Inteligência que fortalece sua
resiliência

Antecipe e supere ameaças globais com o ESET Threat Intelligence, desenvolvido
com base em dados selecionados, pesquisas aprofundadas sobre APTs e insights práticos de especialistas.

Conheça a solução
Por que ESET Intelligence

Como resolvemos seus maiores
desafios de CTI

Descubra como o ESET Threat Intelligence transforma conhecimento
em visão estratégica.

Visibilidade sobre ameaças globais e emergentes

A telemetria exclusiva da ESET, proveniente de regiões sub-representadas, permite a detecção antecipada de APTs e malware.

Limitações de recursos ou lacunas de habilidades nas equipes de CTI

Inteligência verificada por especialistas e acesso opcional a analistas reduzem a carga de trabalho e aceleram a compreensão.

Monitoramento de grupos APT e campanhas em evolução

Os Relatórios de APT e os feeds de IoC da ESET oferecem conscientização situacional contínua.

Tempo de resposta a ameaças ou excesso de feeds de ameaças

AI Advisor, acesso ao MISP, feeds selecionados e contexto detalhado sobre APTs permitem decisões mais rápidas e bem informadas.

Integração e automação de CTI

Formatos de feed padronizados (STIX 2.1, JSON) permitem fácil integração e automação com SIEM/SOAR.

Prevenção proativa, não apenas detecção

Os feeds de inteligência fortalecem controles preventivos e atividades de hunting antes que as ameaças se concretizem.

O que torna o ESET Intelligence
diferente

750K

amostras suspeitas recebidas todos os dias

2.5bi.

de URLs analisadas todos os dias

500K

URLs únicas bloqueadas diariamente

60mi.

de registros de metadados processados todos os dias

VISIBILIDADE GLOBAL E ÚNICA

Com milhões de sensores e forte visibilidade sobre regiões difíceis de monitorar, a ESET oferece clareza sobre ameaças cibernéticas globais e emergentes.

FEEDS SELECIONADOS E PRONTOS PARA INTEGRAÇÃO

Feeds limpos, sem duplicidades e com pontuação de confiabilidade em formatos STIX/JSON se integram perfeitamente a ferramentas SIEM, SOAR e TIP, reduzindo falsos positivos e a carga de trabalho.

INTELIGÊNCIA COM IA, VALIDADA POR ESPECIALISTAS

A ESET combina análises avançadas de IA com pesquisa humana de nível mundial para entregar inteligência de ameaças precisa, contextual e acionável — não apenas dados.

INSIGHTS APROFUNDADOS E ACESSO A ANALISTAS

Relatórios exclusivos de APT e eCrime, feeds de IoC em tempo real, insights do AI Advisor e sessões diretas com analistas fortalecem uma defesa proativa e a tomada de decisões estratégicas.

Veja como o ESET Threat Intelligence funciona

Conheça o portfólio de inteligência
da ESET

Relatórios de APT

Com milhões de sensores e forte visibilidade sobre regiões difíceis de monitorar, a ESET oferece clareza sobre ameaças cibernéticas globais e emergentes.

Explorar

Relatórios de eCrime

Inteligência clara e acionável sobre operações de cibercrime com motivação financeira e ecossistemas de malware.

Explorar

Feeds

Fluxos de dados em tempo real, selecionados e desenvolvidos para automação e integração.

Explorar

Confiança global. Expertise comprovada

O ESET Threat Intelligence ajuda governos, infraestruturas críticas e empresas globais a
ampliar sua visibilidade, detectar mais rapidamente e manter a resiliência.

A ESET é membro da CISA, trabalhando ao lado de defensores cibernéticos globais para apoiar o planejamento coordenado de defesa cibernética e o compartilhamento de inteligência de ameaças em tempo real.

A ESET está entre os colaboradores mais ativos do MITRE ATT&CK e é uma das fontes mais frequentemente referenciadas.

A ESET possui a certificação “Cybersecurity Made in Europe”, da ECSO, reafirmando proteção confiável e soberana para organizações que operam em ambientes regulamentados.

A ESET colabora com a ENISA por meio de eventos conjuntos de cibersegurança e participação de especialistas, incluindo análises compartilhadas sobre ameaças à cadeia de suprimentos e insights sobre o cenário de ameaças na Europa.

“A visibilidade da ESET sobre um conjunto único de dados é o que torna a [ESET] atraente no mundo de CTI.”

Cliente do setor de defesa

Conheça a ameaça.
Supere o agente.

A pesquisa e a telemetria da ESET revelam a infraestrutura,
as táticas e as campanhas por trás das atividades globais de APT — desde espionagem patrocinada
por Estados até operações específicas por região.

Conheça os
Atores de Ameaça

SEM AFILIAÇÃO

ALINHADOS À RÚSSIA

ALINHADOS AO PAQUISTÃO

OUTROS GRUPOS DO ORIENTE MÉDIO

OUTROS GRUPOS DO LESTE EUROPEU

OUTROS GRUPOS DO LESTE ASIÁTICO

ALINHADOS À COREIA DO NORTE

ALINHADOS AO IRÃ

ALINHADOS À ÍNDIA

ALINHADOS À CHINA

ALINHADOS À ÁSIA CENTRAL

GOLDENJACKAL

Ativo desde pelo menos 2019. O conjunto de ferramentas conhecido do grupo é utilizado para espionagem. Ele tem como alvo entidades governamentais e diplomáticas na Europa, no Oriente Médio e no Sul da Ásia. O grupo é pouco conhecido e foi descrito publicamente apenas pela Kaspersky em 2023.

ATTOR

Ator de ameaça alinhado à Rússia, descoberto por pesquisadores da ESET. Ativo desde pelo menos 2008. Conhecido por sua plataforma homônima de ciberespionagem. A plataforma se destaca por sua arquitetura complexa de plugins e comunicação de rede elaborada, utilizando Tor. O grupo comprometeu usuários na Lituânia, Rússia, Eslováquia, Turquia, Emirados Árabes Unidos, Vietnã e Ucrânia. Ele tem como alvo especificamente dois tipos de usuários: falantes de russo preocupados com privacidade e organizações de alto perfil na Europa, incluindo missões diplomáticas e instituições governamentais.

BUHTRAP

Bem conhecido por ter como alvo instituições financeiras e empresas na Rússia. Desde o final de 2015, deixou de atuar apenas como um grupo puramente criminoso, que praticava cibercrime para ganho financeiro, e passou a conduzir operações de ciberespionagem no Leste Europeu e na Ásia Central. Acredita-se que o grupo seja alinhado à Rússia, pois implantou um exploit de dia zero para Windows contra um alvo na Ucrânia.

CALLISTO

Também conhecido como COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto ou BlueCharlie. Grupo de ciberespionagem ativo desde pelo menos 2015. Conhecido por ter como alvo autoridades governamentais europeias e norte-americanas, think tanks e militares. Foca em spearphishing e roubo de credenciais de webmail. No início de 2022, o grupo tentou roubar credenciais de webmail de autoridades do governo ucraniano e de pessoas que trabalham em empresas estatais da Ucrânia. As credenciais provavelmente foram usadas pelos atacantes para ler e-mails confidenciais ou roubar documentos de serviços de armazenamento em nuvem. Essas ações provavelmente fizeram parte de uma operação de ciberespionagem relacionada à atual guerra entre Rússia e Ucrânia. Em 2023, o governo do Reino Unido sancionou dois membros do Callisto e vinculou o grupo ao 18º Centro de Segurança da Informação do FSB.

