Získejte detailní přehled o technikách, infrastruktuře a rukopisu útočníků a buďte vždy o krok napřed před skrytými kampaněmi. Využijte ESET AI Advisor trénovaný na desítkách let výzkumu a poraďte se s našimi odborníky, jak efektivně posílit obranu.
Slepá místa v globálním zpravodajství
Zpravodajství se obvykle zaměřuje na data z USA a nepokrývá regiony, které jsou pro vaše podnikání klíčové. Jak tedy odhalíte hrozby cílící na Evropu, asijsko-pacifický region a riziková odvětví dřív, než udeří?
Složité odhalování útočníků
Pokročilé kampaně často zastírají svůj původ a bez hloukového výzkumu se o skutečných aktérech a geopolitických motivech můžete jen dohadovat. Dokáže váš tým spolehlivě určit původ pokročilých hrozeb?
Zastaralé nebo obecné APT reporty
Ve chvíli, kdy se k vám reporty skutečně dostanou, jsou útočníci dávno o krok dál a obecné reporty postrádají konkrétní praktické kroky. Jak tedy získáte aktuální a praktické poznatky, které skutečně zlepší vaši bezpečnost?
Omezené porozumění taktikám útočníků
Nestačí jen vědět, že k útoku došlo. Bez jasného přehledu o metodách a infrastruktuře útočníků nemáte šanci na proaktivní ochranu. Schopnost předvídat a být o krok napřed vyžaduje dostatek detailních informací. Máte je?
DÍVEJTE SE HLOUBĚJI
Pochopte motivace, cíle a taktiky APT skupin, které jsou relevantní hrozbou pro vaši organizaci.
POSILTE OBRANU VČAS
Využijte relevantní a prakticky využitelné informace ke zpřesnění detekčních pravidel, snížení rizik pro kritická aktiva a vylepšení plánů reakcí na incidenty.
DOHLÉDNĚTE DÁL NEŽ OSTATNÍ
Získejte přístup k neveřejným poznatkům z proprietárního výzkumu a telemetrie ESETu včetně detailního pokrytí aktivních hrozeb spojených s Čínou, Severní Koreou, Ruskem a Íránem.
RAĎTE SE S ODBORNÍKY
Získejte informace přímo od zdroje pomocí detailních konzultací, individuálních doporučení a přímé podpory při řešení klíčových dotazů od našich analytiků, a to každý měsíc.
S Analyst Access máte k dispozici až 4 konzultační hodiny s analytiky z ESETu měsíčně. Získáte tak individuální doporučení a interpretaci dat, která ještě navýší hodnotu informací o APT hrozbách.
Dvoutýdenní Activity Summary udržuje bezpečnostní týmy v obraze. Informuje o aktivitě APT skupin a přináší jasný přehled o kampaních, cílech a indikátorech kompromitace. Dále pomáhá lépe chránit své sítě a porozumět nejnovějším taktikám, technikám a postupům APT skupin.
Technical Analysis odhaluje nástroje a techniky útočníků a průběhy kampaní. Zároveň poskytuje včasné a praktické informace o vyvíjejících se hrozbách a doporučení pro efektivní ochranu a nápravu, které jsou nezbytné pro bezpečnostní týmy a výzkumníky.
Monthly Overview poskytuje vedení stručný přehled o situaci kolem APT hrozeb na měsíční bázi. Tím pomáhá CISO a ostatním klíčovým manažerům sladit priority a činit sebevědomá rozhodnutí.
ESET AI Advisor poskytuje shrnutí a vhledy na základě APT reportů. Pomocí umělé inteligence pomáhá týmům rychle interpretovat data a podporuje pohotová, informovaná rozhodnutí.
APT Reports
APT Reports
Advanced
APT Reports
Ultimate
eCrime reporty
Přesné a okamžitě využitelné zpravodajství o kyberkriminalitě motivované finančním ziskem a malwarových ekosystémech.
Feedy
Aktuální, relevantní a ověřené datové streamy navržené pro automatizaci a integraci.
Výzkum a telemetrie ESETu odhalují infrastrukturu, taktiky a kampaně globálních APT skupin, a to od státem podporované špionáže až po regionální operace.
Poznejte útočníky
Nezávislé skupiny
Skupiny napojené na Rusko
Skupiny napojené na Pákistán
Další aktéři z Blízkého východu
Další skupiny z východní Evropy
Další skupiny z východní Asie
Skupiny podporované Severní Koreou
Skupiny podporované Íránem
Skupiny napojené na Indii
Skupiny napojené na Čínu
Skupiny napojené na Střední Asii
Aktivní minimálně od roku 2019. Známá sada nástrojů této skupiny se používá pro špionáž. Zaměřuje se na vládní a diplomatické subjekty v Evropě, na Blízkém východě a v jižní Asii. Skupina je málo známá a veřejně ji popsala až společnost Kaspersky v roce 2023.
Aktér hrozeb napojený na Rusko, odhalený výzkumníky společnosti ESET. Aktivní minimálně od roku 2008. Známý pro svou stejnojmennou kybernetickou špionážní platformu. Platforma je pozoruhodná svou složitou architekturou pluginů a propracovanou síťovou komunikací využívající Tor. Skupina kompromitovala uživatele v Litvě, Rusku, na Slovensku, v Turecku, Spojených arabských emirátech, Vietnamu a na Ukrajině. Konkrétně se zaměřuje na dva typy uživatelů: rusky mluvící uživatele dbající na soukromí a vysoce postavené organizace v Evropě, včetně diplomatických misí a vládních institucí.
Dobře známá skupina díky útokům na finanční instituce a firmy v Rusku. Od konce roku 2015 přešla od čistě kriminální skupiny páchající kyberkriminalitu za účelem finančního zisku k aktérovi provádějícímu kybernetickou špionáž ve východní Evropě a střední Asii. Předpokládá se, že skupina je napojena na Rusko, protože nasadila zero-day exploit pro Windows proti cíli na Ukrajině.
Známá také jako COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto nebo BlueCharlie. Kybernetická špionážní skupina, aktivní minimálně od roku 2015. Známá cílením na vládní úředníky, think-tanky a vojenský personál v Evropě a Severní Americe. Zaměřuje se na spearphishing a krádeže přihlašovacích údajů k webmailu. Na začátku roku 2022 se skupina pokusila ukrást přihlašovací údaje k webmailu ukrajinským vládním úředníkům a lidem pracujícím v ukrajinských státních podnicích. Údaje pravděpodobně útočníci použili ke čtení důvěrných e-mailových zpráv nebo krádeži dokumentů z cloudových úložišť. Tyto akce byly s největší pravděpodobností součástí kybernetické špionážní operace související s aktuální rusko-ukrajinskou válkou. V roce 2023 britská vláda uvalila sankce na dva členy Callisto a spojila skupinu s 18. centrem informační bezpečnosti FSB.
