Luure, mis toetab Sinu
vastupidavust
Enneta ja ole globaalsetest ohtudest sammu võrra ees tänu ESET Threat Intelligence'ile, mis põhineb
kureeritud andmetel, põhjalikul APT-uuringul ja praktilisel eksperdikogemusel.
Luure, mis toetab Sinu
Kuidas me lahendame Sinu kõige keerulisemad
CTI väljakutsed
Avasta, kuidas ESET Threat Intelligence muudab teadlikkuse
strateegiliseks eeliseks.
Nähtavus globaalsetesse ja esilekerkivatesse ohtudesse
ESET-i unikaalne telemeetria alaesindatud piirkondadest võimaldab APT-de ja pahavara varasemat tuvastamist.
Ressursipiirangud või oskuste puudujäägid CTI tiimides
Inimeste poolt kontrollitud luure ja valikuline analüütiku juurdepääs vähendavad töökoormust ja kiirendavad mõistmist.
APT-osalejate ja arenevate kampaaniate jälgimine
ESET-i APT raportid ja IoC vood tagavad pideva olukorrateadlikkuse
Ohtudele reageerimise aeg või ülekoormavad ohuvood
AI nõustaja, MISP-i juurdepääs, kureeritud vood ja põhjalik APT kontekst võimaldavad kiiremaid ja teadlikumaid otsuseid.
CTI integreerimine ja automatiseerimine
Standardiseeritud voogude formaadid (STIX 2.1, JSON) võimaldavad lihtsat SIEM/SOAR integratsiooni ja automatiseerimist.
Ennetav kaitse, mitte ainult tuvastamine
Luure vood toidavad ennetavaid kontrolle ja ohtude otsimist enne, kui need realiseeruvad.
Mis teeb ESET Intelligence'i
eriliseks
750K
kahtlast näidist saadakse
iga päev
2.5 miljardit
URL-e analüüsitakse iga päev
500K
unikaalset URL-i blokeeritakse iga päev
60 miljonit
metaandmete kirjet töödeldakse
iga päev
GLOBAALNE, UNIKAALNE NÄHTAVUS
Miljonite sensorite ja tugeva nähtavusega raskesti jälgitavatesse piirkondadesse pakub ESET selget ülevaadet globaalsetest ja esilekerkivatest küberohutustest.
KUREERITUD, INTEGREERIMISEKS VALMIS VOOD
Puhtad, dubleerimata ja usaldusskooriga vood STIX/JSON formaatides integreeruvad sujuvalt SIEM, SOAR ja TIP tööriistadega, vähendades valepositiivseid tulemusi ja töökoormust.
AI-PÕHINE, EKSPERTIDE POOLT KONTROLLITUD LUURE
ESET ühendab täiustatud AI analüütika maailmatasemel inimuuringutega, et pakkuda täpset, kontekstuaalset ja rakendatavat ohuluuret – mitte lihtsalt andmeid.
PÕHJALIKUD TEADMISED JA ANALÜÜTIKU JUURDEPÄÄS
Eksklusiivne APT ja eCrime raportid, reaalajas IoC vood, AI nõustaja teadmised ja otsesed analüütiku sessioonid võimaldavad ennetavat kaitset ja strateegilist otsustamist.
Tutvu ESET-i
luureportfelliga
APT raportid
Miljonite sensorite ja tugeva nähtavusega raskesti jälgitavatesse piirkondadesse pakub ESET selget ülevaadet globaalsetest ja esilekerkivatest küberohutustest.
eCrime raportid
Selge ja rakendatav luure rahaliselt motiveeritud küberkuritegevuse operatsioonide ja pahavara ökosüsteemide kohta.
Vood
Reaalajas kureeritud andmevood, mis on loodud automatiseerimiseks ja integreerimiseks.
Globaalne usaldus. Tõestatud ekspertiis
ESET Threat Intelligence aitab valitsustel, kriitilisel taristusel ja
globaalsetel ettevõtetel rohkem näha, kiiremini tuvastada ja püsida vastupidavana.
ESET on CISA liige, tehes koostööd globaalsete küberkaitsajatega, et toetada koordineeritud küberkaitse planeerimist ja reaalajas ohuluurete jagamist.
ESET on üks aktiivsemaid panustajaid MITRE ATT&CK-i ja üks enim viidatud allikaid.
ESET on sertifitseeritud ECSO "Cybersecurity Made in Europe" märgisega, kinnitades usaldusväärset ja suveräänset kaitset reguleeritud keskkondades tegutsevatele organisatsioonidele.
ESET teeb koostööd ENISA-ga ühiste küberturvalisuse ürituste ja ekspertide osalemise kaudu, sealhulgas jagatud analüüsiga tarneahela ohtude ja Euroopa ohumaastiku teadmiste kohta.
"ESET-i nähtavus unikaalsetesse andmetesse on see, mis teeb ESET-i CTI maailmas atraktiivseks."
Klient kaitsetööstusest
Tunne ohtu.
Ole ründajast targem
ESET-i uuringud ja telemeetria paljastavad globaalse APT tegevuse taga peituvad taristud,
taktikad ja kampaaniad – riiklikult toetatud luuramisest kuni piirkondlike operatsioonideni.
Tutvu
ohustajatega
SIDUMATA
VENEMAAGA SEOTUD
PAKISTANIGA SEOTUD
TEISED LÄHIS-IDA GRUPID
TEISED IDA-EUROOPA GRUPID
TEISED IDA-AASIA GRUPID
PÕHJA-KOREAGA SEOTUD
IRAANIGA SEOTUD
INDIAGA SEOTUD
HIINAGA SEOTUD
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
KESK-AASIAGA SEOTUD
GOLDENJACKAL
Aktiivne vähemalt 2019. aastast. Grupi teadaolev tööriistakomplekt on kasutusel luuramiseks. Sihikule võetakse valitsus- ja diplomaatilised üksused Euroopas, Lähis-Idas ja Lõuna-Aasias. Grupp on vähe tuntud ja seda on avalikult kirjeldanud ainult Kaspersky 2023. aastal.
ATTOR
Venemaaga seotud ohustaja, avastatud ESET-i teadlaste poolt. Aktiivne vähemalt 2008. aastast. Tuntud oma nimelise küberespionaaži platvormi poolest. Platvorm on tähelepanuväärne oma keeruka pluginate arhitektuuri ja elaboreeritud võrgusuhtluse poolest, kasutades Tor-i. Grupp on kompromiteerinud kasutajaid Leedus, Venemaal, Slovakkias, Türgis, Araabia Ühendemiraatides, Vietnamis ja Ukrainas. Sihikule võetakse spetsiifiliselt kahte tüüpi kasutajaid: venekeelsed privaatsusele orienteeritud kasutajad ja kõrgetasemelised organisatsioonid Euroopas, sealhulgas diplomaatilised esindused ja valitsusasutused.
BUHTRAP
Tuntud peamiselt finantsinstitutsioonide ja ettevõtete sihtimise poolest Venemaal. Alates 2015. aasta lõpust on see liikunud puhtalt kriminaalsest grupist, mis tegeles küberkuritegevusega rahalise kasu nimel, küberespionaaži läbiviijaks Ida-Euroopas ja Kesk-Aasias. Arvatakse, et grupp on Venemaaga seotud, kuna nad kasutasid null-päeva ärakasutamist Windowsi vastu sihtmärgi vastu Ukrainas.
CALLISTO
Tuntud ka kui COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto või BlueCharlie. Küberespionaaži grupp, aktiivne vähemalt 2015. aastast. Teadaolevalt sihib Euroopa ja Põhja-Ameerika valitsusametnikke, mõttekodusid ja sõjaväepersonali. Keskendub spearphishingule ja veebiposti mandaatide varastamisele. 2022. aasta alguses üritas grupp varastada veebiposti mandaate Ukraina valitsusametnikelt ja Ukraina riigile kuuluvates ettevõtetes töötavatelt inimestelt. Mandaate kasutasid ründajad tõenäoliselt konfidentsiaalsete e-kirjade lugemiseks või dokumentide varastamiseks pilvesalvestusteenustest. Need tegevused olid suure tõenäosusega osa küberespionaaži operatsioonist, mis on seotud käimasoleva Venemaa-Ukraina sõjaga. 2023. aastal rakendas Ühendkuningriigi valitsus sanktsioone kahe Callisto liikme suhtes ja sidus grupi FSB 18. teabeturbe keskusega.