GAMAREDON

Ativo desde pelo menos 2013. Responsável por diversos ataques, principalmente contra instituições governamentais ucranianas, conforme evidenciado em vários relatórios do CERT-UA e de outros órgãos oficiais da Ucrânia. O Serviço de Segurança da Ucrânia (SBU) vinculou o grupo ao 18º Centro de Segurança da Informação do FSB, operando na Crimeia ocupada. A ESET acredita que o grupo colabora com o InvisiMole. Também documentamos sua colaboração com o Turla desde o início de 2025.

GREENCUBE

Grupo de ciberespionagem alinhado à Rússia, ativo desde pelo menos 2022. Especializado em campanhas de spearphishing para roubo de credenciais e no roubo de e-mails por meio de vulnerabilidades XSS no Roundcube. Seus alvos habituais incluem organizações governamentais e relacionadas à defesa na Grécia, Polônia, Sérvia e Ucrânia.

INVISIMOLE

Grupo de ameaça alinhado à Rússia, ativo desde pelo menos 2013. Conhecido por ataques de ciberespionagem altamente direcionados contra instituições governamentais, entidades militares e missões diplomáticas. Focado principalmente em alvos na Ucrânia, com aumento de atividade desde 2021. Também atacou entidades na Armênia, Belarus, Grécia e Rússia. A ESET acredita que o grupo colabora com o Gamaredon, vinculado ao FSB.

OPERATION TEXONTO

Campanha de desinformação/PSYOPS direcionada a ucranianos e dissidentes na Rússia. Além disso, a ESET detectou campanhas de spearphishing em 2023 visando uma empresa de defesa ucraniana e uma agência da UE, com o objetivo de roubar credenciais de contas do Microsoft Office 365. A Operação Texonto atualmente não é atribuída a um ator de ameaça específico. No entanto, considerando as TTPs, os alvos e a disseminação das mensagens, há alta probabilidade de que a campanha tenha sido conduzida por um grupo alinhado aos interesses da Rússia.

ROMCOM

Também conhecido como Storm-0978, Tropical Scorpius ou UNC2596. Grupo alinhado à Rússia que conduz tanto operações oportunistas de cibercrime contra setores empresariais selecionados quanto operações direcionadas de espionagem para coleta de inteligência. Vinculado à implantação do ransomware denominado “Cuba” desde pelo menos 2022. Mais recentemente, tem atuado contra o governo ucraniano e o setor de defesa, aliados da OTAN e diversas organizações governamentais na Europa.

SAINTBEAR

Também conhecido como UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 ou TA471. Grupo de ciberespionagem que tem como alvo a Ucrânia e a Geórgia. Ativo desde pelo menos 2021. Acredita-se que seja alinhado à Rússia. Demonstra interesse especial em alvos de alto perfil, principalmente no governo ucraniano. Implanta infostealers e backdoors em máquinas comprometidas. Foi observado utilizando Cobalt Strike em 2022. Avaliado com alto grau de confiança como responsável pelo ataque WhisperGate em 2022.

SANDWORM

Grupo de ameaça alinhado à Rússia que realiza diversos ataques destrutivos. Geralmente atribuído à Unidade 74455 da Diretoria Principal de Inteligência da Rússia (GRU). Conhecido principalmente pelos ataques contra o setor de energia da Ucrânia em 2015 e 2016, que resultaram em apagões. A ESET acompanha as atividades do grupo sob vários subgrupos: o subgrupo TeleBots, focado principalmente em atacar entidades financeiras na Ucrânia; e o GreyEnergy, conhecido pelo uso intensivo de seu malware homônimo contra alvos de infraestrutura crítica, detectado em empresas de energia na Polônia, Ucrânia e Geórgia. Em 2018, o grupo lançou o ataque destrutivo Olympic Destroyer contra os organizadores dos Jogos Olímpicos de Inverno em PyeongChang. Utiliza malwares avançados como o Industroyer, capaz de se comunicar com equipamentos de empresas de energia por meio de protocolos de controle industrial. Em 2020, o Departamento de Justiça dos EUA apresentou uma acusação formal contra seis hackers russos, alegando que prepararam e conduziram diversos ataques pelo grupo.

SEDNIT

Também conhecido como APT28, Fancy Bear, Forest Blizzard ou Sofacy. Ativo desde pelo menos 2004. O Departamento de Justiça dos EUA apontou o grupo como um dos responsáveis pelo ataque ao Comitê Nacional Democrata (DNC) pouco antes das eleições presidenciais dos EUA em 2016 e o vinculou ao GRU. Também é presumido como responsável pelo ataque à rede global de televisão TV5Monde, pelo vazamento de e-mails da Agência Mundial Antidoping (WADA) e por muitos outros incidentes. O grupo possui um arsenal diversificado de ferramentas de malware, mas atualmente conduz principalmente campanhas de phishing direcionado. Ainda assim, continua sendo observado implantando implantes personalizados avançados.

THE DUKES

Também conhecido como APT29, Cozy Bear ou Nobelium. Grupo notório de ciberespionagem, ativo desde pelo menos 2008. Segundo o NCSC-UK, está associado ao SVR (Serviço de Inteligência Exterior da Federação Russa). Conhecido como um dos grupos que invadiram o Comitê Nacional Democrata dos EUA no período que antecedeu as eleições de 2016. Em 2019, a ESET revelou sua operação de espionagem em larga escala direcionada a diversos ministérios das Relações Exteriores na Europa. Conhecido pelo ataque à cadeia de suprimentos em 2020 envolvendo a SolarWinds, que levou ao comprometimento de grandes organizações, incluindo várias entidades do governo dos EUA. Responsável por diversas campanhas de spearphishing em 2021, direcionadas a diplomatas na Europa.

TURLA

Também conhecido como Snake. Grupo de ciberespionagem ativo desde pelo menos 2004, possivelmente com origem no final da década de 1990. Acredita-se que faça parte do FSB. Foca principalmente em alvos de alto perfil, como governos e entidades diplomáticas, na Europa, Ásia Central e Oriente Médio. O grupo é conhecido por ter comprometido grandes organizações, como o Departamento de Defesa dos EUA em 2008 e a empresa suíça de defesa RUAG em 2014.

UAC-0099

Grupo de ciberespionagem que tem como alvo organizações governamentais, instituições financeiras e a mídia na Ucrânia. Ativo desde pelo menos 2022. Com base em seus alvos, acredita-se com confiança moderada que o grupo esteja alinhado aos interesses russos. Normalmente implanta o LONEPAGE, um downloader em PowerShell nomeado devido à presença da palavra “page” nos links de C&C (comando e controle).

