Αποκτήστε πλήρη εικόνα των τεχνικών, της υποδομής και της απόδοσης των κυβερνοεγκληματιών
για να παραμένετε ένα βήμα μπροστά από τις μυστικές δραστηριότητες. Αποκτήστε πρόσβαση στον Σύμβουλο Τεχνητής Νοημοσύνης της ESET,
ο οποίος έχει εκπαιδευτεί σε δεκαετίες έρευνας, και συμβουλευτείτε τους ειδικούς μας για πρακτική καθοδήγηση ώστε να ενισχύσετε την άμυνά σας.
Τυφλά σημεία στην κάλυψη παγκόσμιων απειλών
Οι περισσότερες πληροφορίες εστιάζουν προς τα δεδομένα που επικεντρώνονται στις ΗΠΑ, αφήνοντας κενά σε περιοχές όπου οι δραστηριότητές σας έχουν τη μεγαλύτερη σημασία. Πώς μπορείτε να αποκαλύψετε απειλές που στοχεύουν την Ευρώπη, την Ασία-Ειρηνικό και τους κλάδους υψηλού κινδύνου πριν αυτές χτυπήσουν;
Η απόδοση μπορεί να είναι εξαιρετικά δύσκολη
Οι εξελιγμένες κυβερνοεπιθέσεις περιλαμβάνουν τεχνικές απόκρυψης της προέλευσή τους. Χωρίς εις βάθος έρευνα και γνώση για το γενικότερο πλαίσιο, η σύνδεση των επιθέσεων με συγκεκριμένες ομάδες ή γεωπολιτικά κίνητρα είναι απλώς μια εικασία. Μπορεί η ομάδα σας να αποδώσει με βεβαιότητα προηγμένες απειλές;
Καθυστερημένη ή γενική αναφορά APT
Μέχρι να φτάσουν σε εσάς οι πληροφορίες, οι εισβολείς έχουν προχωρήσει. Οι γενικές περιλήψεις δεν παρέχουν λεπτομερή στοιχεία που να μπορούν να εφαρμοστούν. Πώς μπορείτε να λάβετε έγκαιρες, τεχνικές πληροφορίες που βελτιώνουν πραγματικά την κατάσταση ασφαλείας σας;
Περιορισμένη κατανόηση των τακτικών του αντιπάλου
Η γνώση ότι έχει συμβεί μια επίθεση δεν είναι αρκετή. Χωρίς σαφήνεια σχετικά με τις μεθόδους και την υποδομή του εισβολέα, οι άμυνες παραμένουν απλά σε επίπεδο της αντίδρασης. Έχετε τις απαραίτητες πληροφορίες για να προβλέψετε και να διακόψετε την επόμενη κίνησή τους;
ΔΕΙΤΕ ΤΙ ΠΑΡΑΛΕΙΠΟΥΝ ΟΙ ΑΛΛΟΙ
Κατανοήστε τα κίνητρα, τους στόχους και τις τακτικές των ομάδων APT που σχετίζονται με τον οργανισμό σας.
ΕΝΙΣΧΥΣΤΕ ΤΙΣ ΑΜΥΝΕΣ ΣΑΣ ΠΡΙΝ ΧΤΥΠΗΣΕΙ Η ΕΠΙΘΕΣΕΙ
Χρησιμοποιήστε επιμελημένη, αξιοποιήσιμη πληροφόρηση για να ενημερώσετε τους κανόνες ανίχνευσης, να μειώσετε τον κίνδυνο για κρίσιμα περιουσιακά στοιχεία και να βελτιώσετε τις οδηγίες αντιμετώπισης περιστατικών.
ΔΕΙΤΕ ΕΚΕΙ ΠΟΥ ΔΕΝ ΜΠΟΡΟΥΝ ΟΙ ΑΛΛΟΙ
Αποκτήστε πρόσβαση σε εμπιστευτικές πληροφορίες από την ιδιόκτητη έρευνα και τηλεμετρία της ESET, συμπεριλαμβανομένης της εις βάθος κάλυψης της απειλητικής δραστηριότητας που συνδέεται με την Κίνα, τη Βόρεια Κορέα, τη Ρωσία και το Ιράν.
ΜΙΛΗΣΤΕ ΜΕ ΤΟΥΣ ΕΙΔΙΚΟΥΣ ΠΙΣΩ ΑΠΟ ΤΗΝ ΕΡΕΥΝΑ
Αποκτήστε άμεση πρόσβαση σε αναλυτές της ESET για εις βάθος συζητήσεις, εξατομικευμένη καθοδήγηση και βοήθεια στην επίλυση κρίσιμων ερωτημάτων κάθε μήνα.
Με την υπηρεσία Analyst Access, μπορείτε να συμβουλεύεστε ειδικούς της ESET για έως και τέσσερις ώρες το μήνα για εξατομικευμένη καθοδήγηση και ερμηνεία, μεγιστοποιώντας την αξία των πληροφοριών APT.
Η Δεκαπενθήμερη Σύνοψη Δραστηριοτήτων ενημερώνει τις ομάδες ασφαλείας για τη δραστηριότητα των APT, παρέχοντας σαφή εικόνα για τις κυβερνοεπιθέσεις, τους στόχους και τα IoCs. Τους βοηθά να προστατεύουν καλύτερα τα δίκτυά τους και να κατανοούν τις τελευταίες τακτικές, τεχνικές και διαδικασίες (TTP) των ομάδων APT.