GAMAREDON
Aktiivne vähemalt 2013. aastast. Vastutab paljude rünnakute eest, peamiselt Ukraina valitsusasutuste vastu, nagu on tõendatud CERT-UA ja teiste ametlike Ukraina organite mitmes raportis. Ukraina julgeolekuteenistus (SBU) on sidunud grupi FSB 18. teabeturbe keskusega, mis tegutseb okupeeritud Krimmist. ESET usub, et see grupp teeb koostööd InvisiMole'iga. Samuti oleme dokumenteerinud selle koostööd Turlaga alates 2025. aasta algusest.
GREENCUBE
Venemaaga seotud küberespionaaži grupp, tegutseb vähemalt 2022. aastast. Spetsialiseerub mandaate varastavatele spearphishing kampaaniatele ja e-kirjade varastamisele Roundcube'i XSS haavatavuste kaudu. Tavapärased sihtmärgid on valitsus- ja kaitseorganisatsioonid Kreekas, Poolas, Serbias ja Ukrainas.
INVISIMOLE
Venemaaga seotud ohugrupp, aktiivne vähemalt 2013. aastast. Tuntud täpselt sihitud küberespionaaži rünnakute poolest valitsusasutuste, sõjaüksuste ja diplomaatiliste esinduste vastu. Keskendub peamiselt sihtmärkidele Ukrainas, suurenenud aktiivsusega alates 2021. aastast. On samuti sihikule võtnud üksusi Armeenias, Valgevenes, Kreekas ja Venemaal. ESET usub, et grupp teeb koostööd FSB-ga seotud Gamaredoni grupiga.
OPERATION TEXONTO
Desinformatsiooni/PSYOPS kampaania, mis on suunatud ukrainlaste ja Venemaal elavate dissidentide vastu. Lisaks tuvastas ESET 2023. aastal spearphishing kampaaniaid, mis olid suunatud Ukraina kaitseettevõtte ja EL-i agentuuri vastu, eesmärgiga varastada Microsoft Office 365 kontode mandaate. Operation Texonto ei ole praegu omistatud konkreetsele ohustajale. Siiski, arvestades TTPs-e, sihtimist ja sõnumite levikut, on suur tõenäosus, et kampaania viis läbi Venemaa huvidega seotud grupp.
ROMCOM
Tuntud ka kui Storm-0978, Tropical Scorpius või UNC2596. Venemaaga seotud grupp, mis viib läbi nii oportunistlikke küberkuritegevuse operatsioone valitud ärivaldkondade vastu kui ka sihitud espionaaži operatsioone luure kogumiseks. Seotud nn "Cuba" lunavara kasutuselevõtuga vähemalt 2022. aastast. Viimasel ajal on tegeletud Ukraina valitsuse ja kaitsetööstuse, NATO liitlaste ning mitme Euroopa valitsusorganisatsiooni sihtimisega.
SAINTBEAR
Tuntud ka kui UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 või TA471. Küberespionaaži grupp, mis sihib Ukrainat ja Ungarit. Aktiivne vähemalt 2021. aastast. Arvatakse olevat Venemaaga seotud. Huvitatud peamiselt kõrgetasemelistest sihtmärkidest, eelkõige Ukraina valitsussektoris. Paigaldab kompromiteeritud masinatele infovarastajaid ja tagauksi. Täheldati Cobalt Strike'i kasutuselevõttu 2022. aastal. Hinnatud kõrge kindlusega vastutavaks WhisperGate'i rünnaku eest 2022. aastal.
SANDWORM
Venemaaga seotud ohugrupp, mis viib läbi mitmesuguseid hävitavaid rünnakuid. Tavaliselt omistatakse Venemaa Pealuuredirektoraadi (GRU) üksusele 74455. Tuntud peamiselt rünnakute poolest Ukraina energiasektori vastu 2015. ja 2016. aastal, mis põhjustasid elektrikatkestusi. ESET jälgib grupi tegevusi erinevate alarühmade all: TeleBots alarühm, mis on peamiselt huvitatud finantssektori ründamisest Ukrainas; GreyEnergy, tuntud oma nimelise pahavara intensiivse kasutamise poolest kriitilise taristu sihtmärkide vastu, tuvastatud energiaettevõtetes Poolas, Ukrainas ja Georgias. 2018. aastal käivitas grupp Olympic Destroyer andmeid hävitava rünnaku PyeongChangis toimuvate taliolümpiamängude korraldajate vastu. Kasutab selliseid täiustatud pahavarasid nagu Industroyer, mis suudab suhelda energiaettevõtete seadmetega tööstuslike juhtimisprotokollide kaudu. 2020. aastal avaldas USA justiitsministeerium süüdistuse kuue Vene arvutihäkkeri vastu, väites, et nad valmistasid ette ja viisid läbi grupi erinevaid rünnakuid.
SEDNIT
Tuntud ka kui APT28, Fancy Bear, Forest Blizzard või Sofacy. Tegutseb vähemalt 2004. aastast. USA justiitsministeerium nimetas grupi üheks Demokraatliku Rahvuskomitee (DNC) häkkimise eest vastutajatest vahetult enne 2016. aasta USA valimisi ja sidus grupi GRU-ga. Arvatakse olevat ka ülemaailmse telekanali TV5Monde häkkimise, Maailma Antidopingu Agentuuri (WADA) e-kirjade lekke ja paljude teiste intsidentide taga. Grupil on oma arsenalis mitmekesine pahavaratööriistade komplekt, kuid praegu viib see peamiselt läbi sihitud andmepüügikampaaniaid. Sellegipoolest on täheldatud ka kohandatud täiustatud implantaatide kasutuselevõttu.
THE DUKES
Tuntud ka kui APT29, Cozy Bear või Nobelium. Kurikuulus küberespionaaži grupp, aktiivne vähemalt 2008. aastast. NCSC-UK andmetel seotud SVR-iga (Venemaa Föderatsiooni välisluureteenistus). Tuntud kui üks gruppidest, kes häkkis USA Demokraatliku Rahvuskomitee 2016. aasta valimiste eel. 2019. aastal paljastas ESET selle ulatusliku espionaaži operatsiooni, mis oli suunatud mitme Euroopa välisministeeriumi vastu. Tuntud 2020. aasta tarneahela rünnaku poolest, mis kasutas ära SolarWindsi, viies suurte organisatsioonide, sealhulgas paljude USA valitsuse osade kompromiteerimiseni. Vastutab mitme 2021. aastal toimunud spearphishing kampaania eest, mis olid suunatud Euroopa diplomaatide vastu.
TURLA
Tuntud ka kui Snake. Küberespionaaži grupp, aktiivne vähemalt 2004. aastast, võimalik et juba 1990. aastate lõpust. Arvatakse olevat osa FSB-st. Keskendub peamiselt kõrgetasemelistele sihtmärkidele, nagu valitsused ja diplomaatilised üksused Euroopas, Kesk-Aasias ja Lähis-Idas. Grupp on tuntud selliste suurorganisatsioonide ründamise poolest nagu USA kaitseministeerium 2008. aastal ja Šveitsi kaitseettevõte RUAG 2014. aastal.
UAC-0099
Küberespionaaži grupp, mis sihib valitsusorganisatsioone, finantsinstitutsiioone ja meediat Ukrainas. Aktiivne vähemalt 2022. aastast. Sihtimise põhjal usutakse keskmise kindlusega, et grupp on seotud Venemaa huvidega. Tavaliselt kasutatakse LONEPAGE'i, PowerShelli allalaadijat, mis on nimetatud sõna "page" esinemise järgi C&C (käsu- ja juhtimis) linkides.
VERMIN
Tuntud ka kui UAC-0020. Venemaaga seotud ohugrupp, tuntud küberespionaaži rünnakute poolest valitsus- ja sõjaliste sihtmärkide vastu Ukrainas. Aktiivne vähemalt 2015. aastast. Arvatakse, et grupp on seotud nn Luganski Rahvavabariigiga.