Aktivní minimálně od roku 2013. Odpovědná za mnoho útoků, převážně proti ukrajinským vládním institucím, jak dokládá několik zpráv CERT-UA a dalších oficiálních ukrajinských orgánů. Bezpečnostní služba Ukrajiny (SBU) spojila skupinu s 18. centrem informační bezpečnosti FSB působícím z okupovaného Krymu. ESET věří, že tato skupina spolupracuje s InvisiMole. Od začátku roku 2025 jsme také zdokumentovali její spolupráci se skupinou Turla.
Kybernetická špionážní skupina napojená na Rusko, fungující minimálně od roku 2022. Specializuje se na spearphishingové kampaně zaměřené na krádeže přihlašovacích údajů a krádeže e-mailových zpráv prostřednictvím XSS zranitelností v Roundcube. Mezi obvyklé cíle patří vládní a obranné organizace v Řecku, Polsku, Srbsku a na Ukrajině.
Skupina hrozeb napojená na Rusko, aktivní minimálně od roku 2013. Známá vysoce cílenými kybernetickými špionážními útoky proti vládním institucím, vojenským subjektům a diplomatickým misím. Zaměřuje se především na cíle na Ukrajině se zvýšenou aktivitou od roku 2021. Cílila také na subjekty v Arménii, Bělorusku, Řecku a Rusku. ESET se domnívá, že skupina spolupracuje se skupinou Gamaredon napojenou na FSB.
Dezinformační/PSYOPS kampaň zaměřená na Ukrajince a disidenty v Rusku. ESET navíc v roce 2023 detekoval spearphishingové kampaně cílené na ukrajinskou obrannou společnost a agenturu EU s cílem ukrást přihlašovací údaje k účtům Microsoft Office 365. Operace Texonto není v současnosti připsána konkrétnímu aktérovi hrozeb. Vzhledem k TTP, cílení a šíření zpráv je však vysoká pravděpodobnost, že kampaň byla vedena skupinou napojenou na zájmy Ruska.
Známá také jako Storm-0978, Tropical Scorpius nebo UNC2596. Skupina napojená na Rusko, která provádí jak oportunistické operace kyberkriminality proti vybraným obchodním vertikálám, tak cílené špionážní operace ke sběru zpravodajských informací. Je spojována s nasazením takzvaného ransomware „Cuba“ minimálně od roku 2022. V poslední době se zaměřuje na ukrajinskou vládu a obranný sektor, spojence NATO a několik vládních organizací v Evropě.
Známá také jako UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 nebo TA471. Kybernetická špionážní skupina, která se zaměřuje na Ukrajinu a Gruzii. Aktivní minimálně od roku 2021. Předpokládá se její napojení na Rusko. Zvláště se zajímá o vysoce postavené cíle, zejména v ukrajinské státní správě. Na kompromitované stroje nasazuje infostealery a backdoory. V roce 2022 bylo zaznamenáno nasazení nástroje Cobalt Strike. S vysokou mírou jistoty je považována za zodpovědnou za útok WhisperGate v roce 2022.
Skupina hrozeb napojená na Rusko, která provádí různé destruktivní útoky. Běžně je připisována jednotce 74455 ruské Hlavní správy rozvědky (GRU). Známá především útoky proti ukrajinskému energetickému sektoru v letech 2015 a 2016, které vedly k výpadkům proudu. ESET sleduje aktivity skupiny pod různými podskupinami: podskupina TeleBots, která se zajímá hlavně o útoky na finanční subjekty na Ukrajině; GreyEnergy, známá intenzivním používáním svého stejnojmenného malwaru proti cílům kritické infrastruktury, detekovaného v energetických společnostech v Polsku, na Ukrajině a v Gruzii. V roce 2018 skupina spustila útok Olympic Destroyer, který mazal data organizátorům zimních olympijských her v Pchjongčchangu. Používá pokročilý malware jako Industroyer, který je schopen komunikovat se zařízeními v energetických společnostech prostřednictvím průmyslových řídicích protokolů. V roce 2020 Ministerstvo spravedlnosti USA zveřejnilo obžalobu proti šesti ruským hackerům, v níž uvádí, že připravovali a prováděli různé útoky této skupiny.
Známá také jako APT28, Fancy Bear, Forest Blizzard nebo Sofacy. Působí minimálně od roku 2004. Ministerstvo spravedlnosti USA označilo skupinu za jednu z odpovědných za hacknutí Demokratického národního výboru (DNC) těsně před americkými volbami v roce 2016 a spojilo ji s GRU. Předpokládá se také, že stojí za hacknutím globální televizní sítě TV5Monde, únikem e-mailů Světové antidopingové agentury (WADA) a mnoha dalšími incidenty. Skupina má ve svém arsenálu diverzifikovanou sadu malwarových nástrojů, ale v současnosti primárně provádí cílené phishingové kampaně. Přesto bylo stále pozorováno nasazování vlastních pokročilých implantátů.
Známá také jako APT29, Cozy Bear nebo Nobelium. Nechvalně známá kybernetická špionážní skupina, aktivní minimálně od roku 2008. Podle NCSC-UK je spojena se SVR (Služba vnější rozvědky Ruské federace). Známá jako jedna ze skupin, které hacknuly americký Demokratický národní výbor před volbami v roce 2016. V roce 2019 ESET odhalil její rozsáhlou špionážní operaci zaměřenou na několik evropských ministerstev zahraničních věcí. Známá útokem na dodavatelský řetězec SolarWinds v roce 2020, který vedl ke kompromitaci významných organizací, včetně mnoha částí americké vlády. Zodpovědná za několik spearphishingových kampaní v roce 2021 zaměřených na diplomaty v Evropě.
Známá také jako Snake. Kybernetická špionážní skupina aktivní minimálně od roku 2004, s možnými kořeny až v pozdních 90. letech. Předpokládá se, že je součástí FSB. Zaměřuje se hlavně na vysoce postavené cíle, jako jsou vlády a diplomatické subjekty v Evropě, střední Asii a na Blízkém východě. Skupina je známá tím, že v roce 2008 pronikla do významných organizací, jako je Ministerstvo obrany USA, a v roce 2014 do švýcarské zbrojařské společnosti RUAG.
Kybernetická špionážní skupina zaměřená na vládní organizace, finanční instituce a média na Ukrajině. Aktivní minimálně od roku 2022. Na základě jejího cílení se se střední mírou jistoty věří, že skupina je napojena na ruské zájmy. Obvykle nasazuje LONEPAGE, PowerShell downloader pojmenovaný podle přítomnosti slova „page“ v odkazech na C&C (command and control) servery.
Známá také jako UAC-0020. Skupina hrozeb napojená na Rusko, známá kybernetickými špionážními útoky na vládní a vojenské cíle na Ukrajině. Aktivní minimálně od roku 2015. Předpokládá se, že skupina je spojena s takzvanou Luhanskou lidovou republikou.