Η Τεχνική Ανάλυση αποκαλύπτει εργαλεία, τεχνικές και ροές εργασίας για τους εισβολείς, με πρακτικές οδηγίες προστασίας και αποκατάστασης. Απαραίτητο για τις ομάδες ασφαλείας, ερευνητές και ανταποκριτές που αναζητούν έγκαιρες, πρακτικές πληροφορίες ενάντια σε εξελισσόμενες κυβερνοαπειλές.
Η Μηνιαία Επισκόπηση παρέχει μια ενημέρωση του τοπίου των απειλών APT κάθε μήνα, βοηθώντας τους CISO και τους υπεύθυνους λήψης αποφάσεων να ευθυγραμμίσουν τις προτεραιότητές τους και να υποστηρίξουν αποφάσεις με αυτοπεποίθηση.
Το ESET AI Advisor παρέχει συνοπτικές πληροφορίες και πληροφορίες από αναφορές APT που βασίζονται στην Τεχνητή Νοημοσύνη, βοηθώντας τις ομάδες να ερμηνεύουν άμεσα τα δεδομένα και να υποστηρίζουν γρήγορες, τεκμηριωμένες αποφάσεις.
APT Reports
APT Reports
Advanced
APT Reports
Ultimate
Αναφορές eCrime
Σαφείς, αξιοποιήσιμες πληροφορίες σχετικά με τα οικονομικά κίνητρα, συγκεκριμένων δράσεων κυβερνοεγκλήματος και οικοσυστήματα κακόβουλου λογισμικού.
Ροές πληροφοριών
Προσεκτικά επιλεγμένα δεδομένα σε πραγματικό χρόνο για αυτοματισμό και ενσωμάτωση.
Η έρευνα και η τηλεμετρία της ESET αποκαλύπτουν την υποδομή,
τις τακτικές και τις εκστρατείες πίσω από την παγκόσμια δραστηριότητα των APT –
από κρατικά χρηματοδοτούμενη κατασκοπεία έως δράσεις σε συγκεκριμένες περιοχές.
Γνωρίστε τους
Δράστες των Απειλών
ΜΗ ΣΥΝΕΡΓΑΤΕΣ
ΣΥΜΜΑΧΟΙ ΜΕ Την Ρωσσία
ΣΥΜΜΑΧΟΙ ΜΕ ΤΟ ΠΑΚΙΣΤΑΝ
ΑΛΛΕΣ ΟΜΑΔΕΣ ΑΠΟ ΤΗ ΜΕΣΗ ΑΝΑΤΟΛΗ
ΑΛΛΕΣ ΟΜΑΔΕΣ ΤΗΣ ΑΝΑΤΟΛΙΚΗΣ ΕΥΡΩΠΗΣ
ΑΛΛΕΣ ΟΜΑΔΕΣ ΤΗΣ ΑΝΑΤΟΛΙΚΗΣ ΑΣΙΑΣ
ΟΜΑΔΕΣ ΣΧΕΤΙΖΌΜΕΝΕΣ ΜΕ ΤΗ ΒΟΡΕΙΑ ΚΟΡΕΑ
ΟΜΑΔΕΣ ΠΟΥ ΥΠΟΣΤΗΡΙΖΟΥΝ ΤΟ ΡΑΝ
ΟΜΑΔΕΣ ΠΟΥ ΥΠΟΣΤΗΡΙΖΟΥΝ ΤΗΝ ΙΝΔΙΑ
ΟΜΑΔΕΣ ΠΟΥ ΥΠΟΣΤΗΡΙΖΟΥΝ ΤΗΝ ΚΙΝΑ
ΟΜΑΔΕΣ ΚΕΝΤΡΙΚΗΣ ΑΣΙΑΣ
Ενεργό τουλάχιστον από το 2019. Το γνωστό σύνολο εργαλείων της ομάδας που χρησιμοποιείται για κατασκοπεία. Στοχεύει κυβερνητικές και διπλωματικές οντότητες στην Ευρώπη, τη Μέση Ανατολή και τη Νότια Ασία. Η ομάδα είναι ελάχιστα γνωστή και έχει περιγραφεί δημόσια από την Kaspersky μόλις το 2023.
Ένας απειλητικός παράγοντας που συνδέεται με τη Ρωσία και ανακαλύφθηκε από ερευνητές της ESET. Ενεργός από τουλάχιστον το 2008. Γνωστός για την ομώνυμη πλατφόρμα κυβερνοκατασκοπείας, είναι αξιοσημείωτη για την πολύπλοκη αρχιτεκτονική των plugin και την περίτεχνη επικοινωνία δικτύου, χρησιμοποιώντας Tor. Η ομάδα έχει παραβιάσει χρήστες στη Λιθουανία, τη Ρωσία, τη Σλοβακία, την Τουρκία, τα Ηνωμένα Αραβικά Εμιράτα, το Βιετνάμ και την Ουκρανία. Στοχεύει συγκεκριμένα σε δύο τύπους χρηστών: ρωσόφωνους χρήστες που ανησυχούν για την ιδιωτικότητα και σε οργανισμούς υψηλού προφίλ στην Ευρώπη, συμπεριλαμβανομένων διπλωματικών αποστολών και κυβερνητικών ιδρυμάτων.