ZEBROCY
Tuntud ka kui UAC-0063 või TAG-110. Venemaaga seotud ohugrupp, tuntud küberespionaaži rünnakute poolest valitsus-, sõjaliste ja välisasjade sihtmärkide vastu Kesk-Aasias ja Ukrainas. Aktiivne vähemalt 2015. aastast. Zebrocy pahavaratööriistakomplekt on mõeldud sihitud rünnakukampaaniateks ja sisaldab kõiki vajalikke espionaaži võimekusi, nagu klahvilogimist, ekraanipiltide tegemist, luuramist, failide loetlemist ja eksfiltratsiooni ning palju muud. See on arendatud modulaarsel viisil, võimaldades uuendusi ja operaatorite poolt tarnitud uute moodulite käivitamist.
TRANSPARENT TRIBE
Tuntud ka kui Operation C-Major, Mythic Leopard, ProjectM, APT36 või Earth Karkaddan. Küberespionaaži grupp, mis sihib India armeed ja sellega seotud varasid Indias, samuti aktiviste ja kodanikuühiskonda Pakistanis. Nõrgad seosed Pakistani ühendusega on teinud Trend Micro ja teised. Grupp kasutab sotsiaalset manipuleerimist ja andmepüüki pahavara levitamiseks. Ajalooliselt on kasutatud tagauksi, eriti CrimsonRAT-i, Windowsi kasutavate ohvrite vastu, aeg-ajalt kasutades ka Androidi tagaust AndroRAT.
ARID VIPER
Tuntud ka kui APT-C-23, Desert Falcons või Two-tailed Scorpion. Küberespionaaži grupp, tuntud Lähis-Ida riikide sihtimise poolest. Aktiivne vähemalt 2013. aastast. Sihib peamiselt Palestiina ja Iisraeli ohvreid, sealhulgas õiguskaitseorganeid, sõjaväge ja valitsust, aga ka aktiviste ja üliõpilasi. Kasutab laialdast pahavara arsenali Androidi, iOS-i ja Windowsi platvormidel, sealhulgas mitmeid kohandatud tagauksi. Arvatakse, et grupp on seotud Hamasiga ja tegutseb Gaza sektorist.
BAHAMUT
APT grupp, mis spetsialiseerub küberespionaaži. Arvatakse, et selle eesmärk on varastada tundlikku teavet. Nimetatakse ka palgasõdurite grupiks, mis pakub häkkimisteenuseid laiale kliendiringile. Tavaliselt sihitakse üksuseid ja isikuid Lähis-Idas ja Lõuna-Aasias spearphishing sõnumite ja võltsrakenduste abil kui esmase rünnakuvektorina.
BIBIGUN
Hamase toetatud häktivistide grupp. Ilmus esmakordselt 2023. aasta Iisraeli-Hamase sõja ajal. Grupp on tuntud kustutajate (wipers) kasutamise poolest Iisraeli sihtmärkide vastu, kasutades nii Windowsi kui ka Linuxi binaare. Grupi esialgse kustutaja avastas Security Joes 2023. aastal ja teise avastas ESET ning teatas sellest samal aastal.
BLADEHAWK
Lähis-Ida küberespionaaži ohugrupp, avastatud 2020. aastal. Ajalooliselt on sihitud Põhja-Iraagi kurdide etnilise rühma vastu. Grupp on kasutanud nii Windowsi kui ka Androidi pahavara oma ohvrite sihtimiseks. 2021. aastal kirjeldas ESET grupi espionaaži kampaaniat, mida levitati Facebookis kurdidevastase sisu kaudu, sihides mobiilkasutajaid Androidi tagaustega.
POLONIUM
Küberespionaaži grupp, esmakordselt dokumenteeritud 2022. aastal. Arvatakse, et grupp asub Liibanonis ja sihib peamiselt Iisraeli organisatsioone. Selle tööriistakomplekt koosneb seitsmest kohandatud tagauksest, sealhulgas ühest, mis kuritarvitab OneDrive'i ja Dropboxi pilveteenuseid C&C (käsu- ja juhtimis) eesmärkidel, ning teistest, mis kasutavad Dropboxi ja Mega failisalvestusteenuseid. Grupp on kasutanud ka mitmeid kohandatud mooduleid oma sihtmärkide luuramiseks.
STEALTH FALCON
Araabia Ühendemiraatidega seotud ohugrupp. Aktiivne alates 2012. aastast. Tuntud poliitiliste aktivistide, ajakirjanike ja dissidentide sihtimise poolest Lähis-Idas. Esmakordselt avastas ja kirjeldas Citizen Lab 2016. aastal avaldatud nuhkvararünnakute analüüsis. 2019. aastal jõudis Amnesty International järeldusele, et Stealth Falcon ja Project Raven, algatus, mis väidetavalt palkas endisi NSA operatiive, on üks ja sama grupp.
STRONGPITY
Tuntud ka kui PROMETHIUM või APT-C-41. Küberespionaaži grupp, aktiivne vähemalt 2012. aastast. Sihib peamiselt Türgis asuvaid üksuseid, kuid on tegutsenud ka ülemaailmselt. Ajalooliselt on sihitud Windowsi platvormi oma nimelise pahavaraga. Siiski omistati 2022. aasta lõpus grupile ka kaks troojastatud Androidi rakendusi levitavat kampaaniat.
ASYLUM AMBUSCADE
Küberkuritegevuse grupp, mis on kõrvalt läbi viinud küberespionaaži operatsioone. Esmakordselt avalikult paljastatud 2022. aasta märtsis, pärast seda kui grupp sihis Euroopa valitsustöötajaid, kes olid seotud Ukraina põgenike abistamisega, vaid mõned nädalad pärast Venemaa-Ukraina sõja algust.
CLOUD ATLAS
Tuntud ka kui Inception Framework. Küberespionaaži grupp, aktiivne vähemalt 2014. aastast. Arvatakse olevat ka Red Octoberi, vanema küberespionaaži grupi hargettevõte, mis Chronicle'i turvaajaveebis (nüüd osa Google Security Operationsist) avaldatu kohaselt oli võimalik kahe riigi koostöö. Grupp sihib peamiselt valitsusi ja ettevõtteid strateegilistes sektorites nagu kaitse Venemaal, Euroopas ja Kaukaasias.
FROSTY NEIGHBOR
Tuntud ka kui UNC1151, DEV-0257, PUSHCHA, Storm-0257 või TA445. Aktiivne vähemalt 2016. aastast. Väidetavalt tegutseb Valgevenest. Enamik grupi operatsioonidest on suunatud Valgevenega piirnevatele riikidele; vähemus on täheldatud teistes Euroopa riikides. Viib läbi mõju- ja desinformatsioonikampaaniaid, kuid on kompromiteerinud ka mitmesuguseid valitsus- ja erasektori üksuseid, keskendudes Ukrainale, Poolale ja Leedule.
MOUSTACHED BOUNCER
Küberespionaaži grupp, esmakordselt paljastatud ESET-i poolt. Aktiivne vähemalt 2014. aastast. Sihib peamiselt välissaatkondi Valgevenes. Alates 2020. aastast on grupp tõenäoliselt suuteline läbi viima vahendaja-rünnakuid (adversary-in-the-middle) ISP tasemel Valgevenes, et kompromiteerida oma sihtmärke.
WINTER VIVERN
Küberespionaaži grupp, esmakordselt avastatud 2021. aastal. Arvatakse olevat aktiivne vähemalt 2020. aastast. Sihib valitsusi Euroopas ja Kesk-Aasias. Grupp kasutab pahatahtlikke dokumente, andmepüügi veebisaite ja kohandatud PowerShelli tagaust oma sihtmärkide kompromiteerimiseks. Alates 2022. aastast on see spetsiifiliselt sihitud ka Zimbra ja Roundcube'i meiliservereeid. 2023. aastal täheldas ESET, et grupp kasutab ära vanu XSS haavatavusi Roundcube'is.
XDSPY
Küberespionaaži grupp, aktiivne vähemalt 2011. aastast. Tuntud valitsusüksuste sihtimise poolest, nagu sõjaväed, välisministeeriumid ja riigile kuuluvad ettevõtted Ida-Euroopas (sealhulgas Venemaal) ja Balkani poolsaarel. Grupp kasutab spearphishing e-kirju oma sihtmärkide kompromiteerimiseks. 2020. aastal kasutas see ära Internet Exploreri haavatavust, kui avalikult polnud saadaval ei kontseptsiooni tõendust ega palju teavet selle kohta. Tõenäoliselt ostis grupp selle ärakasutamise maaklerilt.