VERMIN

Também conhecido como Operation C-Major, Mythic Leopard, ProjectM, APT36 ou Earth Karkaddan. Grupo de ciberespionagem que tem como alvo o Exército Indiano e ativos relacionados na Índia, além de ativistas e a sociedade civil no Paquistão. Atribuições fracas a uma possível conexão paquistanesa foram feitas pela Trend Micro e outros. O grupo utiliza engenharia social e phishing para implantar malware. Historicamente, implantou backdoors, especialmente o CrimsonRAT, contra vítimas que utilizam Windows, com uso ocasional do backdoor para Android AndroRAT.

ZEBROCY

Também conhecido como UAC-0063 ou TAG-110. Grupo de ameaça alinhado à Rússia, conhecido por ataques de ciberespionagem contra alvos governamentais, militares e relacionados a relações exteriores na Ásia Central e na Ucrânia. Ativo desde pelo menos 2015. O toolkit de malware Zebrocy é utilizado em campanhas de ataques direcionados e contém todas as capacidades necessárias para espionagem, como keylogging, captura de tela, reconhecimento, listagem e exfiltração de arquivos, entre outras. Foi desenvolvido de forma modular, permitindo atualizações e a execução de novos módulos entregues pelos operadores.

TRANSPARENT TRIBE

Also known as Operation C-Major, Mythic Leopard, ProjectM, APT36, or Earth Karkaddan. Cyber espionage group targeting the Indian Army and related assets in India, as well as activists and civil society in Pakistan. Weak attributions to a Pakistani connection have been made by Trend Micro and others. The group uses social engineering and phishing to deploy malware. Historically, it has deployed backdoors, especially CrimsonRAT, against victims running Windows, with occasional use of the Android backdoor AndroRAT.

ARID VIPER

Também conhecido como APT-C-23, Desert Falcons ou Two-tailed Scorpion. Grupo de ciberespionagem conhecido por ter como alvo países do Oriente Médio. Ativo desde pelo menos 2013. Tem como principais vítimas palestinos e israelenses, incluindo forças de segurança, militares e governo, além de ativistas e estudantes. Implanta um vasto arsenal de malware para plataformas Android, iOS e Windows, incluindo diversos backdoors personalizados. Acredita-se que o grupo seja afiliado ao Hamas e opere a partir da Faixa de Gaza.

BAHAMUT

Grupo APT especializado em ciberespionagem. Acredita-se que seu objetivo seja roubar informações sensíveis. Também é descrito como um grupo mercenário que oferece serviços de invasão sob encomenda para uma ampla gama de clientes. Normalmente tem como alvo entidades e indivíduos no Oriente Médio e no Sul da Ásia, utilizando mensagens de spearphishing e aplicativos falsos como vetor inicial de ataque.

BIBIGUN

Grupo hacktivista apoiado pelo Hamas. Surgiu pela primeira vez durante a Guerra Israel-Hamas de 2023. O grupo é conhecido por implantar wipers contra alvos israelenses, utilizando binários para Windows e Linux. O wiper inicial do grupo foi descoberto pela Security Joes em 2023, e outro foi descoberto pela ESET e reportado no mesmo ano.

BLADEHAWK

Grupo de ameaça de ciberespionagem do Oriente Médio, descoberto em 2020. Historicamente teve como alvo o grupo étnico curdo do norte do Iraque. Utilizou malware para Windows e Android contra suas vítimas. Em 2021, a ESET descreveu uma campanha de espionagem do grupo, distribuída por meio de conteúdo pró-curdo no Facebook, visando usuários móveis com backdoors para Android.

POLONIUM

Grupo de ciberespionagem documentado pela primeira vez em 2022. Acredita-se que esteja baseado no Líbano e que tenha como principal alvo organizações israelenses. Seu conjunto de ferramentas consiste em sete backdoors personalizados, incluindo um que utiliza indevidamente os serviços em nuvem OneDrive e Dropbox para C&C (comando e controle), além de outros que utilizam os serviços de armazenamento Dropbox e Mega. O grupo também utilizou diversos módulos personalizados para espionar seus alvos.

STEALTH FALCON

Grupo de ameaça associado aos Emirados Árabes Unidos. Ativo desde 2012. Conhecido por ter como alvo ativistas políticos, jornalistas e dissidentes no Oriente Médio. Foi descoberto e descrito pela primeira vez pelo Citizen Lab em sua análise de ataques com spyware publicada em 2016. Em 2019, a Anistia Internacional concluiu que Stealth Falcon e Project Raven, uma iniciativa que supostamente empregava ex-operadores da NSA, são o mesmo grupo.

STRONGPITY

Também conhecido como PROMETHIUM ou APT-C-41. Grupo de ciberespionagem ativo desde pelo menos 2012. Tem como principal alvo entidades localizadas na Turquia, mas já atuou globalmente. Historicamente, visou a plataforma Windows com seu malware homônimo. No entanto, no final de 2022, duas campanhas que distribuíam aplicativos Android trojanizados também foram atribuídas ao grupo.

ASYLUM AMBUSCADE

Grupo de cibercrime que também realiza operações de ciberespionagem paralelamente. Foi exposto publicamente pela primeira vez em março de 2022, após ter como alvo funcionários governamentais europeus envolvidos no apoio a refugiados ucranianos, poucas semanas após o início da guerra entre Rússia e Ucrânia.

CLOUD ATLAS

Também conhecido como Inception Framework. Grupo de ciberespionagem ativo desde pelo menos 2014. Acredita-se que seja uma dissidência do Red October, um grupo mais antigo de ciberespionagem que possivelmente foi resultado de uma colaboração entre dois países, segundo o blog de segurança Chronicle (atualmente parte do Google Security Operations). O grupo tem como principais alvos governos e empresas de setores estratégicos, como defesa, na Rússia, Europa e Cáucaso.

FROSTY NEIGHBOR

Também conhecido como UNC1151, DEV-0257, PUSHCHA, Storm-0257 ou TA445. Ativo desde pelo menos 2016. Supostamente opera a partir de Belarus. A maioria das operações do grupo tem como alvo países vizinhos de Belarus; uma pequena parte foi observada em outros países europeus. Conduz campanhas de influência e desinformação, mas também comprometeu diversas entidades governamentais e do setor privado, com foco na Ucrânia, Polônia e Lituânia.

MOUSTACHED BOUNCER

Grupo de ciberespionagem revelado pela ESET. Ativo desde pelo menos 2014. Tem como principal alvo embaixadas estrangeiras em Belarus. Desde 2020, o grupo provavelmente conseguiu realizar ataques adversary-in-the-middle no nível de provedores de internet (ISP) dentro de Belarus, a fim de comprometer seus alvos.

WINTER VIVERN

Grupo de ciberespionagem descoberto em 2021. Acredita-se que esteja ativo desde pelo menos 2020. Tem como alvo governos na Europa e na Ásia Central. O grupo utiliza documentos maliciosos, sites de phishing e um backdoor personalizado em PowerShell para comprometer seus alvos. Desde 2022, também passou a visar especificamente servidores de e-mail Zimbra e Roundcube. Em 2023, a ESET observou o grupo explorando antigas vulnerabilidades XSS no Roundcube.