Ιδιαίτερα γνωστή για τη στόχευση χρηματοπιστωτικών ιδρυμάτων και επιχειρήσεων στη Ρωσία. Από τα τέλη του 2015, έχει μετατραπεί από μια καθαρά εγκληματική ομάδα, που διαπράττει κυβερνοέγκλημα για οικονομικό κέρδος, σε παράγοντας που διεξάγει κυβερνοκατασκοπεία στην Ανατολική Ευρώπη και την Κεντρική Ασία. Πιστεύεται ότι η ομάδα είναι σύμμαχος της Ρωσίας επειδή ανέπτυξε ένα zero-day exploit για τα Windows εναντίον ενός στόχου στην Ουκρανία.
Γνωστή και ως COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto ή BlueCharlie. Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2015. Είναι γνωστό ότι στοχεύει Ευρωπαίους και Βορειοαμερικανούς κυβερνητικούς αξιωματούχους, ομάδες προβληματισμού και στρατιωτικό προσωπικό. Επικεντρώνεται στο spearphishing και την κλοπή διαπιστευτηρίων webmail. Στις αρχές του 2022, η ομάδα προσπάθησε να κλέψει διαπιστευτήρια webmail από Ουκρανούς κυβερνητικούς αξιωματούχους και άτομα που εργάζονταν σε ουκρανικές κρατικές εταιρείες. Τα διαπιστευτήρια πιθανότατα χρησιμοποιήθηκαν για να διαβάσουν εμπιστευτικά μηνύματα email ή να κλέψουν έγγραφα από υπηρεσίες αποθήκευσης cloud. Αυτές οι ενέργειες πιθανότατα ήταν μέρος μιας επιχείρησης κυβερνοκατασκοπείας που σχετίζεται με τον τρέχοντα πόλεμο Ρωσίας-Ουκρανίας. Το 2023, η κυβέρνηση του Ηνωμένου Βασιλείου επέβαλε κυρώσεις σε δύο μέλη της Callisto και συνέδεσε την ομάδα με το 18ο Κέντρο Ασφάλειας Πληροφοριών της FSB.
Ενεργή τουλάχιστον από το 2013 και υπεύθυνη για πολλές επιθέσεις, κυρίως εναντίον ουκρανικών κυβερνητικών θεσμών, όπως αποδεικνύεται από αρκετές αναφορές του CERT-UA και άλλων επίσημων ουκρανικών φορέων. Η Υπηρεσία Ασφαλείας της Ουκρανίας (SBU) έχει συνδέσει την ομάδα με το 18ο Κέντρο Ασφάλειας Πληροφοριών της FSB που λειτουργεί στην κατεχόμενη Κριμαία. Η ESET πιστεύει ότι αυτή η ομάδα συνεργάζεται με την InvisiMole. Έχουμε επίσης καταγράψει τη συνεργασία της με την Turla από τις αρχές του 2025.
Ομάδα κυβερνοκατασκοπείας που υποστηρίζει τη Ρωσία, η οποία λειτουργεί τουλάχιστον από το 2022. Ειδικεύεται σε εκστρατείες κλοπής διαπιστευτηρίων και κλοπής μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσω κενών ασφαλείας XSS στο Roundcube. Συνήθεις στόχοι περιλαμβάνουν κυβερνητικούς και αμυντικούς οργανισμούς στην Ελλάδα, την Πολωνία, τη Σερβία και την Ουκρανία.
Φιλορωσική ομάδα, ενεργή τουλάχιστον από το 2013. Γνωστή για στοχευμένες επιθέσεις κυβερνοκατασκοπείας εναντίον κυβερνητικών θεσμών, στρατιωτικών οντοτήτων και διπλωματικών αποστολών. Επικεντρώνεται κυρίως σε στόχους στην Ουκρανία, με αυξημένη δραστηριότητα από το 2021. Έχει επίσης στοχεύσει οντότητες στην Αρμενία, τη Λευκορωσία, την Ελλάδα και τη Ρωσία. Η ESET πιστεύει ότι συνεργάζεται με την ομάδα Gamaredon που συνδέεται με την FSB.
Εκστρατεία παραπληροφόρησης/PSYOPS που στοχεύει Ουκρανούς και αντιφρονούντες στη Ρωσία. Επιπλέον, η ESET εντόπισε εκστρατείες spearphishing που στόχευαν μια ουκρανική αμυντική εταιρεία και έναν οργανισμό της ΕΕ το 2023, με στόχο την κλοπή διαπιστευτηρίων για λογαριασμούς Microsoft Office 365. Η Επιχείρηση Texonto δεν αποδίδεται προς το παρόν σε συγκεκριμένο φορέα απειλής. Ωστόσο, δεδομένων των TTP, της στόχευσης και της διάδοσης μηνυμάτων, υπάρχει μεγάλη πιθανότητα η εκστρατεία να διεξήχθη από μια ομάδα που υποστηρίζει τα συμφέροντα της Ρωσίας.
Επίσης γνωστή ως Storm-0978, Tropical Scorpius ή UNC2596. Μια ομάδα που υποστηρίζει τη Ρωσία και διεξάγει τόσο ευκαιριακές επιχειρήσεις κυβερνοεγκλήματος εναντίον επιλεγμένων επιχειρηματικών κλάδων όσο και στοχευμένες επιχειρήσεις κατασκοπείας, συλλέγοντας πληροφορίες. Συνδέεται με την ανάπτυξη του λεγόμενου ransomware "Cuba" τουλάχιστον από το 2022. Πιο πρόσφατα, έχει εμπλακεί στη στόχευση της ουκρανικής κυβέρνησης και του αμυντικού τομέα, συμμάχων του ΝΑΤΟ και πολλαπλών κυβερνητικών οργανισμών στην Ευρώπη.