APT-C-60
Tuntud ka kui False Hunter või APT-Q-12. Lõuna-Koreaga seotud küberespionaaži grupp, aktiivne vähemalt 2018. aastast. Keskendub peamiselt kõrgetasemelistele sihtmärkidele nagu valitsused, kaubandusettevõtted ja mõttekojad. Grupp kasutab potentsiaalselt huvitavaid sündmusi, või selle operaatorid esinevad üliõpilastena, kes küsivad arvamusi asjakohaste uurimisteemade kohta, et meelitada oma sihtmärke. Kasutab kohandatud allalaadijaid ja modulaarset tagaust, mida levitatakse spearphishing e-kirjade kaudu. Selle operatsioone iseloomustab mitme allalaadijafaasi kasutuselevõtt ja kohandatud tagauks, mis suudab laadida pluginaid.
ANDARIEL
Peetakse Lazaruse alarühmaks (seotud Põhja-Koreaga). Tegevus ulatub tagasi 2009. aastasse. Grupp keskendub peamiselt Lõuna-Korea sihtmärkidele, sealhulgas nii valitsus- kui ka sõjaüksustele, samuti ettevõtetele nagu pangad, krüptovaluutabörsid ja veebipõhised maaklerid. Eesmärgid on suunatud kas küberespionaaži või rahalise kasu saamisele. Grupi avalikult avalikustatud intsidentide hulgas on rünnakud Souli rahvusvahelisele aero- ja kaitsenäitusele (ADEX) 2015. aastal ning India Kudankulami tuumaelektrijaamale (KKNPP) 2019. aastal.
DECEPTIVE DEVELOPMENT
Põhja-Koreaga seotud grupp, esmakordselt dokumenteeritud 2023. aastal. Operaatorid on keskendunud peamiselt rahalisele kasule, sihtides tarkvaraarendajaid Windowsis, Linuxis ja macOS-is krüptovaluuta varastamiseks, võimaliku teisese eesmärgiga küberespionaaži läbiviimiseks. Grupp kasutab võltsitud värbajate profiile sotsiaalmeediates. Võetakse ühendust tarkvaraarendajatega, sageli nendega, kes on seotud krüptovaluuta projektidega, pakkudes potentsiaalsetele ohvritele troojastatud koodibaase, mis paigaldavad tagauksi võltsitud tööintervjuu protsessi osana.
KIMSUCKY
Põhja-Koreaga seotud küberespionaaži grupp. Aktiivne vähemalt 2013. aastast. Grupp sihis algselt Lõuna-Koreaga seotud üksuseid, kuid viimastel aastatel on laiendanud oma tegevust laiemalt, hõlmates ka Ameerika Ühendriike ja Euroopa riike. Sihib valitsusüksuseid, uurimisinstituute, krüptovaluutaettevõtteid ja eraettevõtteid, peamise eesmärgiga küberespionaaž ja luure kogumine.
KONNI
Põhja-Koreaga seotud ohustajate grupp. Analüütikud teatasid sellest esmakordselt 2017. aastal. Sihib peamiselt Vene ja Lõuna-Korea poliitilisi institutsioone. Kasutab sageli spearphishing rünnakuid esialgse juurdepääsu saamiseks ja toetub kohandatud kaughaldustööriistale (RAT) püsivuse ja pideva juurdepääsu tagamiseks ohvri masinale. Kuigi mõned turvauurijad paigutavad grupi ScarCruft (APT37), Lazaruse või Kimsuky alla, ei suuda ESET neid väiteid kinnitada.
LAZARUS
Tuntud ka kui HIDDEN COBRA. APT grupp, seotud Põhja-Koreaga. Aktiivne vähemalt 2009. aastast. Vastutab kõrgetasemeliste intsidentide eest nagu Sony Pictures Entertainmenti häkkimine ja küberrünnakud, mis maksid 2016. aastal kümnetesse miljonitesse dollaritesse, WannaCryptori (tuntud ka kui WannaCry) puhang 2017. aastal, ning pikk ajalugu häirivate rünnakutega Lõuna-Korea avaliku ja kriitilise taristu vastu vähemalt 2011. aastast. Grupi defineerivad kampaaniate mitmekesisus, arv ja ekstravagantsus nende elluviimisel, samuti osalemine kõigis kolmes küberkuritegevuse sambas: küberespionaaž, küberdiversioon ja rahalise kasu taotlemine.
OPERATION IN(TER)CEPTION
ESET-i nimetus rea rünnakute jaoks, mis on omistatud sellele grupile. Need rünnakud on kestnud vähemalt 2019. aastast, sihtides kosmos-, sõjaväe- ja kaitseettevõtteid. Operatsioon on tähelepanuväärne LinkedIni-põhise spearphishingu kasutamise ja tõhusate varjumistrikide poolest. Nagu nimi In(ter)ception viitab, näib selle peamine eesmärk olevat ettevõtete spionaaž.
SCARCRUFT
Tuntud ka kui APT37 või Reaper. Arvatakse olevat Põhja-Korea espionaaži grupp. Tegutseb vähemalt 2012. aastast. Keskendub peamiselt Lõuna-Koreale, kuid sihib ka teisi Aasia riike. Grupp näib olevat huvitatud peamiselt valitsus- ja sõjaorganisatsioonidest ning erinevatele Põhja-Korea huvidega seotud tööstusharudele kuuluvatest ettevõtetest. Selle tööriistakomplekt sisaldab laia valikut allalaadijaid, eksfiltratsiooni tööriistu ja tagauksi, mida kasutatakse espionaaži eesmärkidel.
AGRIUS
Küberdiversioonide grupp, mille arvatav seotus Iraaniga. Aktiivne alates 2020. aastast. On sihitud ohvreid Iisraelis ja Araabia Ühendemiraatides. Grupp kasutas algselt lunavaraks maskeeritud kustutajat, kuid muutis selle hiljem täisväärtuslikuks lunavaraks. Kasutab ära teadaolevaid haavatavusi internetile avatud rakendustes veebikestade paigaldamiseks, seejärel viib läbi sisemist luuret enne külgsuunalist liikumist.
BALLISTIC BOBCAT
Varem jälgitud kui APT35 ja APT42 (tuntud ka kui Charming Kitten, TA453 või PHOSPHORUS). Arvatav Iraani riiklik ohustaja, kes sihib haridus-, valitsus- ja tervishoiuorganisatsioone, samuti inimõiguslasi ja ajakirjanikke. Kõige aktiivsem Iisraelis, Lähis-Idas ja Ameerika Ühendriikides. Pandeemia ajal sihiti COVID-19-ga seotud organisatsioone, sealhulgas Maailma Terviseorganisatsiooni ja Gilead Pharmaceuticalsi, samuti meditsiiniuuringutega tegelevat personali.
BLADEDFELINE
Iraaniga seotud küberespionaaži grupp. Aktiivne vähemalt 2017. aastast. Esmakordselt avastatud 2023. aastal, sihtides kurdi diplomaatilisi ametnikke oma tagauksega. 2024. aastal jätkas kurdi ametnike sihtimist, koos Iraagi valitsusametnikega ja piirkondliku telekommunikatsiooni pakkujaga Usbekistanis. Hinnatud kõrge kindlusega, et grupp on OilRigi alarühm – tuntud ka kui APT34 või Hazel Sandstorm (varem EUROPIUM) – mis jagab omadusi BladeHawki ja FreshFelinega.
CYBERTOUFAN
Ohustajate grupp, tuntud küberrünnakute poolest Iisraeli organisatsioonide vastu. Arvatakse, et grupp asub Türgis, kuid viib läbi rünnakuid, mis on kooskõlas Iraani valitsuse eesmärkidega. On seos grupi ja Frankensteiniga, grupp, mis on ajalooliselt töötanud Palestiina alade huvide toetamiseks ja on samuti seotud Iraani huvidega. Grupp on olnud seotud häkkimis- ja lekitamisoperatsioonide, andmelekete ja andmete hävitamisega.