Známá také jako UAC-0063 nebo TAG-110. Skupina hrozeb napojená na Rusko, známá kybernetickými špionážními útoky na vládní, vojenské a diplomatické cíle ve střední Asii a na Ukrajině. Aktivní minimálně od roku 2015. Sada malwarových nástrojů Zebrocy slouží pro cílené útočné kampaně a obsahuje všechny schopnosti nezbytné pro špionáž, jako je keylogging, pořizování snímků obrazovky, průzkum, výpis souborů, exfiltrace a další. Byla vyvinuta modulárním způsobem, což umožňuje aktualizace a spouštění nových modulů doručených operátory.
Známá také jako Operation C-Major, Mythic Leopard, ProjectM, APT36 nebo Earth Karkaddan. Kybernetická špionážní skupina zaměřená na indickou armádu a související subjekty v Indii, a také na aktivisty a občanskou společnost v Pákistánu. Společnosti Trend Micro a další uvádějí slabé důkazy o pákistánském napojení. Skupina používá sociální inženýrství a phishing k nasazení malwaru. Historicky nasazovala backdoory, zejména CrimsonRAT, proti obětem používajícím Windows, s občasným využitím Android backdooru AndroRAT.
Známá také jako APT-C-23, Desert Falcons nebo Two-tailed Scorpion. Kybernetická špionážní skupina známá cílením na země Blízkého východu. Aktivní minimálně od roku 2013. Většinou se zaměřuje na palestinské a izraelské oběti, včetně orgánů činných v trestním řízení, armády a vlády, ale také na aktivisty a studenty. Nasazuje rozsáhlý arzenál malwaru pro platformy Android, iOS a Windows, včetně několika vlastních backdoorů. Předpokládá se, že skupina je spojena s Hamásem a působí z Pásma Gazy.
APT skupina specializující se na kybernetickou špionáž. Věří se, že jejím cílem je krást citlivé informace. Je také označována za žoldnéřskou skupinu nabízející hackerské služby na zakázku široké škále klientů. Obvykle cílí na subjekty a jednotlivce na Blízkém východě a v jižní Asii pomocí spearphishingových zpráv a falešných aplikací jako počátečního vektoru útoku.
Hacktivistická skupina podporovaná Hamásem. Poprvé se objevila během války mezi Izraelem a Hamásem v roce 2023. Skupina je známá nasazováním wiperů na izraelské cíle, přičemž používá binární soubory pro Windows i Linux. Prvotní wiper skupiny objevila společnost Security Joes v roce 2023 a další objevila společnost ESET a nahlásila jej v témže roce.
Kybernetická špionážní skupina z Blízkého východu, odhalená v roce 2020. Historicky se zaměřovala na kurdskou etnickou skupinu v severním Iráku. Skupina používala malware pro Windows i Android k cílení na své oběti. V roce 2021 popsal ESET špionážní kampaň této skupiny, šířenou prostřednictvím prokurdského obsahu na Facebooku, zaměřenou na mobilní uživatele s backdoory pro Android.
Kybernetická špionážní skupina, poprvé dokumentovaná v roce 2022. Předpokládá se, že skupina sídlí v Libanonu a cílí převážně na izraelské organizace. Její sada nástrojů se skládá ze sedmi vlastních backdoorů, včetně jednoho, který zneužívá cloudové služby OneDrive a Dropbox pro C&C komunikaci, a dalších, které využívají úložiště Dropbox a Mega. Skupina také použila několik vlastních modulů ke špionáži svých cílů.
Skupina hrozeb spojená se Spojenými arabskými emiráty. Aktivní od roku 2012. Známá cílením na politické aktivisty, novináře a disidenty na Blízkém východě. Poprvé objevena a popsána Citizen Lab v analýze útoků spyware zveřejněné v roce 2016. V roce 2019 Amnesty International dospěla k závěru, že Stealth Falcon a Project Raven, iniciativa údajně zaměstnávající bývalé operativce NSA, jsou stejná skupina.
Známá také jako PROMETHIUM nebo APT-C-41. Kybernetická špionážní skupina, aktivní minimálně od roku 2012. Primárně cílí na subjekty v Turecku, ale působila po celém světě. Historicky se zaměřovala na platformu Windows se svým stejnojmenným malwarem. Koncem roku 2022 však byly skupině připsány také dvě kampaně šířící trojanizované aplikace pro Android.
Skupina kyberkriminality, která k tomu provádí kybernetické špionážní operace. Veřejně byla odhalena v březnu 2022 poté, co se zaměřila na zaměstnance evropských vlád zapojené do pomoci ukrajinským uprchlíkům, jen několik týdnů po začátku rusko-ukrajinské války.
Známá také jako Inception Framework. Kybernetická špionážní skupina, aktivní minimálně od roku 2014. Předpokládá se také, že jde o odnož Red October, starší kybernetické špionážní skupiny, která byla podle blogu Chronicle security (nyní součást Google Security Operations) pravděpodobně spoluprací dvou zemí. Skupina se zaměřuje hlavně na vlády a společnosti ve strategických sektorech, jako je obrana v Rusku, Evropě a na Kavkaze.
Známá také jako UNC1151, DEV-0257, PUSHCHA, Storm-0257 nebo TA445. Aktivní minimálně od roku 2016. Údajně působí z Běloruska. Většina operací skupiny byla zaměřena na země sousedící s Běloruskem; malá část byla pozorována v jiných evropských zemích. Provádí vlivové a dezinformační kampaně, ale také kompromitovala řadu vládních a soukromých subjektů se zaměřením na Ukrajinu, Polsko a Litvu.
Kybernetická špionážní skupina poprvé odhalená společností ESET. Aktivní minimálně od roku 2014. Primárně cílí na cizí ambasády v Bělorusku. Od roku 2020 je skupina s největší pravděpodobností schopna provádět útoky typu adversary-in-the-middle na úrovni ISP v Bělorusku za účelem kompromitace svých cílů.
Kybernetická špionážní skupina, poprvé objevena v roce 2021. Předpokládá se, že je aktivní minimálně od roku 2020. Cílí na vlády v Evropě a střední Asii. Skupina používá škodlivé dokumenty, phishingové webové stránky a vlastní PowerShell backdoor ke kompromitaci svých cílů. Od roku 2022 se také specificky zaměřuje na e-mailové servery Zimbra a Roundcube. V roce 2023 ESET pozoroval skupinu, jak zneužívá staré XSS zranitelnosti v Roundcube.
Kybernetická špionážní skupina, aktivní minimálně od roku 2011. Známá cílením na vládní subjekty, jako jsou armády, ministerstva zahraničních věcí a státní podniky ve východní Evropě (včetně Ruska) a na Balkáně. Skupina používá spearphishingové e-maily ke kompromitaci svých cílů. V roce 2020 zneužila zranitelnost v Internet Exploreru v době, kdy nebyl veřejně dostupný žádný proof-of-concept a jen minimum informací. Je pravděpodobné, že skupina tento exploit koupila od brokera.