Επίσης γνωστή ως UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 ή TA471. Ομάδα κυβερνοκατασκοπείας που στοχεύει την Ουκρανία και τη Γεωργία. Ενεργή τουλάχιστον από το 2021. Πιστεύεται ότι έχει σχέσεις με τη Ρωσία. Ενδιαφέρεται ιδιαίτερα για στόχους υψηλού προφίλ, κυρίως στον τομέα της ουκρανικής κυβέρνησης. Αναπτύσσει infostealers και backdoors σε παραβιασμένα μηχανήματα. Παρατηρήθηκε να αναπτύσσει το Cobalt Strike το 2022. Αξιολογήθηκε με υψηλή βεβαιότητα ως υπεύθυνη για την επίθεση WhisperGate το 2022.
Φιλορωσική ομάδα που εκτελεί διάφορες καταστροφικές επιθέσεις. Αποδίδεται συνήθως στη Μονάδα 74455 της Ρωσικής Κεντρικής Διεύθυνσης Πληροφοριών (GRU). Γνωστή κυρίως για τις επιθέσεις κατά του ουκρανικού ενεργειακού τομέα το 2015 και το 2016, οι οποίες οδήγησαν σε διακοπές ρεύματος. Η ESET παρακολουθεί τις δραστηριότητες της ομάδας σε διάφορες υποομάδες: την υποομάδα TeleBots, που ενδιαφέρεται κυρίως για επιθέσεις σε χρηματοπιστωτικές οντότητες στην Ουκρανία· την GreyEnergy, γνωστή για τη βαριά χρήση του ομώνυμου κακόβουλου λογισμικού της εναντίον στόχων κρίσιμων υποδομών, που εντοπίστηκε σε ενεργειακές εταιρείες στην Πολωνία, την Ουκρανία και τη Γεωργία. Το 2018, η ομάδα εξαπέλυσε την επίθεση διαγραφής δεδομένων Olympic Destroyer εναντίον των διοργανωτών των Χειμερινών Ολυμπιακών Αγώνων στην Πιονγκτσάνγκ. Χρησιμοποιεί προηγμένο κακόβουλο λογισμικό όπως το Industroyer, το οποίο είναι σε θέση να επικοινωνεί με εξοπλισμό σε ενεργειακές εταιρείες μέσω πρωτοκόλλων βιομηχανικού ελέγχου. Το 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ δημοσίευσε κατηγορητήριο εναντίον έξι Ρώσων χάκερ, ισχυριζόμενο ότι προετοίμασαν και πραγματοποίησαν διάφορες επιθέσεις για λογαριασμό της συγκεκριμένης ομάδας.
Γνωστή και ως APT28, Fancy Bear, Forest Blizzard ή Sofacy. Λειτουργεί τουλάχιστον από το 2004. Το Υπουργείο Δικαιοσύνης των ΗΠΑ κατονόμασε την ομάδα ως μία από τους υπεύθυνους για την παραβίαση της Εθνικής Επιτροπής των Δημοκρατικών (DNC) λίγο πριν από τις εκλογές του 2016 στις ΗΠΑ και την συνέδεσε με την GRU. Θεωρείται επίσης ότι βρίσκεται πίσω από την παραβίαση του παγκόσμιου τηλεοπτικού δικτύου TV5Monde, τη διαρροή email του Παγκόσμιου Οργανισμού Αντιντόπινγκ (WADA) και πολλά άλλα περιστατικά. Η ομάδα διαθέτει ένα διαφοροποιημένο σύνολο εργαλείων κακόβουλου λογισμικού στο οπλοστάσιό της, αλλά σήμερα διεξάγει κυρίως στοχευμένες εκστρατείες (phishing. Παρ' όλα αυτά, έχει παρατηρηθεί ότι αναπτύσσει ακόμα προσαρμοσμένο προηγμένο κακόβουλο κώδικα.
Γνωστή και ως APT29, Cozy Bear ή Nobelium. Μια διαβόητη ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2008. Σύμφωνα με το NCSC-UK, συνδέεται με την SVR (Υπηρεσία Πληροφοριών Εξωτερικού της Ρωσικής Ομοσπονδίας). Γνωστή ως μία από τις ομάδες που χάκαραν την Εθνική Επιτροπή των Δημοκρατικών των ΗΠΑ κατά την προεκλογική περίοδο του 2016. Το 2019, η ESET αποκάλυψε την μεγάλης κλίμακας επιχείρηση κατασκοπείας της που στόχευε πολλά ευρωπαϊκά υπουργεία Εξωτερικών. Γνωστή για την επίθεση στην αλυσίδα εφοδιασμού του 2020 που βασιζόταν στην SolarWinds, η οποία οδήγησε στην παραβίαση σημαντικών οργανισμών, συμπεριλαμβανομένων πολλών τμημάτων της κυβέρνησης των ΗΠΑ. Υπεύθυνη για αρκετές εκστρατείες ηλεκτρονικού "ψαρέματος" (spearphishing) το 2021, με στόχο διπλωμάτες στην Ευρώπη.
Γνωστή και ως Snake. Μια ομάδα κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2004, πιθανώς πηγαίνει πίσω μέχρι τα τέλη της δεκαετίας του 1990. Πιστεύεται ότι αποτελεί μέρος της FSB. Επικεντρώνεται κυρίως σε υψηλού προφίλ στόχους, όπως κυβερνήσεις και διπλωματικές οντότητες, στην Ευρώπη, την Κεντρική Ασία και τη Μέση Ανατολή. Η ομάδα είναι γνωστή για τις παραβιάσεις σε μεγάλους οργανισμούς όπως το Υπουργείο Άμυνας των ΗΠΑ το 2008 και την ελβετική αμυντική εταιρεία RUAG το 2014.