XDSPY

Grupo de ciberespionagem ativo desde pelo menos 2011. Conhecido por ter como alvo entidades governamentais, como forças militares, ministérios das Relações Exteriores e empresas estatais no Leste Europeu (incluindo a Rússia) e nos Bálcãs. O grupo utiliza e-mails de spearphishing para comprometer seus alvos. Em 2020, explorou uma vulnerabilidade no Internet Explorer quando não havia prova de conceito e quase nenhuma informação pública disponível. É provável que o grupo tenha comprado esse exploit de um intermediário.

APT-C-60

Também conhecido como False Hunter ou APT-Q-12. Grupo de ciberespionagem alinhado à Coreia do Sul, ativo desde pelo menos 2018. Foca principalmente em alvos de alto perfil, como governos, setores de comércio e think tanks. O grupo usa eventos potencialmente interessantes ou seus operadores se passam por estudantes pedindo opiniões sobre temas de pesquisa relevantes para atrair os alvos. Opera downloaders personalizados e um backdoor modular entregue via e-mails de spearphishing. Suas operações se caracterizam pela implantação de múltiplas etapas de downloader e por um backdoor personalizado capaz de carregar plugins.

ANDARIEL

Considerado um subgrupo do Lazarus (vinculado à Coreia do Norte). Suas atividades remontam a 2009. O grupo concentra suas operações principalmente em alvos na Coreia do Sul, incluindo entidades governamentais e militares, além de empresas como bancos, corretoras de criptomoedas e corretoras online. Seus objetivos se concentram em ciberespionagem ou ganho financeiro. Entre os incidentes divulgados publicamente estão os ataques contra a Seoul International Aerospace & Defense Exhibition (ADEX) em 2015 e a usina nuclear de Kudankulam (KKNPP), na Índia, em 2019.

DECEPTIVE DEVELOPMENT

Grupo alinhado à Coreia do Norte, documentado pela primeira vez em 2023. Seus operadores estão focados principalmente em ganho financeiro, tendo como alvo desenvolvedores de software em Windows, Linux e macOS para roubar criptomoedas, com possível objetivo secundário de conduzir ciberespionagem. O grupo usa perfis falsos de recrutadores nas redes sociais. Ele entra em contato com desenvolvedores — muitas vezes envolvidos em projetos de criptomoedas — e fornece bases de código trojanizadas que implantam backdoors como parte de um falso processo de entrevista de emprego.

KIMSUCKY

Grupo de ciberespionagem ligado à Coreia do Norte. Ativo desde pelo menos 2013. Inicialmente, teve como alvo entidades relacionadas à Coreia do Sul; porém, nos últimos anos, expandiu suas atividades para incluir os Estados Unidos e países europeus. Tem como alvo entidades governamentais, institutos de pesquisa, empresas de criptomoedas e empresas privadas, com o objetivo principal de ciberespionagem e coleta de inteligência.

KONNI

Grupo de ator de ameaça alinhado à Coreia do Norte. Relatado pela primeira vez por analistas em 2017. Tem como alvo principalmente instituições políticas russas e sul-coreanas. Frequentemente utiliza ataques de spearphishing para obter acesso inicial e depende de uma ferramenta personalizada de administração remota (RAT) para persistência e acesso contínuo à máquina da vítima. Embora alguns pesquisadores de segurança coloquem o grupo sob o guarda-chuva do ScarCruft (APT37), Lazarus ou Kimsuky, a ESET não consegue corroborar essas afirmações.

LAZARUS

Também conhecido como HIDDEN COBRA. Grupo APT ligado à Coreia do Norte. Ativo desde pelo menos 2009. Responsável por incidentes de alto perfil, como o ataque à Sony Pictures Entertainment e roubos cibernéticos que custaram dezenas de milhões de dólares em 2016, o surto do WannaCryptor (também conhecido como WannaCry) em 2017 e um longo histórico de ataques disruptivos contra infraestrutura pública e crítica na Coreia do Sul desde pelo menos 2011. A diversidade, a quantidade e a excentricidade na implementação das campanhas definem esse grupo, assim como seu envolvimento nos três pilares das atividades cibercriminosas: ciberespionagem, sabotagem cibernética e busca por ganho financeiro.

OPERATION IN(TER)CEPTION

Nome usado pela ESET para uma série de ataques atribuídos ao grupo. Esses ataques ocorrem desde pelo menos 2019, tendo como alvo empresas dos setores aeroespacial, militar e de defesa. A operação se destaca por usar spearphishing via LinkedIn e empregar técnicas eficazes para permanecer sob o radar. Como o nome In(ter)ception sugere, seu objetivo principal parece ser a espionagem corporativa.

SCARCRUFT

Também conhecido como APT37 ou Reaper. Suspeito de ser um grupo de espionagem norte-coreano. Opera desde pelo menos 2012. Foca principalmente na Coreia do Sul, mas também tem como alvo outros países asiáticos. O grupo parece ter interesse sobretudo em organizações governamentais e militares e em empresas de diversos setores ligados aos interesses da Coreia do Norte. Seu conjunto de ferramentas inclui uma ampla variedade de downloaders, ferramentas de exfiltração e backdoors usados para espionagem.

AGRIUS

Grupo de sabotagem cibernética com suspeita de afiliação ao Irã. Ativo desde 2020. Tem como alvo vítimas em Israel e nos Emirados Árabes Unidos. Inicialmente, o grupo implantou um wiper disfarçado de ransomware, mas depois o modificou para se tornar um ransomware completo. Explora vulnerabilidades conhecidas em aplicações expostas à internet para instalar webshells e, em seguida, realiza reconhecimento interno antes de se movimentar lateralmente.

BALLISTIC BOBCAT

Anteriormente rastreado como APT35 e APT42 (também conhecido como Charming Kitten, TA453 ou PHOSPHORUS). Suspeito ator estatal iraniano que tem como alvo organizações de educação, governo e saúde, além de ativistas de direitos humanos e jornalistas. Mais ativo em Israel, no Oriente Médio e nos Estados Unidos. Durante a pandemia, teve como alvo organizações relacionadas à COVID-19, incluindo a Organização Mundial da Saúde e a Gilead Pharmaceuticals, bem como profissionais de pesquisa médica.

BLADEDFELINE

Grupo de ciberespionagem alinhado ao Irã. Ativo desde pelo menos 2017. Descoberto pela primeira vez em 2023, quando tinha como alvo autoridades diplomáticas curdas com seu backdoor. Em 2024, continuou visando esses oficiais curdos, além de autoridades do governo do Iraque e um provedor regional de telecomunicações no Uzbequistão. Avaliado com alto grau de confiança como um subgrupo do OilRig — também conhecido como APT34 ou Hazel Sandstorm (anteriormente EUROPIUM) — que compartilha características com BladeHawk e FreshFeline.

CYBERTOUFAN

Grupo de ator de ameaça conhecido por seus ataques cibernéticos contra organizações israelenses. Acredita-se que esteja baseado na Turquia, mas realiza ataques alinhados aos objetivos do governo iraniano. Há uma conexão entre o grupo e o Frankenstein, um grupo que historicamente atuou para apoiar os interesses dos Territórios Palestinos e também está alinhado aos interesses do Irã. O grupo esteve envolvido em operações de hack-and-leak, violações de dados e destruição de dados.