DOMESTIC KITTEN
APT-C-50 grupi läbiviidud kampaania. Kampaanias on grupp läbi viinud mobiilseid jälgimisoperatsioone Iraani kodanike vastu alates 2016. aastast, nagu Check Point teatas 2018. aastal. 2019. aastal tuvastas Trend Micro pahatahtliku kampaania, mis oli võimalik seotud Domestic Kitteniga, sihtides Lähis-Ida, nimetades kampaaniaks Bouncing Golf. Varsti pärast seda, samal aastal, teatas Qianxin Domestic Kitteni kampaaniast, mis sihib taas Iraani. 2020. aastal avalikustas 360 Core Security Domestic Kitteni jälgimistegevused, mis sihivad valitsusvastaseid gruppe Lähis-Idas. Viimane avalikult kättesaadav aruanne on 2021. aastast, Check Pointilt.
FRESHFELINE
Tuntud ka kui MosesStaff. Iraani küberespionaaži grupp, mis sihib erinevaid sektoreid Iisraelis, Itaalias, Indias, Saksamaal, Tšiilis, Türgis, Araabia Ühendemiraatides ja USA-s. Aktiivne vähemalt 2021. aastast, mil kasutati varem tundmatut tagaust kahe Iisraeli ettevõtte vastu. 2021. aastal paigaldati lunavara Iisraeli ohvritele. Grupp sihib internetile avatud Microsoft Exchange servereid paigaldamata teadaolevate haavatavustega kui peamist sisenemisviisi, millele järgneb külgsuunaline liikumine ja oma kohandatud tagaukse paigaldamine.
GALAXY GATO
Tuntud ka kui C5, Smoke Sandstorm, TA455 või UNC1549. Iraani valitsuse huvidega seotud küberespionaaži grupp. Aktiivne vähemalt 2022. aastast. Grupp sihib organisatsioone Lähis-Idas (sealhulgas, kuid mitte ainult, Iisraelis, Omaanis ja Saudi Araabias) ja Ameerika Ühendriikides kosmose-, lennundus- ja kaitsetööstuse sektorites. Selle meetodid kattuvad Tortoiseshelli omadega, grupp, mis on seotud Iraani Islamivabariigi Revolutsioonilise Kaardiväe (IRGC) elektroonilise sõjapidamise ja küberkaitse (EWCD) organisatsiooniga, ja APT33-ga, mis on samuti seotud IRGC-EWCD-ga. Grupi tüüpilised meetodid hõlmavad spearphishingut kirjavigadega domeenide kasutamisega, paroolide pritsimist ning kohandatud tagauste arendamist ja paigaldamist.
LYCEUM
Tuntud ka kui HEXANE või Storm-0133. OilRigi alarühm, aktiivne vähemalt 2017. aastast. Grupp on sihitud organisatsioone Lähis-Idas, eriline fookus Iisraeli organisatsioonidel, sealhulgas riiklikel ja kohalikul tasandil valitsusüksustel ning tervishoiuorganisatsioonidel. Grupile omistatud peamised tööriistad hõlmavad erinevaid tagauksi ja mitmeid allalaadijaid, mis kasutavad C&C (käsu- ja juhtimis) suhtluseks legitiimseid pilveteenuseid.
MUDDYWATER
Iraani Luure- ja Julgeolekuministeeriumiga (MOIS) seotud küberespionaaži grupp. Aktiivne vähemalt 2017. aastast. Grupp sihib ohvreid Lähis-Idas ja Põhja-Ameerikas, keskendudes telekommunikatsioonile, valitsusorganisatsioonidele ning nafta- ja energiatööstusele. Operaatorid kasutavad sageli skriptipõhiseid tagauksi nagu PowerShell. Nende eelistatud esialgse juurdepääsu meetod on spearphishing e-kirjad manustega – sageli PDF-id linkidega, mis viitavad failisalvestusrepositooriumidele nagu Egnyte ja OneHub.
OILRIG
Tuntud ka kui APT34 või Hazel Sandstorm (varem EUROPIUM). Küberespionaaži grupp, mille arvatakse asuvat Iraanis. Aktiivne vähemalt 2014. aastast. Grupp sihib Lähis-Ida valitsusi ja erinevaid ärisektoreid, sealhulgas keemia-, energia-, finants- ja telekommunikatsioonitööstust. Tähelepanuväärsed kampaaniad hõlmavad 2018. ja 2019. aasta DNSpionage kampaaniat, mis sihis ohvreid Liibanonis ja Araabia Ühendemiraatides; 2019.–2020. aasta HardPass kampaaniat, mis kasutas LinkedIni Lähis-Ida ohvrite sihtimiseks energia- ja valitsussektorites; 2020. aasta rünnakut Lähis-Ida telekommunikatsiooniorganisatsiooni vastu; ning 2023. aasta rünnakuid Lähis-Ida organisatsioonide vastu. Lisaks nendele intsidentidele jälgib ESET teisi OilRig-iga seotud tegevusi eraldi alarühmade all: Lyceum, ShroudedSnooper ja BladedFeline.
SHROUDED SNOOPER
Tuntud ka kui Scarred Manticore või Storm-0861. OilRigi alarühm, aktiivne vähemalt 2019. aastast. Esmakordselt tuvastas Microsoft 2021.–2022. aasta hävitavates rünnakutes Albaania valitsuse vastu, olles andnud teistele OilRigi alarühmadele esialgse juurdepääsu võrgule avalikele rakendustele suunatud ärakasutamise kaudu. 2023. aastal viis grupp läbi rünnakuid valitsus- ja sõjaorganisatsioonide ning telekommunikatsiooniettevõtete vastu Lähis-Idas.
TORTOISESHELL
Tuntud ka kui Crimson Sandstorm, Imperial Kitten, TA456 või Yellow Liderc. Küberespionaaži grupp, aktiivne vähemalt 2019. aastast. Grupp kasutab esialgse juurdepääsu saamiseks sotsiaalset manipuleerimist ja andmepüügi e-kirju ning toetub tugevalt Microsoft Office makrodele ja varajase faasi implantaatidele, mida kasutatakse süsteemi- ja võrguluureks. Sihtmärgid hõlmavad tavaliselt mere-, laevandus- ja logistikasektoreid USA-s, Euroopas ja Lähis-Idas.
WILDPRESSURE
Küberespionaaži grupp, mis sihib ohvreid Lähis-Idas nafta-, gaasi- ja insenerisektorites. Aktiivne vähemalt 2019. aastast, mil avastati selle esimene tagauks. 2021. aastal täheldati grupi poolt lisatööriistade kasutuselevõttu.
DONOT TEAM
Tuntud ka kui APT-C-35 või SectorE02. Indiaga seotud ohustaja, tegutseb vähemalt 2016. aastast. Amnesty Internationali 2021. aasta aruanne seostas grupi pahavara India küberturvaettevõttega, mis võib müüa nuhkvara või pakkuda häkkerite-palkamisteenust piirkonna valitsustele. Grupp sihib organisatsioone Lõuna-Aasias, kasutades Windowsi ja Androidi pahavara, kusjuures enamik ohvreid asub Pakistanis, Bangladeshis, Sri Lankal, Nepalis ja Hiinas. Kampaaniad keskenduvad espionaaži eesmärkidele, kasutades oma signatuurset pahavarasraamistikku, mille peamine eesmärk on andmete kogumine ja eksfilteerimine.
BACKDOOR DIPLOMACY
ESET-i kasutatav nimetus APT15 alarühma jaoks, mis sihib peamiselt valitsusorganisatsioone ja telekommunikatsiooniettevõtteid Aafrikas ja Lähis-Idas. Aktiivne vähemalt 2017. aastast. 2022. aastal dokumenteeris Bitdefender grupi tegevusi telekommunikatsioonitööstuse vastu Lähis-Idas. 2023. aastal jagas Unit 42 oma analüüsi grupi kompromiteerimisest Iraani valitsuse võrkudes. 2021. aastal demonstreeris ESET seoseid grupi ja selle vahel, mida Kaspersky jälgib kui CloudComputating, grupp, mis on aktiivne vähemalt 2012. aastast. ESET on täheldanud ka mitmeid seoseid teiste APT15 alarühmadega, nagu Mirage, Ke3chang ja DigitalRecyclers.
BLACKWOOD
Hiinaga seotud APT grupp, mis tegeleb küberespionaaži operatsioonidega Hiina ja Jaapani isikute ja ettevõtete vastu. Aktiivne vähemalt 2018. aastast. 2020. aastal avastasid ESET-i teadlased grupi pärast kahtlaste failide tuvastamist süsteemis Hiinas. Grupi operaatoritel on võimekus läbi viia vahendaja-rünnakuid (adversary-in-the-middle), mis võimaldab neil tarnida oma implantaati legitiimse tarkvara uuenduste kaudu ja varjata oma C&C (käsu- ja juhtimis) serverite asukohta, peatades implantaadi genereeritud liiklust.