Ομάδα κυβερνοκατασκοπείας που στοχεύει κυβερνητικούς οργανισμούς, χρηματοπιστωτικά ιδρύματα και μέσα ενημέρωσης στην Ουκρανία. Ενεργή τουλάχιστον από το 2022. Με βάση τη στόχευσή της, πιστεύεται με μέτρια βεβαιότητα ότι η ομάδα ευθυγραμμίζεται με τα ρωσικά συμφέροντα. Συνήθως αναπτύσσει το LONEPAGE, ένα πρόγραμμα λήψης PowerShell που πήρε το όνομά του από την παρουσία της λέξης στους συνδέσμους C&C (command & control).
Επίσης γνωστή ως UAC-0020. Ομάδα που υποστηρίζει τη Ρωσία, γνωστή για επιθέσεις κυβερνοκατασκοπείας σε κυβερνητικούς και στρατιωτικούς στόχους στην Ουκρανία. Δραστηριοποιείται τουλάχιστον από το 2015. Πιστεύεται ότι η ομάδα συνδέεται με τη λεγόμενη Λαϊκή Δημοκρατία του Λουχάνσκ.
Επίσης γνωστή ως UAC-0063 ή TAG-110. Ομάδα που υποστηρίζει τα συμφέροντα της Ρωσίας, γνωστή για επιθέσεις κυβερνοκατασκοπείας σε κυβερνητικούς, στρατιωτικούς και στόχους που σχετίζονται με εξωτερικές υποθέσεις στην Κεντρική Ασία και την Ουκρανία. Ενεργή τουλάχιστον από το 2015. Το κιτ εργαλείων κακόβουλου λογισμικού Zebrocy χρησιμεύει για στοχευμένες εκστρατείες επίθεσης και περιέχει όλες τις απαραίτητες δυνατότητες για κατασκοπεία, όπως καταγραφή κλειδιών, λήψη στιγμιότυπων οθόνης, αναγνώριση, καταγραφή και εξαγωγή αρχείων και πολλά άλλα. Έχει αναπτυχθεί με modular τρόπο, επιτρέποντας ενημερώσεις και την εκτέλεση νέων ενοτήτων που παρέχονται από τους χειριστές.
Επίσης γνωστή ως Operation C-Major, Mythic Leopard, ProjectM, APT36 ή Earth Karkaddan. Ομάδα κυβερνοκατασκοπείας που στοχεύει τον Ινδικό Στρατό και σχετικά περιουσιακά στοιχεία στην Ινδία, καθώς και ακτιβιστές και πολίτες στο Πακιστάν. Η σύνδεση με το Πακιστάν έχει γίνει από την Trend Micro και άλλους. Η ομάδα χρησιμοποιεί κοινωνική μηχανική και ηλεκτρονικό ψάρεμα για την ανάπτυξη κακόβουλου λογισμικού. Ιστορικά, έχει αναπτύξει backdoors, ειδικά CrimsonRAT, εναντίον θυμάτων που εκτελούν Windows, με περιστασιακή χρήση του backdoor AndroRAT για Android.
Επίσης γνωστή ως APT-C-23, Γεράκια της Ερήμου ή Δίουρος Σκορπιός. Ομάδα κυβερνοκατασκοπείας γνωστή για τη στόχευση χωρών στη Μέση Ανατολή. Ενεργή τουλάχιστον από το 2013. Στοχεύει κυρίως σε στόχους σε Παλαιστίνη και Ισραήλ, συμπεριλαμβανομένων των αρχών επιβολής του νόμου, του στρατού και της κυβέρνησης, αλλά και σε ακτιβιστές και φοιτητές. Αναπτύσσει ένα τεράστιο οπλοστάσιο κακόβουλου λογισμικού για πλατφόρμες Android, iOS και Windows, συμπεριλαμβανομένων αρκετών προσαρμοσμένων backdoors. Η ομάδα πιστεύεται ότι συνδέεται με τη Χαμάς και λειτουργεί από τη Λωρίδα της Γάζας.
Ομάδα APT που ειδικεύεται στην κυβερνοκατασκοπεία. Πιστεύεται ότι στόχος της είναι η κλοπή ευαίσθητων πληροφοριών. Αναφέρεται επίσης ως ομάδα μισθοφόρων που προσφέρει υπηρεσίες hacking επί πληρωμή σε ένα ευρύ φάσμα πελατών. Συνήθως στοχεύει οντότητες και άτομα στη Μέση Ανατολή και τη Νότια Ασία με μηνύματα spearphishing και ψεύτικες εφαρμογές ως αρχικό φορέα επίθεσης.
Ομάδα χακτιβιστών που υποστηρίζεται από τη Χαμάς. Εμφανίστηκε για πρώτη φορά κατά τη διάρκεια του πολέμου Ισραήλ-Χαμάς το 2023. Η ομάδα είναι γνωστή για την ανάπτυξη κώδικα διαγραφής σε ισραηλινούς στόχους, χρησιμοποιώντας δυαδικά αρχεία Windows και Linux. Ο αρχικός wiper της ομάδας ανακαλύφθηκε από τους Security Joes το 2023 και ένας άλλος από την ESET και επισημάνθηκε την ίδια χρονιά.