Známá také jako False Hunter nebo APT-Q-12. Kybernetická špionážní skupina napojená na Jižní Koreu, aktivní minimálně od roku 2018. Zaměřuje se hlavně na vysoce postavené cíle, jako jsou vlády, obchodní průmysl a think-tanky. Skupina využívá potenciálně zajímavé události nebo se operátoři vydávají za studenty žádající o názor na relevantní výzkumná témata, aby nalákali své cíle. Provozuje vlastní downloadery a modulární backdoor doručovaný spearphishingovými e-maily. Její operace se vyznačují nasazením několika fází downloaderu a vlastního backdooru schopného načítat pluginy.
Považována za podskupinu Lazarus (spojenou se Severní Koreou). Její aktivity sahají do roku 2009. Skupina se primárně zaměřuje na jihokorejské cíle, včetně vládních a vojenských subjektů, a také na podniky, jako jsou banky, kryptoměnové burzy a online brokeři. Její cíle se soustředí buď na kybernetickou špionáž, nebo na finanční zisk. Mezi veřejně zveřejněné incidenty skupiny patří útoky proti Seoul International Aerospace & Defense Exhibition (ADEX) v roce 2015 a indické jaderné elektrárně Kudankulam (KKNPP) v roce 2019.
Skupina napojená na Severní Koreu, poprvé dokumentovaná v roce 2023. Její operátoři se zaměřují především na finanční zisk, přičemž cílí na softwarové vývojáře na systémech Windows, Linux a macOS s cílem ukrást kryptoměny, s možným sekundárním cílem provádět kybernetickou špionáž. Skupina používá falešné náborové profily na sociálních sítích. Oslovuje vývojáře softwaru, často ty, kteří se podílejí na kryptoměnových projektech, a poskytuje potenciálním obětem trojanizované kódové základny, které v rámci fiktivního pracovního pohovoru nasadí backdoory.
Kybernetická špionážní skupina spojená se Severní Koreou. Aktivní minimálně od roku 2013. Skupina se zpočátku zaměřovala na subjekty související s Jižní Koreou; v posledních několika letech však své aktivity rozšířila i na Spojené státy a evropské země. Cílí na vládní subjekty, výzkumné ústavy, kryptoměnové společnosti a soukromé firmy, přičemž hlavním cílem je kybernetická špionáž a sběr informací.
Skupina hrozeb napojená na Severní Koreu. Analytici o ní poprvé informovali v roce 2017. Cílí především na ruské a jihokorejské politické instituce. Často používá spearphishingové útoky k získání počátečního přístupu a spoléhá na vlastní nástroj Remote Administration Tool (RAT) pro udržení v systému a trvalý přístup k napadenému stroji. Zatímco někteří bezpečnostní výzkumníci řadí skupinu pod ScarCruft (APT37), Lazarus nebo Kimsuky, ESET není schopen tato tvrzení potvrdit.
Známá také jako HIDDEN COBRA. APT skupina spojená se Severní Koreou. Aktivní minimálně od roku 2009. Zodpovědná za vysoce profilované incidenty, jako je hacknutí Sony Pictures Entertainment a kybernetické loupeže v řádu desítek milionů dolarů v roce 2016, epidemii WannaCryptor (aka WannaCry) v roce 2017 a dlouhou historii rušivých útoků proti jihokorejské veřejné a kritické infrastruktuře minimálně od roku 2011. Skupinu definuje rozmanitost, počet a výstřednost v provádění kampaní, stejně jako její zapojení do všech tří pilířů kyberkriminálních aktivit: kybernetické špionáže, kybernetické sabotáže a honby za finančním ziskem.
Název společnosti ESET pro sérii útoků připisovaných skupině. Tyto útoky probíhají minimálně od roku 2019 a jsou zaměřeny na letecké, vojenské a obranné společnosti. Operace je pozoruhodná využíváním spearphishingu na bázi LinkedIn a používáním efektivních triků pro utajení. Jak název In(ter)ception napovídá, jejím hlavním cílem se zdá být korporátní špionáž.
Známá také jako APT37 nebo Reaper. Podezřelá severokorejská špionážní skupina. Působí minimálně od roku 2012. Primárně se zaměřuje na Jižní Koreu, ale cílí i na další asijské země. Skupina se zdá mít zájem hlavně o vládní a vojenské organizace a společnosti v různých odvětvích spojených se zájmy Severní Koreje. Její sada nástrojů obsahuje širokou škálu downloaderů, exfiltračních nástrojů a backdoorů používaných pro špionáž.
Kybernetická sabotážní skupina s podezřením na napojení na Írán. Aktivní od roku 2020. Zaměřuje se na oběti v Izraeli a Spojených arabských emirátech. Skupina původně nasazovala wiper maskovaný jako ransomware, ale později jej upravila na plnohodnotný ransomware. Zneužívá známé zranitelnosti v aplikacích přístupných z internetu k instalaci webshellů, poté provádí interní průzkum před bočním pohybem v síti.
Dříve sledovaná jako APT35 a APT42 (aka Charming Kitten, TA453 nebo PHOSPHORUS). Podezřelý íránský státní aktér zaměřený na vzdělávací, vládní a zdravotnické organizace, stejně jako na lidskoprávní aktivisty a novináře. Nejaktivnější v Izraeli, na Blízkém východě a ve Spojených státech. Během pandemie cílila na organizace související s COVID-19, včetně Světové zdravotnické organizace a Gilead Pharmaceuticals, a také na personál v lékařském výzkumu.
Kybernetická špionážní skupina napojená na Írán. Aktivní minimálně od roku 2017. Poprvé objevena v roce 2023, kdy cílila na kurdské diplomatické činitele svým backdoorem. V roce 2024 pokračovala v cílení na tyto kurdské činitele spolu s iráckými vládními úředníky a regionálním poskytovatelem telekomunikací v Uzbekistánu. S vysokou mírou jistoty se předpokládá, že skupina je podskupinou OilRig – známou také jako APT34 nebo Hazel Sandstorm (dříve EUROPIUM) – která sdílí atributy se skupinami BladeHawk a FreshFeline.
Skupina aktérů hrozeb známá svými kybernetickými útoky zaměřenými na izraelské organizace. Předpokládá se, že skupina sídlí v Turecku, ale provádí útoky, které jsou v souladu s cíli íránské vlády. Existuje spojení mezi touto skupinou a Frankensteinem, skupinou, která historicky pracovala na podporu zájmů palestinských území a je také napojena na íránské zájmy. Skupina byla zapojena do operací hack-and-leak, úniků dat a ničení dat.