DOMESTIC KITTEN

Campanha conduzida pelo grupo APT-C-50. Nessa campanha, o grupo realiza operações de vigilância móvel contra cidadãos iranianos desde 2016, conforme relatado pela Check Point em 2018. Em 2019, a Trend Micro identificou uma campanha maliciosa, possivelmente conectada ao Domestic Kitten, direcionada ao Oriente Médio, nomeando-a como Bouncing Golf. Pouco depois, no mesmo ano, a Qianxin relatou outra campanha do Domestic Kitten novamente direcionada ao Irã. Em 2020, a 360 Core Security divulgou atividades de vigilância do Domestic Kitten contra grupos antigoverno no Oriente Médio. O último relatório publicamente disponível é de 2021, da Check Point.

FRESHFELINE

Também conhecido como MosesStaff. Grupo iraniano de ciberespionagem que tem como alvo diversos setores em Israel, Itália, Índia, Alemanha, Chile, Turquia, Emirados Árabes Unidos e Estados Unidos. Ativo desde pelo menos 2021, quando implantou um backdoor até então desconhecido contra duas empresas em Israel. Em 2021, também implantou ransomware contra vítimas em Israel. O grupo utiliza como principal vetor de entrada servidores Microsoft Exchange expostos à internet com vulnerabilidades conhecidas e não corrigidas, seguido por movimentação lateral e implantação de seu próprio backdoor personalizado.

GALAXY GATO

Também conhecido como C5, Smoke Sandstorm, TA455 ou UNC1549. Grupo de ciberespionagem alinhado aos interesses do governo iraniano. Ativo desde pelo menos 2022. O grupo tem como alvo organizações no Oriente Médio (incluindo, entre outras, Israel, Omã e Arábia Saudita) e, nos Estados Unidos, nos setores aeroespacial, de aviação e de defesa. Seus métodos se sobrepõem aos do Tortoiseshell, grupo ligado à organização de Guerra Eletrônica e Defesa Cibernética (EWCD) do Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), e ao APT33, também associado ao IRGC-EWCD. Entre as táticas típicas estão spearphishing com domínios de typosquatting, password spraying e desenvolvimento e implantação de backdoors personalizados.

LYCEUM

Também conhecido como HEXANE ou Storm-0133. Subgrupo do OilRig, ativo desde pelo menos 2017. O grupo tem como alvo organizações no Oriente Médio, com foco especial em organizações israelenses, incluindo entidades governamentais nacionais e locais e organizações do setor de saúde. Entre as principais ferramentas atribuídas ao grupo estão diversos backdoors e uma variedade de downloaders que utilizam serviços legítimos de nuvem para comunicação de C&C (comando e controle).

MUDDYWATER

Grupo de ciberespionagem ligado ao Ministério de Inteligência e Segurança do Irã (MOIS). Ativo desde pelo menos 2017. O grupo tem como alvo vítimas no Oriente Médio e na América do Norte, com foco em telecomunicações, organizações governamentais e nos setores de petróleo e energia. Seus operadores utilizam com frequência backdoors baseados em scripts, como PowerShell. O método preferido de acesso inicial é o spearphishing por e-mail com anexos — frequentemente PDFs com links direcionando para repositórios de armazenamento de arquivos como Egnyte e OneHub.

OILRIG

Também conhecido como APT34 ou Hazel Sandstorm (anteriormente EUROPIUM). Grupo de ciberespionagem amplamente considerado baseado no Irã. Ativo desde pelo menos 2014. O grupo tem como alvo governos do Oriente Médio e diversos setores empresariais, incluindo as indústrias química, de energia, financeira e de telecomunicações. Entre suas campanhas notáveis estão a DNSpionage (2018 e 2019), que teve como alvo vítimas no Líbano e nos Emirados Árabes Unidos; a HardPass (2019–2020), utilizando o LinkedIn para atingir vítimas do Oriente Médio nos setores de energia e governo; o ataque de 2020 contra uma organização de telecomunicações no Oriente Médio; e os ataques de 2023 contra organizações na região. Além desses incidentes, a ESET acompanha outras atividades relacionadas ao OilRig em subgrupos separados: Lyceum, ShroudedSnooper e BladedFeline.

SHROUDED SNOOPER

Também conhecido como Scarred Manticore ou Storm-0861. Subgrupo do OilRig, ativo desde pelo menos 2019. Identificado pela primeira vez pela Microsoft nos ataques destrutivos contra o governo da Albânia em 2021–2022, quando forneceu acesso inicial à rede para outros subgrupos do OilRig ao explorar aplicações expostas à internet. Em 2023, o grupo realizou ataques contra organizações governamentais, militares e empresas de telecomunicações no Oriente Médio.

TORTOISESHELL

Também conhecido como Crimson Sandstorm, Imperial Kitten, TA456 ou Yellow Liderc. Grupo de ciberespionagem ativo desde pelo menos 2019. Utiliza engenharia social e e-mails de phishing para obter acesso inicial e depende fortemente de macros do Microsoft Office e implantes em estágio inicial, usados para reconhecimento de sistemas e redes. Seus alvos geralmente incluem os setores marítimo, de navegação e logística nos Estados Unidos, Europa e Oriente Médio.

WILDPRESSURE

Grupo de ciberespionagem que tem como alvo vítimas no Oriente Médio nos setores de petróleo, gás e engenharia. Ativo desde pelo menos 2019, quando seu primeiro backdoor foi descoberto. Em 2021, o grupo foi observado implantando ferramentas adicionais.

DONOT TEAM

Também conhecido como APT-C-35 ou SectorE02. Ator de ameaça alinhado à Índia, ativo desde pelo menos 2016. Um relatório de 2021 da Anistia Internacional vinculou o malware do grupo a uma empresa indiana de cibersegurança que pode estar vendendo o spyware ou oferecendo serviços de hackers sob encomenda para governos na região. O grupo tem como alvo organizações no Sul da Ásia utilizando malware para Windows e Android, com a maioria das vítimas localizada no Paquistão, Bangladesh, Sri Lanka, Nepal e China. Suas campanhas são focadas em espionagem, utilizando sua estrutura de malware característica, cujo principal objetivo é coletar e exfiltrar dados.

BACKDOOR DIPLOMACY

Nome usado pela ESET para um subgrupo do APT15 que tem como principais alvos organizações governamentais e empresas de telecomunicações na África e no Oriente Médio. Ativo desde pelo menos 2017. Em 2022, a Bitdefender documentou as atividades do grupo contra o setor de telecomunicações no Oriente Médio. Em 2023, a Unit 42 compartilhou sua análise do comprometimento de redes governamentais no Irã pelo grupo. Em 2021, a ESET demonstrou vínculos entre o grupo e o que a Kaspersky rastreia como CloudComputating, um grupo ativo desde pelo menos 2012. A ESET também observou múltiplas conexões com outros subgrupos do APT15, como Mirage, Ke3chang e DigitalRecyclers.

BLACKWOOD

Grupo APT alinhado à China que conduz operações de ciberespionagem contra indivíduos e empresas chineses e japoneses. Ativo desde pelo menos 2018. Em 2020, pesquisadores da ESET descobriram o grupo após detectar arquivos suspeitos em um sistema na China. Os operadores do grupo têm capacidade de realizar ataques adversary-in-the-middle, permitindo entregar seu implante por meio de atualizações de softwares legítimos e ocultar a localização de seus servidores de C&C (comando e controle) ao interceptar o tráfego gerado pelo implante.