Μια ομάδα απειλών κυβερνοκατασκοπείας στη Μέση Ανατολή, που ανακαλύφθηκε το 2020. Ιστορικά, στόχευε την κουρδική εθνοτική ομάδα του βόρειου Ιράκ. Η ομάδα έχει χρησιμοποιήσει κακόβουλο λογισμικό τόσο για Windows όσο και για Android για να στοχεύσει τα θύματά της. Το 2021, η ESET είχε περιγράψει μια εκστρατεία κατασκοπείας από την ομάδα, η οποία διανεμήθηκε μέσω φιλοκουρδικού περιεχομένου στο Facebook, στοχεύοντας χρήστες κινητών με backdoors Android.
Ομάδα κυβερνοκατασκοπείας, που καταγράφηκε για πρώτη φορά το 2022. Πιστεύεται ότι εδρεύει στον Λίβανο και στοχεύει κυρίως ισραηλινούς οργανισμούς. Το σύνολο εργαλείων της αποτελείται από επτά προσαρμοσμένες κερκόπορτες, συμπεριλαμβανομένης μιας που εκμεταλλεύεται τις υπηρεσίες cloud OneDrive και Dropbox για C&C (command & control) και άλλων που χρησιμοποιούν υπηρεσίες αποθήκευσης αρχείων Dropbox και Mega. Η ομάδα έχει επίσης χρησιμοποιήσει αρκετά προσαρμοσμένα modules για να κατασκοπεύει τους στόχους της.
Μια ομάδα απειλών που σχετίζεται με τα Ηνωμένα Αραβικά Εμιράτα. Ενεργή από το 2012. Είναι γνωστό ότι στοχεύει πολιτικούς ακτιβιστές, δημοσιογράφους και αντιφρονούντες στη Μέση Ανατολή. Ανακαλύφθηκε και περιγράφηκε για πρώτη φορά από το Citizen Lab στην ανάλυση επιθέσεων spyware που δημοσιεύτηκε το 2016. Το 2019, η Διεθνής Αμνηστία κατέληξε στο συμπέρασμα ότι το Stealth Falcon και το Project Raven, μια πρωτοβουλία που φέρεται να απασχολεί πρώην πράκτορες της NSA, είναι η ίδια ομάδα.
Γνωστή και ως PROMETHIUM ή APT-C-41. Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2012. Στοχεύει κυρίως σε οντότητες που βρίσκονται στην Τουρκία, αλλά δραστηριοποιείται παγκοσμίως. Ιστορικά, έχει στοχεύσει την πλατφόρμα των Windows με το ομώνυμο κακόβουλο λογισμικό της. Ωστόσο, στα τέλη του 2022, δύο εκστρατείες διανομής εφαρμογών Android με Trojans αποδόθηκαν επίσης στην ομάδα.
Μια ομάδα κυβερνοεγκλήματος που εκτελεί παράλληλα και επιχειρήσεις κυβερνοκατασκοπείας. Αποκαλύφθηκε για πρώτη φορά δημόσια τον Μάρτιο του 2022, αφού στόχευσε προσωπικό ευρωπαϊκών κυβερνήσεων που εμπλέκεται στην παροχή βοήθειας σε Ουκρανούς πρόσφυγες, λίγες μόλις εβδομάδες μετά την έναρξη του πολέμου Ρωσίας-Ουκρανίας.
Επίσης γνωστή ως Inception Framework. Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2014. Πιστεύεται επίσης ότι είναι παραφυάδα του Red October, μιας παλαιότερης ομάδας κυβερνοκατασκοπείας που πιθανώς ήταν συνεργασία δύο χωρών, σύμφωνα με το ιστολόγιο ασφαλείας Chronicle (τώρα μέρος του Google Security Operations). Η ομάδα στοχεύει κυρίως κυβερνήσεις και εταιρείες σε στρατηγικούς τομείς όπως η άμυνα στη Ρωσία, την Ευρώπη και τον Καύκασο.
Επίσης γνωστή ως UNC1151, DEV-0257, PUSHCHA, Storm-0257 ή TA445. Ενεργή τουλάχιστον από το 2016. Φέρεται να λειτουργεί από τη Λευκορωσία. Η πλειονότητα των δραστηριοτήτων της ομάδας έχει στοχεύσει χώρες που γειτνιάζουν με τη Λευκορωσία. Μια μικρή μειονότητα έχει παρατηρηθεί σε άλλες ευρωπαϊκές χώρες. Διεξάγει εκστρατείες επιρροής και παραπληροφόρησης, αλλά έχει επίσης θέσει σε κίνδυνο μια ποικιλία κυβερνητικών και ιδιωτικών φορέων, με έμφαση στην Ουκρανία, την Πολωνία και τη Λιθουανία.
Ομάδα κυβερνοκατασκοπείας που αποκαλύφθηκε για πρώτη φορά από την ESET. Ενεργή τουλάχιστον από το 2014. Στοχεύει κυρίως σε ξένες πρεσβείες στη Λευκορωσία. Από το 2020, η ομάδα πιθανότατα ήταν σε θέση να πραγματοποιεί επιθέσεις adversary-in-the-middle σε επίπεδο ISP, εντός της Λευκορωσίας, προκειμένου να πετύχει τους στόχους της.