Kampaň vedená skupinou APT-C-50. V rámci kampaně skupina provádí mobilní sledovací operace proti íránským občanům od roku 2016, jak v roce 2018 informoval Check Point. V roce 2019 identifikovala společnost Trend Micro škodlivou kampaň, pravděpodobně spojenou s Domestic Kitten, zaměřenou na Blízký východ a pojmenovala ji Bouncing Golf. Krátce nato, ve stejném roce, Qianxin nahlásil kampaň Domestic Kitten opět zaměřenou na Írán. V roce 2020 360 Core Security odhalila sledovací aktivity Domestic Kitten zaměřené na protivládní skupiny na Blízkém východě. Poslední veřejně dostupná zpráva je z roku 2021 od společnosti Check Point.
Aka MosesStaff. Íránská kybernetická špionážní skupina, která cílí na různé vertikály v Izraeli, Itálii, Indii, Německu, Chile, Turecku, SAE a USA. Aktivní minimálně od roku 2021, kdy nasadila dříve neznámý backdoor zaměřený na dvě společnosti v Izraeli. V roce 2021 nasadila ransomware obětem v Izraeli. Skupina cílí na servery Microsoft Exchange vystavené do internetu s neopravenými, známými zranitelnostmi jako na primární způsob průniku, po kterém následuje boční pohyb a nasazení vlastního backdooru.
Známá také jako C5, Smoke Sandstorm, TA455 nebo UNC1549. Kybernetická špionážní skupina napojená na zájmy íránské vlády. Aktivní minimálně od roku 2022. Skupina cílí na organizace na Blízkém východě (včetně, ale ne výhradně, Izraele, Ománu a Saúdské Arábie) a ve Spojených státech v odvětvích letectví, avioniky a obrany. Její metody se překrývají s Tortoiseshell, skupinou spojenou s organizací pro elektronický boj a kybernetickou obranu (EWCD) íránských islámských revolučních gard (IRGC), a APT33, která je také spojena s IRGC-EWCD. Typické metody skupiny zahrnují spearphishing využívající typosquatting domény, password spraying a vývoj a nasazování vlastních backdoorů.
Známá také jako HEXANE nebo Storm-0133. Podskupina OilRig, aktivní minimálně od roku 2017. Skupina se zaměřuje na organizace na Blízkém východě se zvláštním zaměřením na izraelské organizace, včetně národních a místních vládních subjektů a organizací ve zdravotnictví. Mezi hlavní nástroje připisované skupině patří různé backdoory a řada downloaderů, které využívají legitimní cloudové služby pro C&C (command and control) komunikaci.
Kybernetická špionážní skupina spojená s íránským ministerstvem zpravodajských služeb a bezpečnosti (MOIS). Aktivní minimálně od roku 2017. Skupina cílí na oběti na Blízkém východě a v Severní Americe se zaměřením na telekomunikace, vládní organizace a ropný a energetický průmysl. Její operátoři často používají skriptované backdoory jako PowerShell. Jejich preferovanou metodou počátečního přístupu jsou spearphishingové e-maily s přílohami – často PDF s odkazy směřujícími na souborová úložiště jako Egnyte a OneHub.
Známá také jako APT34 nebo Hazel Sandstorm (dříve EUROPIUM). Kybernetická špionážní skupina, o které se obecně věří, že sídlí v Íránu. Aktivní minimálně od roku 2014. Skupina cílí na vlády na Blízkém východě a různé obchodní sektory, včetně chemického, energetického, finančního a telekomunikačního průmyslu. Mezi její významné kampaně patří kampaň DNSpionage z let 2018 a 2019 zaměřená na oběti v Libanonu a Spojených arabských emirátech; kampaň HardPass v letech 2019–2020 využívající LinkedIn k cílení na oběti na Blízkém východě v energetickém a vládním sektoru; útok na telekomunikační organizaci na Blízkém východě v roce 2020; a útoky v roce 2023 zaměřené na organizace na Blízkém východě. Kromě těchto incidentů ESET sleduje další aktivity související s OilRig pod samostatnými podskupinami: Lyceum, ShroudedSnooper a BladedFeline.
Známá také jako Scarred Manticore nebo Storm-0861. Podskupina OilRig aktivní minimálně od roku 2019. Poprvé identifikována společností Microsoft při destruktivních útocích na albánskou vládu v letech 2021-2022, kdy poskytla počáteční přístup do sítě pro další podskupiny OilRig zneužitím veřejně přístupných aplikací. V roce 2023 skupina provedla útoky proti vládním, vojenským organizacím a telekomunikačním společnostem na Blízkém východě.
Známá také jako Crimson Sandstorm, Imperial Kitten, TA456 nebo Yellow Liderc. Kybernetická špionážní skupina, aktivní minimálně od roku 2019. Skupina využívá sociální inženýrství a phishingové e-maily pro počáteční přístup a silně se spoléhá na makra v Microsoft Office a rané implantáty, které se používají pro průzkum systému a sítě. Cíle obvykle zahrnují námořní, přepravní a logistické vertikály v USA, Evropě a na Blízkém východě.
Kybernetická špionážní skupina zaměřená na oběti na Blízkém východě v ropném, plynárenském a strojírenském sektoru. Aktivní minimálně od roku 2019, kdy byl objeven její první backdoor. V roce 2021 bylo pozorováno, že skupina nasazuje další nástroje.
Známá také jako APT-C-35 nebo SectorE02. Aktér hrozeb napojený na Indii, působící minimálně od roku 2016. Zpráva Amnesty International z roku 2021 spojila malware této skupiny s indickou kyberbezpečnostní společností, která může prodávat spyware nebo nabízet hackerské služby vládám v regionu. Skupina cílí na organizace v jižní Asii pomocí malwaru pro Windows a Android, přičemž většina obětí se nachází v Pákistánu, Bangladéši, na Srí Lance, v Nepálu a v Číně. Její kampaně se zaměřují na špionáž pomocí charakteristického malwarového frameworku, jehož hlavním účelem je sběr a exfiltrace dat.
Název, který ESET používá pro podskupinu APT15 primárně zaměřenou na vládní organizace a telekomunikační společnosti v Africe a na Blízkém východě. Aktivní minimálně od roku 2017. V roce 2022 Bitdefender zdokumentoval aktivity skupiny proti telekomunikačnímu průmyslu na Blízkém východě. V roce 2023 sdílela jednotka 42 svou analýzu kompromitace vládních sítí v Íránu touto skupinou. V roce 2021 ESET prokázal spojení mezi skupinou a tím, co Kaspersky sleduje jako CloudComputating, skupinu aktivní minimálně od roku 2012. ESET také pozoroval četná spojení s dalšími podskupinami APT15, jako jsou Mirage, Ke3chang a DigitalRecyclers.
APT skupina napojená na Čínu, zapojená do kybernetických špionážních operací proti čínským a japonským jednotlivcům a společnostem. Aktivní minimálně od roku 2018. V roce 2020 výzkumníci ESET skupinu objevili po detekci podezřelých souborů v systému v Číně. Operátoři skupiny mají schopnost provádět útoky typu adversary-in-the-middle, což jim umožňuje doručit svůj implantát prostřednictvím aktualizací legitimního softwaru a skrýt umístění svých C&C (command and control) serverů zachycením provozu generovaného implantátem.