BRONZE SILHOUETTE
Tuntud ka kui Volt Typhoon või Vanguard Panda. Hiinaga seotud küberespionaaži grupp, aktiivne vähemalt 2022. aastast. Sihib peamiselt kaitsetööstust ja kriitilisi organisatsioone USA-s. Esmakordselt avalikustati 2023. aastal, pärast seda kui tabati kriitilise taristu ründamisel Guamil, USA saare territooriumil Lääne-Vaikse ookeani piirkonnas, kus asub mitu USA sõjaväebaasi.
CERANA KEEPER
Hiinaga seotud küberespionaaži grupp, aktiivne vähemalt 2022. aasta algusest. Sihib peamiselt valitsusüksuseid Kagu-Aasias. Grupp on tuntud oma dokumenteeritud komponentide TONEINS, TONESHELL ja PUBLOAD kasutamise, avalikult kättesaadavate tööriistade kasutamise ning pilveteenuseid ja failijagamisteenuseid kasutavate eksfiltratsiooni tehnikate poolest. Mõned selle tegevused on omistatud Mustang Pandale (tuntud ka kui Earth Preta või Stately Taurus). ESET omistab need tegevused aga eraldi grupile.
CLOUDSORCERER
Ohustaja, kellest esmakordselt avalikult teatati 2024. aastal; siiski sisaldab ESET-i telemeetriaandmed jälgi grupi tegevusest 2022. aasta algusest. Grupp viib läbi küberespionaaži operatsioone valitsusorganisatsioonide ja tehnoloogiasektori vastu Venemaal ning mõttekodade vastu Ameerika Ühendriikides. Selle operatsioone iseloomustavad spearphishing e-kirjad manustatud arhiiviga. Grupp kasutab kolmiku külglaadimise tehnikat grupi peamise tagaukse tarnimiseks ja hiljem pilveteenuste nagu Yandex, OneDrive või Dropbox kuritarvitamiseks käskude vastuvõtmiseks.
DIGITAL RECYCLERS
ESET-i avastatud ohustaja. Aktiivne vähemalt 2018. aastast. Grupp viib regulaarselt läbi espionaaži operatsioone valitsusorganisatsioonide vastu Euroopas. Madalal usaldustasemel usutakse, et grupp on seotud Ke3changi ja BackdoorDiplomacyga.
EVASIVE PANDA
Tuntud ka kui BRONZE HIGHLAND, Daggerfly ja StormBamboo. Hiinaga seotud APT grupp, tegutseb vähemalt 2012. aastast. Selle eesmärk on küberespionaaž riikide ja organisatsioonide vastu, kes vastanduvad Hiina huvidele iseseisvusliikumiste kaudu, nagu Tiibeti diasporaa, usulised ja akadeemilised institutsioonid Taiwanis ja Hongkongis ning demokraatia toetajad Hiinas. ESET on mõnikord täheldanud selle operatsioonide laienemist sellistesse riikidesse nagu Vietnam, Myanmar ja Lõuna-Korea. Grupp on kogunud muljetavaldava nimekirja rünnakumeetoditest, nagu tarneahela ja veeaugurünnakud ning DNS-i kaaperdamine. Samuti demonstreerib see tugevat pahavara arendamise võimekust, mida näitlikustab selle ulatuslik mitmeplatvormiliste tagauste kogu Windowsi, macOS-i ja Androidi jaoks.
FAMOUSSPARROW
Hiinaga seotud küberespionaaži grupp. Arvatakse olevat aktiivne vähemalt 2019. aastast. Grupp oli algselt tuntud hotellide sihtimise poolest üle maailma, kuid on sihitud ka valitsusi, rahvusvahelisi organisatsioone, kaubandusühendusi, insenerettevõtteid ja õigusbüroosid. See on ainus teadaolev SparrowDoor tagaukse kasutaja. Grupp on seotud Earth Estries grupiga, kuid seose täpne olemus pole täielikult teada. Seda on avalikult seostatud ka Salt Typhooniga, kuid tehniliste näitajate puudumise tõttu jälgib ESET neid eraldi üksustena.
FISHMONGER
Tuntud ka kui Earth Lusca, TAG-22, Aquatic Panda või Red Dev 10. Küberespionaaži grupp, mille arvatakse olevat opereeritud Hiina töövõtja I-SOON poolt ja kuulub Winnti Groupi alla. ESET avaldas analüüsi grupist 2020. aasta alguses, kui see sihis intensiivselt Hongkongi ülikoole seal toimuvate kodanikurahutuste ajal. Kirjeldasime globaalset kampaaniat, mis sihib valitsusi, vabaühendusi ja mõttekodusid üle Aasia, Euroopa ja Ameerika Ühendriikide. Grupp on tuntud ka veeaugurünnakute läbiviimise poolest.
FLAX TYPHOON
Tuntud ka kui ETHEREAL PANDA. Hiinaga seotud APT grupp, aktiivne vähemalt 2021. aastast. Sihib peamiselt Taiwani organisatsioone. Grupp kasutab China Chopper veebikesta, Juicy Potato õiguste eskaleerimise tööriista ja selle mitmeid variatsioone, samuti Mimikatz-i. Kasutab ulatuslikult maalt-elamine binaare (LOLBins) tuvastamise vältimiseks.
FONTGOBIN
Hiinaga seotud APT grupp. ESET-i teadlased valisid selle nime grupi pikaajalise kasutuse tõttu (vähemalt 2022. aastast) võltsitud fondifailide kasutamisel C:\Windows\Fonts kaustas varjatud koormustena konkreetsele laadijate komplektile. Sihib peamiselt valitsusüksuseid Kõrgõzstanis, Usbekistanis, Kasahstanis ja Pakistanis.
FONTFUNKYGORILLAS
Hiinaga seotud APT grupp, mis sihib erinevaid sektoreid Ida-Euroopas ja Kesk-Aasias. Grupp kasutab Zmm tagaust ja Trochilus RAT-i. Zmm tagaust arendab StartupNation grupp, mis arendab ka Mikroceen RAT-i, mida kasutab SixLittleMonkeys APT grupp.
GALLIUM
Tuntud ka kui Soft Cell, Alloy Taurus, Red Moros või Othorene. Hiinaga seotud APT grupp, mis sihib telekommunikatsiooni pakkujaid ja valitsusorganisatsioone üle maailma. Tuntud ka akadeemilise sektori sihtimise poolest. Selle tööriistakomplekt sisaldab kohandatud C++ tagaust, IIS veebikesta, mis põhineb China Chopperil, erinevaid Mimikatzil põhinevaid mandaatide varastajaid ja mitmesuguseid valmistööriistu.
GELSEMIUM
Hiinaga seotud küberespionaaži grupp. Aktiivne vähemalt 2014. aastast. Sel aastal avaldas G DATA valge raamatu Operation TooHashi kohta, kampaania, mille ohvrid näisid asuvat Ida-Aasias, lähtudes kampaanias kasutatud dokumentidest. Operaatorid kasutasid spearphishingut manustega, mis kasutasid ära toona vana haavatavust Microsoft Office'is, samuti kolme komponenti, millest kaks olid allkirjastatud varastatud sertifikaadiga. 2016. aastal esines Verint Systems HITCON-il, kus räägiti TooHashi operatsiooni uuest tegevusest, millest oli mainitud kaks aastat varem, kasutades endiselt sama ärakasutamist Microsoft Office'i vastu.
GOPHERWHISPER
Aktiivne vähemalt 2023. aastast. Hiinaga seotud küberespionaaži grupp, mis keskendub tagauste loomisele ja kasutab C&C suhtluseks ning eksfiltratsioonis legitiimseid teenuseid nagu Discord, Slack ja file.io. 2025. aasta seisuga näitab ESET-i telemeetria, et grupp on sihitud valitsusinstitutsioonide vastu Mongoolias.