Ομάδα κυβερνοκατασκοπείας, που ανακαλύφθηκε για πρώτη φορά το 2021. Πιστεύεται ότι δραστηριοποιείται τουλάχιστον από το 2020. Στοχεύει κυβερνήσεις στην Ευρώπη και την Κεντρική Ασία. Η ομάδα χρησιμοποιεί κακόβουλα έγγραφα, ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) και ένα προσαρμοσμένο backdoor PowerShell για να θέσει σε κίνδυνο τους στόχους της. Από το 2022, έχει επίσης στοχεύσει ειδικά τους email servers Zimbra και Roundcube. Το 2023, η ESET παρατήρησε την ομάδα να εκμεταλλεύεται παλιά τρωτά σημεία XSS στο Roundcube.
Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2011. Είναι γνωστό ότι στοχεύει κυβερνητικές οντότητες όπως στρατούς, υπουργεία εξωτερικών και κρατικές εταιρείες στην Ανατολική Ευρώπη (συμπεριλαμβανομένης της Ρωσίας) και τα Βαλκάνια. Η ομάδα χρησιμοποιεί email spearphishing για να θέσει σε κίνδυνο τους στόχους της. Το 2020, εκμεταλλεύτηκε ένα κενό ασφαλείας στον Internet Explorer όταν δεν υπήρχε καμία απόδειξη και πολύ λίγες πληροφορίες σχετικά με αυτό ήταν δημόσια διαθέσιμες. Είναι πιθανό η ομάδα να αγόρασε το συγκεκριμένο κακόβουλο λογισμικό από κάποιον τρίτο.
Επίσης γνωστή ως False Hunter ή APT-Q-12. Ομάδα κυβερνοκατασκοπείας που υποστηρίζει τα συμφέροντα της Νότιας Κορέας, δραστηριοποιείται τουλάχιστον από το 2018. Επικεντρώνεται κυρίως σε στόχους υψηλού προφίλ, όπως κυβερνήσεις, εμπορικές βιομηχανίες και ομάδες προβληματισμού. Η ομάδα χρησιμοποιεί δυνητικά ενδιαφέροντα γεγονότα ή οι χειριστές της παρουσιάζονται ως φοιτητές που ζητούν απόψεις για σχετικά ερευνητικά θέματα, για να προσελκύσουν τους στόχους της. Χρησιμοποιεί προσαρμοσμένα προγράμματα λήψης και ένα modular backdoor που παρέχεται μέσω email spearphishing. Οι λειτουργίες της χαρακτηρίζονται από την ανάπτυξη πολλαπλών σταδίων λήψης και ένα προσαρμοσμένο backdoor ικανό να φορτώνει plugins.
Θεωρείται υποομάδα της Lazarus (που συνδέεται με τη Βόρεια Κορέα). Οι δραστηριότητές της χρονολογούνται από το 2009. Η ομάδα επικεντρώνει κυρίως τις δραστηριότητές της σε στόχους της Νότιας Κορέας, συμπεριλαμβανομένων κυβερνητικών και στρατιωτικών οντοτήτων, καθώς και επιχειρήσεων όπως τράπεζες, ανταλλακτήρια κρυπτονομισμάτων και διαδικτυακοί μεσίτες. Οι στόχοι της επικεντρώνονται είτε στην κυβερνοκατασκοπεία είτε στο οικονομικό κέρδος. Μεταξύ των δημοσιοποιημένων περιστατικών της ομάδας είναι οι επιθέσεις κατά της Διεθνούς Έκθεσης Αεροδιαστημικής και Άμυνας της Σεούλ (ADEX) το 2015 και του Πυρηνικού Σταθμού Ηλεκτροπαραγωγής Kudankulam της Ινδίας (KKNPP) το 2019.
Ομάδα που συνδέεται με τη Βόρεια Κορέα, η οποία καταγράφηκε για πρώτη φορά το 2023. Επικεντρώνεται κυρίως στο οικονομικό κέρδος, στοχεύοντας προγραμματιστές λογισμικού σε Windows, Linux και macOS για να κλέψουν κρυπτονομίσματα, με πιθανό δευτερεύοντα στόχο τη διεξαγωγή κυβερνοκατασκοπείας. Η ομάδα χρησιμοποιεί ψεύτικα προφίλ προσλήψεων στα μέσα κοινωνικής δικτύωσης. Απευθύνεται σε προγραμματιστές λογισμικού, συχνά σε εκείνους που εμπλέκονται σε έργα κρυπτονομισμάτων, παρέχοντας στα πιθανά θύματα βάσεις κώδικα που έχουν υποστεί επεξεργασία από Trojan και αναπτύσσουν backdoors ως μέρος μιας ψεύτικης διαδικασίας συνέντευξης για εργασία.
Ομάδα κυβερνοκατασκοπείας που συνδέεται με τη Βόρεια Κορέα. Δραστηριοποιείται τουλάχιστον από το 2013. Η ομάδα αρχικά στόχευε οντότητες που σχετίζονται με τη Νότια Κορέα. Ωστόσο, τα τελευταία χρόνια, έχει επεκτείνει τις δραστηριότητές της ευρύτερα, ώστε να συμπεριλάβει τις Ηνωμένες Πολιτείες και ευρωπαϊκές χώρες. Στοχεύει σε κυβερνητικούς φορείς, ερευνητικά ιδρύματα, εταιρείες κρυπτονομισμάτων και ιδιωτικές εταιρείες, με κύριο στόχο την κυβερνοκατασκοπεία και τη συλλογή πληροφοριών.