Známá také jako Volt Typhoon nebo Vanguard Panda. Kybernetická špionážní skupina napojená na Čínu, aktivní minimálně od roku 2022. Zaměřuje se hlavně na obranný průmysl a kritické organizace v USA. Poprvé zveřejněna v roce 2023 poté, co byla přistižena při útoku na kritickou infrastrukturu na Guamu, americkém ostrovním území v západním Pacifiku, kde se nachází několik amerických vojenských základen.
Kybernetická špionážní skupina napojená na Čínu, aktivní minimálně od začátku roku 2022. Cílí převážně na vládní subjekty v jihovýchodní Asii. Skupina je známá používáním svých zdokumentovaných komponent TONEINS, TONESHELL a PUBLOAD, využíváním veřejně dostupných nástrojů a exfiltračními technikami, které využívají cloudové služby a služby pro sdílení souborů. Některé z jejích aktivit byly připsány Mustang Panda (známé také jako Earth Preta nebo Stately Taurus). ESET však tyto aktivity připisuje samostatné skupině.
Aktér hrozeb poprvé veřejně nahlášený v roce 2024; telemetrická data ESET však obsahují stopy aktivity skupiny již od začátku roku 2022. Skupina provádí kybernetické špionážní operace proti vládním organizacím a technologickému sektoru v Rusku a think-tankům ve Spojených státech. Její operace se vyznačují spearphishingovými e-maily s přiloženým archivem. Skupina využívá techniku trident side-loading k doručení svého hlavního backdooru a následně zneužívá cloudové služby jako Yandex, OneDrive nebo Dropbox k přijímání příkazů.
Aktér hrozeb objevený společností ESET. Aktivní minimálně od roku 2018. Skupina pravidelně provádí špionážní operace proti vládním organizacím v Evropě. S nízkou mírou jistoty se předpokládá, že skupina je spojena s Ke3chang a BackdoorDiplomacy.
Známá také jako BRONZE HIGHLAND, Daggerfly a StormBamboo. APT skupina napojená na Čínu, fungující minimálně od roku 2012. Jejím cílem je kybernetická špionáž proti zemím a organizacím vystupujícím proti zájmům Číny prostřednictvím hnutí za nezávislost, jako jsou hnutí v tibetské diaspoře, náboženské a akademické instituce na Taiwanu a v Hongkongu a zastánci demokracie v Číně. ESET občas pozoroval, že její operace zasahují i do zemí jako Vietnam, Myanmar a Jižní Korea. Skupina nashromáždila působivý seznam útočných metod, jako jsou útoky na dodavatelský řetězec, watering-hole a DNS hijacking. Prokazuje také silnou schopnost vývoje malwaru, což dokládá její rozsáhlá sbírka multiplatformních backdoorů pro Windows, macOS a Android.
Kybernetická špionážní skupina napojená na Čínu. Předpokládá se, že je aktivní minimálně od roku 2019. Skupina byla zpočátku známá cílením na hotely po celém světě, ale zaměřovala se také na vlády, mezinárodní organizace, obchodní skupiny, inženýrské společnosti a právní firmy. Je jediným známým uživatelem backdooru SparrowDoor. Skupina je spojena se skupinou Earth Estries, ale přesná povaha tohoto spojení není zcela známa. Byla také veřejně spojována se Salt Typhoon, ale kvůli absenci technických indikátorů je ESET sleduje jako samostatné subjekty.
Známá také jako Earth Lusca, TAG-22, Aquatic Panda nebo Red Dev 10. Kybernetická špionážní skupina, o které se předpokládá, že ji provozuje čínský dodavatel I-SOON a spadá pod deštník Winnti Group. ESET zveřejnil analýzu skupiny začátkem roku 2020, kdy se silně zaměřovala na univerzity v Hongkongu během tamních občanských protestů. Popsali jsme globální kampaň zaměřenou na vlády, nevládní organizace a think-tanky v Asii, Evropě a Spojených státech. Skupina je také známá prováděním útoků typu watering-hole.
Známá také jako ETHEREAL PANDA. APT skupina napojená na Čínu, aktivní minimálně od roku 2021. Cílí převážně na taiwanské organizace. Skupina využívá webshell China Chopper, nástroj pro eskalaci privilegií Juicy Potato a jeho četné variace, a také Mimikatz. K vyhnutí se detekci ve velké míře využívá living-off-the-land binární soubory (LOLBins).
APT skupina napojená na Čínu. Výzkumníci ESET zvolili toto jméno kvůli dlouhodobému používání (minimálně od roku 2022) falešných souborů písem v adresáři C:\Windows\Fonts jako skrytých payloadů pro specifickou sadu loaderů. Převážně cílí na vládní subjekty v Kyrgyzstánu, Uzbekistánu, Kazachstánu a Pákistánu.
APT skupina napojená na Čínu, která cílí na různé sektory ve východní Evropě a střední Asii. Skupina využívá backdoor Zmm a RAT Trochilus. Backdoor Zmm je vyvíjen skupinou StartupNation, která také vyvíjí RAT Mikroceen používaný skupinou SixLittleMonkeys APT.
Známá také jako Soft Cell, Alloy Taurus, Red Moros nebo Othorene. APT skupina napojená na Čínu zaměřená na poskytovatele telekomunikací a vládní organizace po celém světě. Známá také cílením na akademický sektor. Její sada nástrojů obsahuje vlastní C++ backdoor, webshell IIS založený na China Chopper, různé zloděje přihlašovacích údajů založené na Mimikatz a různé běžně dostupné nástroje.
Kybernetická špionážní skupina napojená na Čínu. Aktivní minimálně od roku 2014. Toho roku společnost G DATA zveřejnila bílou knihu o operaci TooHash, kampani, jejíž oběti se podle dokumentů použitých v kampani nacházely ve východní Asii. Operátoři používali spearphishing s přílohami zneužívajícími tehdy starou zranitelnost v Microsoft Office a tři komponenty, z nichž dvě byly podepsány ukradeným certifikátem. V roce 2016 prezentovala společnost Verint Systems na HITCONu, kde hovořila o nové aktivitě operace TooHash zmíněné o dva roky dříve, stále využívající stejný exploit proti Microsoft Office.
Aktivní minimálně od roku 2023. Kybernetická špionážní skupina napojená na Čínu, která se zaměřuje na vytváření backdoorů a využívá legitimní služby jako Discord, Slack a file.io pro C&C komunikaci a exfiltraci. Od roku 2025 telemetrie ESET ukazuje, že se skupina zaměřuje na vládní instituce v Mongolsku.