GREF
Hiinaga seotud küberespionaaži grupp, aktiivne vähemalt 2009. aastast. Nimetatud Google'i viidete rohke kasutamise järgi koodis ja tähelepanuväärne drive-by kompromiteerimiste kasutamise poolest. Grupi arsenal sisaldab pahavara Windowsi, OS X-i ja Androidi kasutajatele. Esmakordselt dokumenteeritud 2014. aastal, kui kasutati OS X tagaust elektroonika- ja insenerettevõtete ning Aasia huvidega vabaühenduste sihtimiseks üle maailma. 2020. aastal avastas Lookout neli Androidi tagaust, mida kasutati uiguuride, tiibetlaste ja moslemi kogukondade sihtimiseks üle maailma, mille nad omistasid grupile kattuvate võrgu infrastruktuuride põhjal. Kuigi mitmed allikad väidavad, et
KE3CHANG
Ke3chang (hääldatakse ke-tri-chang) on ESET-i kasutatav nimetus APT15 alarühma jaoks, mis sihib peamiselt valitsusorganisatsioone ja diplomaatilisi esindusi Euroopas ja Ladina-Ameerikas. Nimi põhineb Mandianti 2013. aasta raportil Operation Ke3changi kohta ja kasutame seda järgnevate APT15 tegevuste jaoks, millest on teatanud erinevad organisatsioonid ajavahemikus 2016–2021. Grupi operatsioone iseloomustab ainult lihtsate, esimese astme tagauste paigaldamine piiratud võimekusega ning sellele järgnev tuginemine inimoperaatoritele edasiste käskude käsitsi täitmiseks, kasutades luureks sisseehitatud ja avalikult kättesaadavaid utiliite.
KMA-VPN
Operatiivne relee-kasti (ORB) võrk, mis töötab virtuaalsetel privaatserveritel (VPS-idel) üle kogu maailma. Aktiivne vähemalt 2023. aastast. Mitu Hiinaga seotud ohustajat, sealhulgas DigitalRecyclers ja BackdoorDiplomacy, kasutavad seda varjatud võrku oma võrguliikluse anonümiseerimiseks ja tegeliku päritolu varjamiseks.
LONGNOSEDGOBLIN
Hiinaga seotud APT grupp, avastatud ESET-i poolt 2024. aastal. Sihib valitsusüksuseid Malaisias eesmärgiga läbi viia küberespionaaži. Grupp paigaldab unikaalseid kohandatud pahavarasid ohvrite brauseri ajaloo kogumiseks ja otsustab, kuhu paigaldada tagauks, mis kasutab Microsoft OneDrive pilveteenust. Lisaks kasutab Active Directory rühmapoliitikat pahavara paigaldamiseks ja külgsuunalise liikumise teostamiseks. On väike kattuvus ToddyCat APT grupiga, mis põhineb failiteekadel ja SoftEther VPN-i kasutamisel. Siiski on üldised tööriistakomplektid erinevad.
LOTUS BLOSSOM
Tuntud ka kui Lotus Panda ja Billbug. Hiinaga seotud APT grupp, mis sihib valitsus- ja mereorganisatsioone Kagu-Aasias. Esmakordselt avastatud 2015. aastal. Kasutab Elsentric tagaust ja erinevaid lisatööriistu, nagu Impacket ja Venom proxy.
LUCKYMOUSE
Tuntud ka kui APT27 või Emissary Panda. Küberespionaaži grupp, mis sihib peamiselt valitsusi, telekommunikatsiooniettevõtteid ja rahvusvahelisi organisatsioone. Aktiivne Kesk-Aasias, Lähis-Idas, Mongoolias, Hongkongis ja Põhja-Ameerikas. Üks grupi iseloomulikke tehnikaid on DLL külglaadimise kasutamine oma tagauste laadimiseks.
MIRRORFACE
Tuntud ka kui Earth Kasha. Aktiivne vähemalt 2019. aastast. Hiinaga seotud ohustaja, mis sihib peamiselt ettevõtteid ja organisatsioone Jaapanis, samuti mujal asuvaid Jaapaniga seotud üksuseid. ESET peab seda APT10 alla kuuluvaks alarühmaks. Grupist on teatatud, et see sihib meediaväljaandeid, kaitsetööstusega seotud ettevõtteid, mõttekodusid, diplomaatilisi organisatsioone, finantsinstitutsiioone, akadeemilisi institutsioone ja tootjaid. Keskendub espionaaži ja huvipakkuvate failide eksfiltratsiooni eesmärkidele.
MUSTANG PANDA
Tuntud ka kui TA416, RedDelta, PKPLUG, Earth Preta või Stately Taurus. Küberespionaaži grupp, mille arvatakse asuvat Hiinas. Sihib peamiselt valitsusüksuseid ja vabaühendusi. Kuigi tuntud oma 2020. aasta kampaania poolest, mis sihis Vatikani, asuvad selle ohvrid peamiselt Ida- ja Kagu-Aasias, fookusega Mongoolial. Kampaaniates kasutab grupp sageli kohandatud laadijaid jagatud pahavara jaoks.
PERPLEXED GOBLIN
Tuntud ka kui APT31. Hiinaga seotud küberspionaaži grupp, mis sihib peamiselt Euroopa valitsusasutusi. Kasutab kohandatud implantaati, mida saab paigaldada mitmel viisil, sealhulgas DLL külglaadimise ahela ja enda toodud haavatava tarkvara (BYOVS) ahela kaudu. Väärib märkimist, et grupil on laiem kohandatud tööriistade arsenal, millest osasid pole me veel looduses näinud.
PLUSHDAEMON
Hiinaga seotud ohustaja, kes on tegutsenud vähemalt 2018. aastast. Grupp tegeleb spionaaži operatsioonidega üksikisikute ja organisatsioonide vastu Hiinas, Taiwanis, Hongkongis, Lõuna-Koreas, Ameerika Ühendriikides ja Uus-Meremaal. Kasutab kohandatud tagaust ning peamine esialgse juurdepääsu tehnika on seaduslike uuenduste kaaperdamine, suunates liikluse ründaja kontrollitavatele serveritele võrgu implantaadi kaudu. Lisaks saab grupp juurdepääsu veebiserverite haavatavuste kaudu ning sooritas 2023. aastal tarneahela rünnaku.
RED FOXTROT
APT grupp, mis on tegutsenud vähemalt 2014. aastast. Sihib valitsus-, kaitse- ja telekommunikatsioonisektoreid Kesk-Aasias, Indias ja Pakistanis. Arvatakse, et grupp on osa Rahvavabastusarmee (PLA) üksusest 69010. On üks gruppidest, millel on juurdepääs ShadowPadi tagauksele.
SINISTEREYE
Hiinaga seotud APT grupp, mis on tegutsenud vähemalt 2008. aastast. Viib Hiinas läbi küberspionaaži ja jälgimisoperatsioone, sihtides nii kohalikke kui ka välismaiseid üksikisikuid, ettevõtteid, haridusasutusi ja valitsusasutusi. Grupi tegevus on osa LuoYu APT-le (tuntud ka kui CASCADE PANDA) omistatud operatsioonidest. Kasutab vahelolija-rünnakut, kasutades juurdepääsu Hiina internetiselgroole, et kaaperdada tarkvarauuendusi ja tarnida oma implantaate Windowsi ja Androidi jaoks.
SNEAKY DRAGON
APT grupp, mis sihib üksusi Ida- ja Kagu-Aasias. Tegutsenud vähemalt 2020. aastast. ESET usub, et grupp asub Hiinas. Grupi tunnuslik tööriist on modulaarne pahavara, mis on loodud rõhuasetusega varjatud kaugjuurdepääsu pakkumisele.
SPARKLING GOBLIN
APT grupp, mille taktikad, tehnikad ja protseduurid (TTP) kattuvad osaliselt APT41-ga (tuntud ka kui BARIUM). Kuigi grupp tegutseb peamiselt Ida- ja Kagu-Aasias, sihtib see ka organisatsioone paljudes sektorites üle maailma, erilist tähelepanu pöörates akadeemilisele sfäärile. On samuti üks gruppidest, millel on juurdepääs ShadowPadi tagauksele.
SPECCOM
Tuntud ka kui IndigoZebra või SMAC. Tegutsenud vähemalt 2013. aastast. Aruannete kohaselt vastutab see Hiinaga seotud APT grupp rünnakute eest poliitiliste üksuste vastu mõnedes Kesk-Aasia riikides, täpsemalt Afganistanis, Usbekistanis ja Kõrgõzstanis. ESET-i teadlased on täheldanud selle rünnakuid ka Ekvatoriaal-Guineas, Venemaal, Tadžikistanis ja Iisraelis.