BRONZE SILHOUETTE

Também conhecido como Volt Typhoon ou Vanguard Panda. Grupo de ciberespionagem alinhado à China, ativo desde pelo menos 2022. Tem como principais alvos o setor de defesa e organizações críticas nos Estados Unidos. Tornou-se público pela primeira vez em 2023, após ser flagrado atacando infraestrutura crítica em Guam, um território insular dos EUA no Pacífico Ocidental que abriga várias bases militares americanas.

CERANA KEEPER

Grupo de ciberespionagem alinhado à China, ativo desde pelo menos o início de 2022. Tem como principal alvo entidades governamentais no Sudeste Asiático. O grupo é conhecido por seus componentes documentados, TONEINS, TONESHELL e PUBLOAD, pelo uso de ferramentas publicamente disponíveis e por técnicas de exfiltração que utilizam serviços de nuvem e compartilhamento de arquivos. Parte de suas atividades foi atribuída ao Mustang Panda (também conhecido como Earth Preta ou Stately Taurus). No entanto, a ESET atribui essas atividades a um grupo separado.

CLOUDSORCERER

Ator de ameaça relatado publicamente pela primeira vez em 2024; no entanto, a telemetria da ESET contém indícios de atividade do grupo desde o início de 2022. O grupo conduz operações de ciberespionagem contra organizações governamentais e o setor de tecnologia na Rússia, além de think tanks nos Estados Unidos. Suas operações são caracterizadas por e-mails de spearphishing com um arquivo compactado anexado. O grupo utiliza a técnica de side-loading Trident para implantar seu principal backdoor e posteriormente abusar de serviços em nuvem como Yandex, OneDrive ou Dropbox para receber comandos.

DIGITAL RECYCLERS

Ator de ameaça descoberto pela ESET. Ativo desde pelo menos 2018. O grupo realiza regularmente operações de espionagem contra organizações governamentais na Europa. Acredita-se, com baixo grau de confiança, que o grupo esteja ligado ao Ke3chang e ao BackdoorDiplomacy.

EVASIVE PANDA

Também conhecido como BRONZE HIGHLAND, Daggerfly e StormBamboo. Grupo APT alinhado à China, ativo desde pelo menos 2012. Seu objetivo é realizar ciberespionagem contra países e organizações que se opõem aos interesses da China por meio de movimentos de independência, como os da diáspora tibetana, instituições religiosas e acadêmicas em Taiwan e Hong Kong, e apoiadores da democracia na China. A ESET observou, em algumas ocasiões, operações que se estenderam a países como Vietnã, Myanmar e Coreia do Sul. O grupo acumulou uma ampla variedade de métodos de ataque, como ataques à cadeia de suprimentos, watering-hole e sequestro de DNS. Também demonstra forte capacidade de desenvolvimento de malware, evidenciada por sua extensa coleção de backdoors multiplataforma para Windows, macOS e Android.

FAMOUSSPARROW

Grupo de ciberespionagem alinhado à China. Acredita-se que esteja ativo desde pelo menos 2019. Inicialmente conhecido por ter como alvo hotéis ao redor do mundo, também atacou governos, organizações internacionais, associações comerciais, empresas de engenharia e escritórios de advocacia. É o único usuário conhecido do backdoor SparrowDoor. O grupo está ligado ao Earth Estries, mas a natureza exata dessa relação não é totalmente conhecida. Também foi publicamente associado ao Salt Typhoon; no entanto, devido à ausência de indicadores técnicos, a ESET os rastreia como entidades separadas.

FISHMONGER

Também conhecido como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. Grupo de ciberespionagem que se acredita ser operado pelo contratado chinês I-SOON e estar sob o guarda-chuva do Winnti Group. A ESET publicou uma análise do grupo no início de 2020, quando ele teve como alvo intensivo universidades em Hong Kong durante os protestos cívicos. Descrevemos uma campanha global direcionada a governos, ONGs e think tanks na Ásia, Europa e Estados Unidos. O grupo também é conhecido por conduzir ataques watering-hole.

FLAX TYPHOON

Também conhecido como ETHEREAL PANDA. Grupo APT alinhado à China, ativo desde pelo menos 2021. Tem como principal alvo organizações em Taiwan. Utiliza o webshell China Chopper, a ferramenta de escalonamento de privilégios Juicy Potato e suas variações, além do Mimikatz. Faz uso extensivo de living-off-the-land binaries (LOLBins) para evadir a detecção.

FONTGOBIN

Grupo APT alinhado à China. Pesquisadores da ESET escolheram esse nome devido ao uso contínuo (desde pelo menos 2022) de arquivos de fontes falsos no diretório C:\Windows\Fonts como cargas maliciosas encobertas para um conjunto específico de loaders. Tem como principais alvos entidades governamentais no Quirguistão, Uzbequistão, Cazaquistão e Paquistão.

FONTFUNKYGORILLAS

Grupo APT alinhado à China que tem como alvo diversos setores no Leste Europeu e na Ásia Central. O grupo utiliza o backdoor Zmm e o RAT Trochilus. O backdoor Zmm é desenvolvido pelo grupo StartupNation, que também desenvolve o RAT Mikroceen utilizado pelo grupo APT SixLittleMonkeys.

GALLIUM

Também conhecido como Soft Cell, Alloy Taurus, Red Moros ou Othorene. Grupo APT alinhado à China que tem como alvo provedores de telecomunicações e organizações governamentais em todo o mundo. Também é conhecido por ter atacado o setor acadêmico. Seu conjunto de ferramentas inclui um backdoor personalizado em C++, um webshell IIS baseado no China Chopper, diversos ladrões de credenciais baseados no Mimikatz e várias ferramentas prontas para uso.

GELSEMIUM

Grupo de ciberespionagem alinhado à China. Ativo desde pelo menos 2014. Naquele ano, a G DATA publicou um white paper sobre a Operação TooHash, uma campanha cujas vítimas pareciam estar localizadas no Leste Asiático com base nos documentos utilizados. Os operadores usaram spearphishing com anexos explorando uma vulnerabilidade antiga do Microsoft Office, além de três componentes, dois dos quais assinados com um certificado roubado. Em 2016, a Verint Systems apresentou na HITCON, onde abordou uma nova atividade da operação TooHash mencionada dois anos antes, ainda utilizando o mesmo exploit contra o Microsoft Office.

GOPHERWHISPER

Ativo desde pelo menos 2023. Grupo de ciberespionagem alinhado à China que se concentra na criação de backdoors e utiliza serviços legítimos como Discord, Slack e file.io para comunicação de C&C (comando e controle) e exfiltração. Até 2025, a telemetria da ESET mostra que o grupo tem como alvo instituições governamentais na Mongólia.