Kybernetická špionážní skupina napojená na Čínu, aktivní minimálně od roku 2009. Pojmenovaná podle hojného používání odkazů na Google v kódu a známá používáním útoků drive-by compromise. Arzenál skupiny obsahuje malware pro uživatele Windows, OS X a Android. Poprvé dokumentována v roce 2014, kdy použila OS X backdoor k cílení na elektronické a strojírenské firmy po celém světě a také na nevládní organizace se zájmy v Asii. V roce 2020 Lookout objevil čtyři Android backdoory používané k cílení na Ujgury, Tibeťany a muslimské populace po celém světě, které připsali této skupině na základě překrývající se síťové infrastruktury. Zatímco několik zdrojů tvrdí, že skupina je spojena s APT15, výzkumníci ESET nemají dostatek důkazů k potvrzení tohoto spojení a pokračují v jejím sledování jako samostatné skupiny.
Ke3chang (vyslovováno ke-tri-čang) je název, který ESET používá pro podskupinu APT15 primárně zaměřenou na vládní organizace a diplomatické mise v Evropě a Latinské Americe. Jméno je založeno na zprávě Mandiantu z roku 2013 o operaci Ke3chang a používáme ho pro následné aktivity APT15 hlášené různými organizacemi v letech 2016 až 2021. Operace skupiny se vyznačují nasazováním pouze jednoduchých backdoorů první fáze s omezenými schopnostmi a následným spoléháním na lidské operátory, kteří provádějí další příkazy ručně s využitím vestavěných a veřejně dostupných nástrojů pro průzkum.
Známá také jako SuperJumper. Síť operačních přenosových bodů (ORB) běžící na virtuálních privátních serverech (VPS) po celém světě. Aktivní minimálně od roku 2023. Tuto skrytou síť využívá několik aktérů hrozeb napojených na Čínu, včetně DigitalRecyclers a BackdoorDiplomacy, k anonymizaci svého síťového provozu a skrytí svého skutečného původu.
APT skupina napojená na Čínu odhalená společností ESET v roce 2024. Cílí na vládní subjekty v Malajsii s cílem provádět kybernetickou špionáž. Skupina nasazuje unikátní vlastní malware ke sběru historie prohlížečů obětí a rozhoduje, kam nasadit backdoor využívající cloudovou službu Microsoft OneDrive. Navíc využívá skupinovou politiku Active Directory k nasazení svého malwaru a provádění bočního pohybu. Existuje malý překryv s APT skupinou ToddyCat na základě cest k souborům a používání SoftEther VPN. Celkové sady nástrojů jsou však odlišné.
Známá také jako Lotus Panda a Billbug. APT skupina napojená na Čínu zaměřená na vládní a námořní organizace v jihovýchodní Asii. Poprvé odhalena v roce 2015. Používá backdoor Elsentric a různé další nástroje, jako jsou Impacket a Venom proxy.
Známá také jako APT27 nebo Emissary Panda. Kybernetická špionážní skupina zaměřená hlavně na vlády, telekomunikační společnosti a mezinárodní organizace. Aktivní ve střední Asii, na Blízkém východě, v Mongolsku, Hongkongu a Severní Americe. Jednou z charakteristických technik skupiny je používání DLL side-loadingu k načítání svých backdoorů.
Známá také jako Earth Kasha. Aktivní minimálně od roku 2019. Aktér hrozeb napojený na Čínu, který primárně cílí na společnosti a organizace v Japonsku, a také na subjekty jinde s vazbami na Japonsko. ESET ji považuje za podskupinu pod deštníkem APT10. Bylo hlášeno, že skupina cílí na média, společnosti spojené s obranou, think-tanky, diplomatické organizace, finanční instituce, akademické instituce a výrobce. Zaměřuje se na špionáž a exfiltraci souborů zájmu.
Známá také jako TA416, RedDelta, PKPLUG, Earth Preta nebo Stately Taurus. Kybernetická špionážní skupina, o které se věří, že sídlí v Číně. Cílí hlavně na vládní subjekty a nevládní organizace. Přestože je známá svou kampaní z roku 2020 zaměřenou na Vatikán, její oběti se nacházejí převážně ve východní a jihovýchodní Asii, se zaměřením na Mongolsko. Ve svých kampaních skupina často používá vlastní loadery pro sdílený malware.
Známá také jako APT31. Kybernetická špionážní skupina napojená na Čínu, která cílí hlavně na vládní subjekty v Evropě. Používá vlastní implantát, který lze nasadit různými způsoby, včetně řetězce DLL side-loadingu a řetězce bring-your-own-vulnerable-software (BYOVS). Stojí za zmínku, že skupina má širší arzenál vlastních nástrojů, z nichž některé jsme ještě v terénu neviděli.
Aktér hrozeb napojený na Čínu, aktivní minimálně od roku 2018. Skupina se zapojuje do špionážních operací proti jednotlivcům a subjektům v Číně, na Taiwanu, v Hongkongu, Jižní Koreji, Spojených státech a na Novém Zélandu. Používá vlastní backdoor a její hlavní technikou počátečního přístupu je únos legitimních aktualizací přesměrováním provozu na útočníkem ovládané servery prostřednictvím síťového implantátu. Navíc skupina získává přístup přes zranitelnosti ve webových serverech a v roce 2023 provedla útok na dodavatelský řetězec.
APT skupina aktivní minimálně od roku 2014. Cílí na vládní, obranné a telekomunikační sektory ve střední Asii, Indii a Pákistánu. Předpokládá se, že je součástí jednotky 69010 Lidové osvobozenecké armády (PLA). Je jednou ze skupin s přístupem k backdooru ShadowPad.
APT skupina napojená na Čínu, aktivní minimálně od roku 2008. Provádí kybernetické špionážní a sledovací operace v Číně zaměřené na národní i zahraniční jednotlivce, společnosti, vzdělávací instituce a vládní subjekty. Aktivity skupiny jsou podmnožinou operací připisovaných LuoYu APT (známé také jako CASCADE PANDA). K únosům aktualizací softwaru a doručování svých implantátů pro Windows a Android využívá útoky typu adversary-in-the-middle prostřednictvím přístupu k čínské internetové páteřní síti.
APT skupina, která cílí na subjekty ve východní a jihovýchodní Asii. Aktivní minimálně od roku 2020. ESET věří, že sídlí v Číně. Charakteristickým nástrojem skupiny je modulární malware navržený s důrazem na poskytování nenápadného vzdáleného přístupu.
APT skupina, jejíž taktika, techniky a postupy (TTP) se částečně překrývají s APT41 (aka BARIUM). Přestože skupina působí primárně ve východní a jihovýchodní Asii, cílí také na organizace napříč širokou škálou sektorů po celém světě, se zvláštním zaměřením na akademickou obec. Je to také jedna ze skupin s přístupem k backdooru ShadowPad.
Známá také jako IndigoZebra nebo SMAC. Aktivní minimálně od roku 2013. Podle zpráv je tato skupina napojená na Čínu zodpovědná za útoky na politické subjekty v některých středoasijských zemích, konkrétně v Afghánistánu, Uzbekistánu a Kyrgyzstánu. Výzkumníci ESET také pozorovali její útoky v Rovníkové Guineji, Rusku, Tádžikistánu a Izraeli.