STARTUP NATION
Grupp, mis vastutab pahavara arendamise ja haldamise eest mitme Hiinaga seotud APT grupi jaoks. Tegutsenud vähemalt 2016. aastast. ESET usub, et grupp pakub oma tarkvara Hiinaga seotud APT gruppidele, mida jälgime nimedega SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 ja TA410. On välja töötanud HDMani tööriistakomplekti, Mikroceen RAT-i (tuntud ka kui BYEBY), Zmm tagaukse ja BeRAT tagaukse.
STEPPE DRIVER
Hiinaga seotud spionaaži grupp, mis tegutseb Hiina Rahvavabariigi Sise-Mongoolia autonoomses piirkonnas. ESET avastas grupi 2024. aastal, kui see sihtiis autodiilerit Prantsusmaal. Samuti on see sihikule võtnud valitsusasutusi Mongoolias ja õigusbüroo Lõuna-Ameerikas. Kasutab laia valikut tööriistu, millest enamikku jagavad Hiinaga seotud grupid omavahel. Grupp on ka StartupNationi klient.
TA410
Küberspionaaži katusgrupp, mis on tuntud peamiselt USA-põhiste organisatsioonide sihtimise poolest kommunaalteenuste sektoris ning diplomaatiliste organisatsioonide sihtimise poolest Lähis-Idas ja Aafrikas. Tegutsenud vähemalt 2018. aastast. Esmakordselt avalikustati 2019. aastal. Koosneb kolmest alamgrupist, mille ESET on nimetanud JollyFrog, LookingFrog ja FlowingFrog. 2020. aastal omistati TA410-le ka äsja avastatud ja väga keeruline pahavarapere FlowCloud.
TA428
Tuntud ka kui ThunderCats. APT grupp, mis on tegutsenud vähemalt 2014. aastast. Sihib Ida-Aasia valitsusi, erilist tähelepanu pöörates Mongooliale ja Venemaale. ESET usub, et grupp tegutseb Pekingist Hiina Rahvavabariigis. Grupp kasutab kohandatud tagauksi ja jagatud tööriistu. On üks gruppidest, millel on juurdepääs ShadowPadi tagauksele.
THE WIZARDS
Hiinaga seotud APT grupp, mis on tegutsenud vähemalt 2021. aastast. Tegeleb küberspionaaži operatsioonidega üksikisikute, hasartmänguettevõtete ja tundmatute üksuste vastu Filipiinidel, Araabia Ühendemiraatides ja Hiinas. ESET-i teadlased avastasid selle ohustaja, kui populaarne Hiina rakendus Sogou Pinyin laadis alla pahatahtliku uuenduse. Grupil on võimekus viia läbi vahelolija-rünnakuid, mis võimaldab tal liiklust ümber suunata ja tarnida oma kohandatud pahavara uuenduste kaudu.
TICK
Tuntud ka kui BRONZE BUTLER või REDBALDKNIGHT. APT grupp, mille arvatakse olevat tegutsenud vähemalt 2006. aastast. Sihib peamiselt APAC piirkonna riike. See grupp on tähelepanuväärne oma küberspionaaži operatsioonide poolest, mis keskenduvad salastatud teabe ja intellektuaalomandi vargusele.
TRAPPED GOBLIN
Hiinaga seotud grupp, mis kasutab kohandatud modulaarset pahavara, mille ESET nimetas GrapHop-iks.
UNSOLICITED BOOKER
Hiinaga seotud ohustaja, mis tegutseb vähemalt 2023. aastast. Grupp viib läbi küberspionaaži operatsioone Lähis-Idas. Grupp kattub Space Piratesiga ja ohustajaga, kes kasutab Zardoor tagaust. Omab juurdepääsu erinevatele implantaatidele ning on samuti StartupNationi klient.
WEBSIIC
Tuntud ka kui ToddyCat. ESET-i teadlased avastasid grupi 2021. aastal Microsoft Exchange serverite vastu suunatud rünnakute uurimise käigus, kus kuritarvitati ProxyLogoni haavatavust. Selle põhjal on tõenäoliselt tegemist Hiinaga seotud APT grupiga. Kaspersky andmetel on grupp tegutsenud vähemalt 2020. aastast. Varasemad sihtmärgid hõlmavad organisatsioone Nepalis, Vietnamis, Jaapanis, Bangladeshis ja Ukrainas. Grupi rünnakud ühendavad tavaliselt omapärast omandiõigusega pahavara ja avalikult kättesaadavaid häkkimistööriistu.
WEBWORM
Küberspionaaži grupp, millest Symantec esmakordselt teatas 2022. aastal. On seotud teiste Hiinaga seotud APT gruppidega, nagu SixMonkeys ja FishMonger. Grupp kasutab tuntud pahavaraperede tööriistu. On samuti StartupNationi klient.
WINNTI GROUP
Tegutsenud vähemalt 2012. aastast. Teadaolevalt asub Hiina Sichuani provintsi linnas Chengdus. Vastutab kõrgetasemeliste tarneahela rünnakute eest videomängu- ja tarkvaratööstuse vastu, mille tulemusena levitati mitut troojastatud tarkvara, mida kasutatakse seejärel rohkemate ohvrite ründamiseks. Grupp on tuntud ka selle poolest, et on ohustanud erinevaid sihtmärke eri sektorites, nagu tervishoid ja haridus.
WOROK
Hiinaga seotud küberspionaaži grupp, mis on tegutsenud vähemalt 2020. aastast. ESET usub, et grupp tegutseb Pekingist. Grupp keskendub peamiselt sihtmärkidele Mongoolias, kuid on sihikule võtnud ka üksusi Kõrgõzstanis, Vietnamis, Türgis, Indoneesias ja Namibias. Sihib valitsusasutusi ja teisi avaliku sektori organisatsioone, samuti eraettevõtteid. Grupp kasutab oma kohandatud tööriistu ja avalikult kättesaadavaid tööriistu. Jagab täiendavaid tööriistu ja omadusi teiste Hiinaga seotud gruppidega, eelkõige TA428-ga. Tähelepanuväärselt on grupil juurdepääs ShadowPadi tagauksele ning ta on StartupNationi tarkvarapakkuja grupi klient.
STURGEONPHISHER
Tuntud ka kui YoroTrooper. Küberspionaaži grupp, mis on tegutsenud vähemalt 2021. aastast. Grupp keskendub õngitsusrünnakutele ja veebiposti mandaatide varastamisele. Sihib valitsusametnikke, mõttekodusid ja riigile kuuluvate ettevõtete töötajaid Kaspia mere äärsetes riikides, kusjuures enim sihitud riik on Venemaa Föderatsioon. Arvestades kitsast sihtimist, tegutseb grupp tõenäoliselt mõnest Kesk-Aasia riigist. Tuginedes ohvrikäitumisele ja muudele tehnilistele näitajatele, hindab ESET madala kindlusega, et grupp on kooskõlas Kasahstani huvidega.
Ole kursus. Püsi samm eespool
ESET OHUARUANNE H2 2025
Põhjalik ülevaade globaalsetest ohutrendidest, regionaalsest APT-tegevusest ja pahavara arengutest, mida täheldatakse ESET-i telemeetria kaudu.
APT-tegevuse kokkuvõte
Värskeimad ülevaated aktiivsetest APT-kampaaniatest üle maailma.
WeLiveSecurity: Parimad lood ja uuringud
ESET-i teadlaste ekspertanalüüs ja kommentaarid uusimate küberohtude, avastuste ja turvalisuse trendide kohta.
ESET Researchi taskuhääling: Globaalse ohumaastiku uurimine
Liitu meie analüütikutega, kui nad arutavad omistamist, tööriistu ja globaalseid tegevusmuutusi
Lahenduse ülevaade
Tutvu lahendusega põhjalikumalt — üksikasjalike kirjelduste ja funktsioonide esiletõstmistega.
VÕTA ÜHENDUST
Soovid rohkem teada? Jaga oma kontaktandmeid ja me võtame Sinuga ühendust lisateabe saamiseks.
Saame Sulle demo näidata, arutada kontseptsiooni tõestust või vastata kõigile Ainu küsimustele.