GREF

Grupo de ciberespionagem alinhado à China, ativo desde pelo menos 2009. Nomeado pelo uso abundante de referências ao Google em seu código e notável por utilizar comprometimentos do tipo drive-by. Seu arsenal inclui malware para Windows, OS X e Android. Documentado pela primeira vez em 2014, quando utilizou um backdoor para OS X para atingir empresas de eletrônicos e engenharia em todo o mundo, além de ONGs com interesses na Ásia. Em 2020, a Lookout descobriu quatro backdoors para Android usados para atingir uigures, tibetanos e populações muçulmanas ao redor do mundo, atribuídos ao grupo com base em sobreposição de infraestrutura de rede. Embora diversas fontes afirmem que o grupo esteja associado ao APT15, pesquisadores da ESET não possuem evidências suficientes para sustentar essa conexão e continuam a rastreá-lo como um grupo separado.

KE3CHANG

Ke3chang (pronuncia-se ke-tri-chang) é o nome usado pela ESET para um subgrupo do APT15 que tem como principais alvos organizações governamentais e missões diplomáticas na Europa e na América Latina. O nome se baseia em um relatório da Mandiant de 2013 sobre a Operação Ke3chang, e é utilizado para atividades subsequentes do APT15 relatadas por várias organizações entre 2016 e 2021. As operações do grupo se caracterizam pela implantação apenas de backdoors simples de primeira etapa, com capacidades limitadas, e pela posterior dependência de operadores humanos para executar comandos adicionais manualmente, aproveitando utilitários nativos e publicamente disponíveis para reconhecimento.

KMA-VPN

Rede de Operational Relay Box (ORB) operando em servidores privados virtuais (VPS) distribuídos globalmente. Ativa desde pelo menos 2023, essa infraestrutura vem sendo utilizada por diversos agentes de ameaça alinhados à China, incluindo DigitalRecyclers e BackdoorDiplomacy, para anonimizar o tráfego de rede e ocultar sua real origem.

LONGNOSEDGOBLIN

Grupo APT alinhado à China descoberto pela ESET em 2024. Tem como alvo entidades governamentais na Malásia com o objetivo de conduzir ciberespionagem. O grupo implanta malware personalizado exclusivo para coletar o histórico de navegação das vítimas e decidir onde implantar um backdoor que utiliza o serviço em nuvem Microsoft OneDrive. Além disso, utiliza a Diretiva de Grupo do Active Directory para implantar seu malware e realizar movimentação lateral. Há uma pequena sobreposição com o grupo APT ToddyCat, com base em caminhos de arquivos e no uso do SoftEther VPN. No entanto, os conjuntos de ferramentas são diferentes.

LOTUS BLOSSOM

Também conhecido como Lotus Panda e Billbug. Grupo APT alinhado à China que tem como alvo organizações governamentais e marítimas no Sudeste Asiático. Descoberto pela primeira vez em 2015. Utiliza o backdoor Elsentric e diversas ferramentas adicionais, como Impacket e o proxy Venom.

LUCKYMOUSE

Também conhecido como APT27 ou Emissary Panda. Grupo de ciberespionagem que tem como principais alvos governos, empresas de telecomunicações e organizações internacionais. Ativo na Ásia Central, Oriente Médio, Mongólia, Hong Kong e América do Norte. Uma de suas técnicas distintivas é o uso de DLL side-loading para carregar seus backdoors.

MIRRORFACE

Também conhecido como Earth Kasha. Ativo desde pelo menos 2019. Ator de ameaça alinhado à China que tem como principal alvo empresas e organizações no Japão, bem como entidades em outros países com vínculos com o Japão. A ESET o considera um subgrupo sob o guarda-chuva do APT10. O grupo foi relatado como tendo como alvo empresas de mídia, empresas relacionadas à defesa, think tanks, organizações diplomáticas, instituições financeiras, instituições acadêmicas e fabricantes. Seu foco é a espionagem e a exfiltração de arquivos de interesse.

MUSTANG PANDA

Também conhecido como TA416, RedDelta, PKPLUG, Earth Preta ou Stately Taurus. Grupo de ciberespionagem que se acredita estar baseado na China. Tem como principais alvos entidades governamentais e ONGs. Embora seja conhecido pela campanha de 2020 que teve como alvo o Vaticano, a maioria de suas vítimas está no Leste e no Sudeste Asiático, com foco na Mongólia. Em suas campanhas, o grupo frequentemente usa loaders personalizados para malware compartilhado.

PERPLEXED GOBLIN

Também conhecido como APT31. Grupo de ciberespionagem alinhado à China que tem como principal alvo entidades governamentais na Europa. Utiliza um implante personalizado que pode ser implantado de várias formas, incluindo uma cadeia de DLL side-loading e uma cadeia de bring-your-own-vulnerable-software (BYOVS). Vale notar que o grupo possui um arsenal mais amplo de ferramentas personalizadas, algumas das quais ainda não vimos em atividade no mundo real.

PLUSHDAEMON

Ator de ameaça alinhado à China, ativo desde pelo menos 2018. O grupo conduz operações de espionagem contra indivíduos e entidades na China, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia. Utiliza um backdoor personalizado, e sua principal técnica de acesso inicial é sequestrar atualizações legítimas ao redirecionar o tráfego para servidores controlados pelos atacantes por meio de um implante de rede. Além disso, o grupo obtém acesso explorando vulnerabilidades em servidores web e realizou um ataque à cadeia de suprimentos em 2023.

RED FOXTROT

Grupo APT ativo desde pelo menos 2014. Tem como alvo os setores governamental, de defesa e de telecomunicações na Ásia Central, Índia e Paquistão. Acredita-se que faça parte da Unidade 69010 do Exército de Libertação Popular (PLA). É um dos grupos com acesso ao backdoor ShadowPad.

SINISTEREYE

Grupo APT alinhado à China, ativo desde pelo menos 2008. Conduz operações de ciberespionagem e vigilância na China, tendo como alvo indivíduos nacionais e estrangeiros, empresas, instituições educacionais e entidades governamentais. As atividades do grupo são um subconjunto de operações atribuídas ao APT LuoYu (também conhecido como CASCADE PANDA). Ele utiliza adversary-in-the-middle, com acesso ao backbone de internet da China, para sequestrar atualizações de software e entregar seus implantes para Windows e Android.

SNEAKY DRAGON

Um grupo APT que tem como alvo entidades no Leste e Sudeste Asiático. Ativo desde pelo menos 2020. A ESET acredita que esteja baseado na China. A ferramenta característica do grupo é um malware modular desenvolvido com ênfase em fornecer acesso remoto furtivo.

SPARKLING GOBLIN

Um grupo APT cujas táticas, técnicas e procedimentos (TTPs) se sobrepõem parcialmente aos do APT41 (também conhecido como BARIUM). Embora o grupo atue principalmente no Leste e Sudeste Asiático, também tem como alvo organizações de diversos setores em todo o mundo, com foco especial no meio acadêmico. É também um dos grupos com acesso ao backdoor ShadowPad.

SPECCOM

Também conhecido como IndigoZebra ou SMAC. Ativo desde pelo menos 2013. De acordo com relatos, esse grupo APT alinhado à China é responsável por ataques contra entidades políticas em alguns países da Ásia Central, especificamente Afeganistão, Uzbequistão e Quirguistão. Pesquisadores da ESET também observaram ataques do grupo na Guiné Equatorial, Rússia, Tajiquistão e Israel.