Skupina zodpovědná za vývoj a údržbu malwaru pro několik APT skupin napojených na Čínu. Aktivní minimálně od roku 2016. ESET věří, že skupina poskytuje svůj software čínským APT skupinám, které sledujeme jako SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 a TA410. Vyvinula sadu nástrojů HDMan, Mikroceen RAT (známý také jako BYEBY), backdoor Zmm a backdoor BeRAT.
Špionážní skupina napojená na Čínu působící z Autonomní oblasti Vnitřní Mongolsko v Čínské lidové republice. ESET skupinu objevil v roce 2024, kdy cílila na prodejce automobilů ve Francii. Cílila také na vládní subjekty v Mongolsku a právní firmu v Jižní Americe. Používá širokou škálu nástrojů, z nichž většina je sdílena napříč čínskými skupinami. Skupina je také zákazníkem StartupNation.
Zastřešující kybernetická špionážní skupina známá především cílením na americké organizace v sektoru veřejných služeb a diplomatické organizace na Blízkém východě a v Africe. Aktivní minimálně od roku 2018. Poprvé veřejně odhalena v roce 2019. Skládá se ze tří podskupin, které ESET pojmenoval JollyFrog, LookingFrog a FlowingFrog. V roce 2020 byla skupině TA410 připsána také nově objevená a velmi komplexní rodina malwaru FlowCloud.
Známá také jako ThunderCats. APT skupina, aktivní minimálně od roku 2014. Cílí na vlády ve východní Asii se zvláštním zaměřením na Mongolsko a Rusko. ESET věří, že působí z Pekingu v Čínské lidové republice. Skupina používá vlastní backdoory a sdílené nástroje. Je jednou ze skupin s přístupem k backdooru ShadowPad.
APT skupina napojená na Čínu, aktivní minimálně od roku 2021. Zapojuje se do kybernetických špionážních operací proti jednotlivcům, hazardním společnostem a neznámým subjektům na Filipínách, ve Spojených arabských emirátech a v Číně. Výzkumníci ESET odhalili tohoto aktéra hrozeb, když byla stažena škodlivá aktualizace populární čínskou aplikací Sogou Pinyin. Skupina má schopnosti provádět útoky typu adversary-in-the-middle, což jí umožňuje přesměrovat provoz a doručovat svůj vlastní malware prostřednictvím aktualizací.
Známá také jako BRONZE BUTLER nebo REDBALDKNIGHT. APT skupina s podezřením na aktivitu minimálně od roku 2006. Cílí hlavně na země v regionu APAC. Tato skupina je zajímavá svými kybernetickými špionážními operacemi, které se zaměřují na krádeže klasifikovaných informací a duševního vlastnictví.
Skupina napojená na Čínu, která používá vlastní modulární malware, který ESET pojmenoval GrapHop.
Aktér hrozeb napojený na Čínu, působící minimálně od roku 2023. Skupina provádí kybernetické špionážní operace na Blízkém východě. Skupina se překrývá se Space Pirates a aktérem hrozeb, který používá backdoor Zardoor. Má přístup k různým implantátům a je také zákazníkem StartupNation.
Aka ToddyCat. Odhalena výzkumníky ESET v roce 2021 během vyšetřování útoků proti serverům Microsoft Exchange prostřednictvím zneužití zranitelnosti ProxyLogon. Na základě toho jde s největší pravděpodobností o APT skupinu napojenou na Čínu. Podle společnosti Kaspersky je skupina aktivní minimálně od roku 2020. Mezi její dřívější cíle patří organizace v Nepálu, Vietnamu, Japonsku, Bangladéši a na Ukrajině. Útoky skupiny obvykle kombinují použití specifického proprietárního malwaru a veřejně dostupných hackerských nástrojů.
Kybernetická špionážní skupina poprvé nahlášená společností Symantec v roce 2022. Je spojena s dalšími čínskými APT skupinami jako SixMonkeys a FishMonger. Skupina využívá dobře známé rodiny malwaru. Je také zákazníkem StartupNation.
Aktivní minimálně od roku 2012. Známá tím, že sídlí v čínském městě Čcheng-tu v provincii S’-čchuan. Zodpovědná za vysoce profilované útoky na dodavatelský řetězec v herním a softwarovém průmyslu, vedoucí k distribuci několika trojanizovaných softwarů, které jsou pak použity ke kompromitaci dalších obětí. Skupina je také známá tím, že kompromitovala různé cíle v odlišných sektorech, jako je zdravotnictví a školství.
Kybernetická špionážní skupina napojená na Čínu, aktivní minimálně od roku 2020. ESET věří, že působí z Pekingu. Skupina se většinou zaměřuje na cíle v Mongolsku, ale cílila i na subjekty v Kyrgyzstánu, Vietnamu, Turecku, Indonésii a Namibii. Cílí na vládní a jiné organizace ve veřejném sektoru i na soukromé společnosti. Skupina používá své vlastní i veřejně dostupné nástroje. Sdílí další nástroje a charakteristiky s jinými čínskými skupinami, zejména TA428. Pozoruhodné je, že má přístup k backdooru ShadowPad a je zákazníkem skupiny poskytovatelů softwaru StartupNation.
Známá také jako YoroTrooper. Kybernetická špionážní skupina, aktivní minimálně od roku 2021. Skupina se zaměřuje na spearphishing a krádeže přihlašovacích údajů k webmailu. Cílí na vládní úředníky, think-tanky a zaměstnance státních podniků v zemích sousedících s Kaspickým mořem, přičemž nejvíce zasaženou zemí je Ruská federace. Vzhledem k úzkému cílení skupina pravděpodobně působí ze středoasijské země. Na základě victimologie a dalších technických indikátorů ESET s nízkou mírou jistoty hodnotí skupinu jako napojenou na zájmy Kazachstánu.
ESET THREAT REPORT H2 2025
Detailní pohled na globální trendy hrozeb, regionální aktivitu APT skupin a vývoj malwaru zaznamenaný prostřednictvím telemetrie ESETu.
Souhrn APT aktivit
Nejnovější poznatky o aktivních APT kampaních po celém světě.
Blog WeLiveSecurity
Odborné analýzy a komentáře na téma nejnovějších kyberhrozeb, objevů a bezpečnostních trendů od našich odborníků.
Podcast ESET Research
Diskuze o globálních hrozbách, jejich původu, nástrojích a změnách v globální aktivitě.
Datasheet: ESET Threat Intelligence APT Reports
Objevte naše možnosti zpravodajství zaměřeného na APT hrozby.
BUĎME V KONTAKTU
Zajímá vás naše řešení? Nechte nám své kontaktní údaje a my se vám ozveme s dalšími informacemi. Společně si projdeme demo, prodiskutujeme důkaz konceptu a odpovíme na všechny případné otázky.