-site scripting (XSS) vo webmailových službách a rozšírila operáciu RoundPress aj na platformy Horde, MDaemon a Zimbra, popri pôvodne zneužívanom Roundcube. ESET identifikoval, že skupina úspešne využila zero-day zraniteľnosť v e-mailovom serveri MDaemon (CVE-2024-11182) pri útokoch na ukrajinské spoločnosti. Viaceré cielené útoky Sednit proti obranným firmám so sídlom na Ukrajine a v Bulharsku využívali spearphishingové e-mailové kampane. Ďalšia skupina napojená na Rusko, RomCom, preukázala pokročilé schopnosti nasadením zero-day exploitov voči prehliadaču Mozilla Firefox (CVE-2024-9680) a systému Microsoft Windows (CVE-2024-49039).

V Ázii pokračovali APT skupiny napojené na Čínu vo svojich kampaniach proti vládnym a akademickým inštitúciám. Útočníci napojení na Severnú Kóreu zároveň výrazne zintenzívnili svoje operácie zamerané na Južnú Kóreu, pričom kládli osobitný dôraz na jednotlivcov, súkromné spoločnosti, veľvyslanectvá a diplomatov. Najaktívnejšou skupinou zostala Mustang Panda, ktorá prostredníctvom Korplug loaderov a škodlivých USB diskov cielila na vládne inštitúcie a spoločnosti zaoberajúce sa námornou dopravou. Skupina DigitalRecyclers sa naďalej zameriavala na vládne subjekty EÚ, pričom využívala anonymizačnú sieť KMA VPN a nasadzovala backdoory RClient, HydroRShell a GiftBox. Útočníci z PerplexedGoblin použili svoj nový špionážny backdoor, ktorý ESET nazval NanoSlate, proti stredoeurópskemu vládnemu subjektu, zatiaľ čo Webworm sa zameral na srbskú vládnu organizáciu pomocou SoftEther VPN. Tento nástroj sa naďalej teší popularite medzi skupinami napojenými na Čínu.

V iných častiach Ázie boli vo finančne motivovaných kampaniach mimoriadne aktívni aktéri napojení na Severnú Kóreu. Skupina DeceptiveDevelopment výrazne rozšírila svoje cielenie, pričom využívala falošné ponuky práce, a to predovšetkým v sektoroch kryptomien, blockchainu a financií. Skupina využívala inovatívne techniky sociálneho inžinierstva na distribúciu multiplatformového malvéru WeaselStore. ESET popritom zaznamenal výrazný globálny nárast kybernetických útokov proti technologickým spoločnostiam, čo sa vo veľkej miere pripisuje práve zvýšenej aktivite skupiny DeceptiveDevelopment.

Krádež kryptomeny Bybit, ktorú FBI pripisuje APT skupine TraderTraitor, zahŕňala kompromitáciu dodávateľského reťazca Safe{Wallet}, ktorá spôsobila straty vo výške približne 1,5 miliardy USD. Medzitým ostatné skupiny napojené na Severnú Kóreu zaznamenali výkyvy vo svojom prevádzkovom tempe. Začiatkom roka 2025 sa skupiny Kimsuky a Konni po citeľnom poklese na konci roka 2024 vrátili na svoju obvyklú úroveň aktivity. Z anglicky hovoriacich think-tankov, mimovládnych organizácií a odborníkov na KĽDR sa preorientovali predovšetkým na juhokórejské subjekty a diplomatický personál. Skupina Andariel sa po roku nečinnosti opäť pripomenula so sofistikovaným útokom na juhokórejskú spoločnosť vyrábajúcu priemyselný softvér.

APT skupiny napojené na Irán sa naďalej zameriavali predovšetkým na región Blízkeho východu, pričom cielili najmä na vládne organizácie a subjekty vo výrobnom a strojárskom sektore v Izraeli.

„Spomínané operácie sú reprezentatívne pre širšie prostredie hrozieb, ktoré sme v tomto období skúmali. Ilustrujú kľúčové trendy a vývoj, a obsahujú len malý zlomok zozbieraných údajov o kybernetickej bezpečnosti, ktoré ESET poskytuje odberateľom svojich informácií o APT,“ uzatvára Boutin.

Informácie o hrozbách (Threat Intelligence) zdieľané v súkromných reportoch vychádzajú predovšetkým z vlastných telemetrických údajov spoločnosti ESET a boli overené výskumníkmi spoločnosti, ktorí pripravujú hĺbkové technické správy a časté aktualizácie aktivít s podrobnými informáciami o aktivitách konkrétnych APT skupín. Tieto analýzy, v rámci balíka PREMIUM reporty o APT, pomáhajú organizáciám, ktorých úlohou je chrániť občanov, kritickú národnú infraštruktúru a aktíva vysokej hodnoty pred kybernetickými útokmi riadenými zločincami a národnými štátmi. Viac informácií o službe PREMIUM reporty o APT a jej poskytovaní vysokokvalitných a akcieschopných taktických a strategických informácií o kybernetických hrozbách je k dispozícii na stránke ESET Threat Intelligence.

Pre najnovšie zistenia nezabudnite sledovať výskumníkov spoločnosti ESET na sieti X (niekdajší Twitter), BlueSky a Mastodon.

O spoločnosti ESET

ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.