STARTUP NATION

Grupo responsável por desenvolver e manter malware para vários grupos APT alinhados à China. Ativo desde pelo menos 2016. A ESET acredita que o grupo fornece seu software para os grupos alinhados à China que acompanhamos como SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 e TA410. Desenvolveu o conjunto de ferramentas HDMan, o RAT Mikroceen (também conhecido como BYEBY), o backdoor Zmm e o backdoor BeRAT.

STEPPE DRIVER

Grupo de espionagem alinhado à China que opera a partir da Região Autônoma da Mongólia Interior, na República Popular da China. A ESET descobriu o grupo em 2024, quando ele teve como alvo uma concessionária de veículos na França. Também atacou entidades governamentais na Mongólia e um escritório de advocacia na América do Sul. Utiliza uma ampla variedade de ferramentas, a maioria compartilhada entre grupos alinhados à China. O grupo também é cliente da StartupNation.

TA410

Um grupo guarda-chuva de ciberespionagem conhecido principalmente por atacar organizações sediadas nos EUA no setor de serviços públicos e organizações diplomáticas no Oriente Médio e na África. Ativo desde pelo menos 2018. Revelado publicamente pela primeira vez em 2019. É composto por três subgrupos que a ESET denominou JollyFrog, LookingFrog e FlowingFrog. Em 2020, a família de malware recém-descoberta e altamente complexa FlowCloud também foi atribuída ao TA410.

TA428

Também conhecido como ThunderCats. Grupo APT ativo desde pelo menos 2014. Tem como alvo governos no Leste Asiático, com foco especial na Mongólia e na Rússia. A ESET acredita que opere a partir de Pequim, na República Popular da China. O grupo utiliza backdoors personalizados e ferramentas compartilhadas. É um dos grupos com acesso ao backdoor ShadowPad.

THE WIZARDS

Grupo APT alinhado à China, ativo desde pelo menos 2021. Conduz operações de ciberespionagem contra indivíduos, empresas de jogos de azar e entidades desconhecidas nas Filipinas, nos Emirados Árabes Unidos e na China. Pesquisadores da ESET descobriram esse agente de ameaça quando uma atualização maliciosa foi baixada por um aplicativo chinês popular conhecido como Sogou Pinyin. O grupo tem capacidade de realizar ataques do tipo adversary-in-the-middle, o que lhe permite redirecionar o tráfego e distribuir seu malware personalizado por meio de atualizações.

TICK

Também conhecido como BRONZE BUTLER ou REDBALDKNIGHT. Grupo APT suspeito de estar ativo desde pelo menos 2006. Tem como alvo principalmente países da região APAC. Este grupo chama a atenção por suas operações de ciberespionagem, que se concentram no roubo de informações confidenciais e propriedade intelectual.

TRAPPED GOBLIN

Um grupo alinhado à China que usa malware modular personalizado, que a ESET batizou de GrapHop.

UNSOLICITED BOOKER

Agente de ameaça alinhado à China em atividade desde pelo menos 2023. O grupo conduz operações de ciberespionagem no Oriente Médio. Ele apresenta sobreposição com o Space Pirates e com o agente de ameaça que utiliza o backdoor Zardoor. Tem acesso a diversos implantes e também é cliente do StartupNation.

WEBSIIC

Também conhecido como ToddyCat. Descoberto por pesquisadores da ESET em 2021, durante uma investigação de ataques contra servidores Microsoft Exchange, por meio do abuso da vulnerabilidade ProxyLogon. Com base nisso, é muito provável que seja um grupo APT alinhado à China. Segundo a Kaspersky, o grupo está ativo desde pelo menos 2020. Entre seus alvos anteriores estão organizações no Nepal, Vietnã, Japão, Bangladesh e Ucrânia. Os ataques do grupo geralmente combinam o uso de malware proprietário distinto e ferramentas de hacking disponíveis publicamente.

WEBWORM

Grupo de ciberespionagem relatado pela primeira vez pela Symantec em 2022. Ele é ligado a outros grupos APT alinhados à China, como SixMonkeys e FishMonger. O grupo utiliza famílias de malware bem conhecidas. Também é cliente do StartupNation.

WINNTI GROUP

Ativo desde pelo menos 2012. Conhecido por ter base na cidade chinesa de Chengdu, província de Sichuan. Responsável por ataques de cadeia de suprimentos de grande repercussão contra os setores de videogames e software, levando à distribuição de múltiplos softwares trojanizados que depois são usados para comprometer mais vítimas. O grupo também é conhecido por ter comprometido diversos alvos em diferentes setores, como saúde e educação.

WOROK

Grupo de ciberespionagem alinhado à China, ativo desde pelo menos 2020. A ESET acredita que opere a partir de Pequim. O grupo concentra-se principalmente em alvos na Mongólia, mas também já atacou entidades no Quirguistão, Vietnã, Turquia, Indonésia e Namíbia. Tem como alvo organizações governamentais e outras entidades do setor público, além de empresas privadas. O grupo utiliza suas próprias ferramentas personalizadas e ferramentas disponíveis publicamente. Compartilha ferramentas e características adicionais com outros grupos alinhados à China, em especial o TA428. Notavelmente, tem acesso ao backdoor ShadowPad e é cliente do grupo fornecedor de software StartupNation.

STURGEONPHISHER

Também conhecido como YoroTrooper. Grupo de ciberespionagem ativo desde pelo menos 2021. O grupo concentra-se em spearphishing e no roubo de credenciais de webmail. Tem como alvo autoridades governamentais, think tanks e funcionários de empresas estatais em países que fazem fronteira com o Mar Cáspio, sendo a Federação Russa o país mais visado. Dado o foco restrito dos alvos, é provável que o grupo opere a partir de um país da Ásia Central. Com base na vitimologia e em outros indicadores técnicos, a ESET avalia, com baixo nível de confiança, que o grupo esteja alinhado aos interesses do Cazaquistão.

Solicitar teste

Mantenha-se informado. Esteja à frente.

ESET THREAT REPORT H2 2025

Uma análise aprofundada das tendências globais de ameaças, da atividade regional de APTs e da evolução de malwares observadas por meio da telemetria da ESET.

Leia o relatório

Resumo da Atividade de APTs

Insights mais recentes sobre campanhas ativas de APTs em todo o mundo.

Explore a Atividade de APTs

WeLiveSecurity: Principais matérias e pesquisas

Análises especializadas e comentários de pesquisadores da ESET sobre as ameaças cibernéticas mais recentes, descobertas e tendências de segurança.

Leia as matérias

ESET Research Podcast: Explorando o cenário global de ameaças

Junte-se aos nossos analistas enquanto eles discutem atribuição, ferramentas e mudanças na atividade global

Ouça o podcast

Visão geral da solução

Conheça a solução em detalhes, com descrições completas e destaques dos principais recursos.

Baixar PDF

VAMOS CONVERSAR

Quer saber mais? Compartilhe seus dados de contato e entraremos em contato com mais informações.
Podemos apresentar uma demonstração, discutir uma prova de conceito ou esclarecer qualquer dúvida que você tenha.