Μια ομάδα απειλητικών παραγόντων που συνδέεται με τη Βόρεια Κορέα. Αναφέρθηκε για πρώτη φορά από αναλυτές το 2017. Στοχεύει κυρίως σε ρωσικά και νοτιοκορεατικά πολιτικά ιδρύματα. Συχνά χρησιμοποιεί επιθέσεις spearphishing για να αποκτήσει αρχική πρόσβαση και βασίζεται στο προσαρμοσμένο Εργαλείο Απομακρυσμένης Διαχείρισης (RAT) για διατήρηση και συνεχή πρόσβαση στον υπολογιστή του θύματος. Ενώ ορισμένοι ερευνητές ασφαλείας τοποθετούν την ομάδα υπό την ομπρέλα ScarCruft (APT37), Lazarus ή Kimsuky, η ESET δεν είναι σε θέση να επιβεβαιώσει αυτούς τους ισχυρισμούς.
Ομάδα APT που συνδέεται με τη Βόρεια Κορέα, επίσης γνωστή ως HIDDEN COBRA. Ενεργή τουλάχιστον από το 2009. Υπεύθυνη για περιστατικά υψηλού προφίλ, όπως η παραβίαση της Sony Pictures Entertainment και οι κυβερνοληστείες που κόστισαν δεκάδες εκατομμύρια δολάρια το 2016, το ξέσπασμα του WannaCryptor (γνωστό και ως WannaCry) το 2017, και μια μακρά ιστορία ανατρεπτικών επιθέσεων κατά των δημόσιων και κρίσιμων υποδομών της Νότιας Κορέας τουλάχιστον από το 2011. Η ποικιλομορφία, ο αριθμός και η εκκεντρικότητα στην εφαρμογή των δράσεων καθορίζουν αυτήν την ομάδα, καθώς και τη συμμετοχή της και στους τρεις πυλώνες των εγκληματικών δραστηριοτήτων στον κυβερνοχώρο: κυβερνοκατασκοπεία, κυβερνοδολιοφθορά και επιδίωξη οικονομικού κέρδους.
Το όνομα που έχει δώσει η ESET σε μια σειρά επιθέσεων που αποδίδονται στην ίδια ομάδα. Αυτές οι επιθέσεις συνεχίζονται τουλάχιστον από το 2019, στοχεύοντας εταιρείες αεροδιαστημικής, στρατιωτικής και αμυντικής βιομηχανίας. Η επιχείρηση είναι αξιοσημείωτη για τη χρήση spearphishing που βασίζεται στο LinkedIn και την εφαρμογή αποτελεσματικών μεθόδων για να παραμείνει κρυφή. Όπως υποδηλώνει το όνομα In(ter)ception, ο κύριος στόχος της φαίνεται να είναι η εταιρική κατασκοπεία.
Επίσης γνωστή ως APT37 ή Reaper. Εικάζεται ότι πρόκειται για βορειοκορεατική ομάδα κατασκοπείας. Δραστηριοποιείται τουλάχιστον από το 2012. Επικεντρώνεται κυρίως στη Νότια Κορέα, αλλά στοχεύει και σε άλλες ασιατικές χώρες. Η ομάδα φαίνεται να ενδιαφέρεται κυρίως για κυβερνητικούς και στρατιωτικούς οργανισμούς, καθώς και για εταιρείες σε διάφορους κλάδους που συνδέονται με τα βορειοκορεατικά συμφέροντα. Το σύνολο εργαλείων της περιλαμβάνει ένα ευρύ φάσμα προγραμμάτων λήψης, εργαλείων εξαγωγής δεδομένων και κερκόπορτων που χρησιμοποιούνται για κατασκοπεία.
Ομάδα κυβερνο-δολιοφθοράς που εικάζεται ότι έχει σχέση με το Ιράν. Δραστηριοποιείται από το 2020. Στοχεύει θύματα στο Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα. Η ομάδα αρχικά ανέπτυξε ένα wiper μεταμφιεσμένο σε ransomware, αλλά αργότερα το τροποποίησε σε πλήρες ransomware. Εκμεταλλεύεται γνωστά τρωτά σημεία σε εφαρμογές που συνδέονται στο διαδίκτυο για να εγκαταστήσει webshells και στη συνέχεια διεξάγει εσωτερική αναγνώριση πριν πραγματοποιήσει τον πραγματικό σκοπό της.
Προηγουμένως εντοπίστηκε ως APT35 και APT42 (γνωστή και ως Charming Kitten, TA453 ή PHOSPHORUS). Μια ύποπτη ιρανική κυβερνητική ομάδα που στοχεύει εκπαιδευτικούς, κυβερνητικούς και υγειονομικούς οργανισμούς, καθώς και ακτιβιστές ανθρωπίνων δικαιωμάτων και δημοσιογράφους. Πιο ενεργή στο Ισραήλ, τη Μέση Ανατολή και τις Ηνωμένες Πολιτείες. Κατά τη διάρκεια της πανδημίας, στόχευσε οργανισμούς που σχετίζονται με τον COVID-19, συμπεριλαμβανομένου του Παγκόσμιου Οργανισμού Υγείας και της Gilead Pharmaceuticals, καθώς και προσωπικό ιατρικής έρευνας.
Ομάδα κυβερνοκατασκοπείας που συνδέεται με το Ιράν. Ενεργή τουλάχιστον από το 2017. Ανακαλύφθηκε για πρώτη φορά το 2023, στοχεύοντας Κούρδους διπλωματικούς αξιωματούχους με την "κερκόπορτά" της. Το 2024, συνέχισε να στοχεύει αυτούς τους Κούρδους αξιωματούχους, μαζί με αξιωματούχους της ιρακινής κυβέρνησης, και έναν περιφερειακό πάροχο τηλεπικοινωνιών στο Ουζμπεκιστάν. Αξιολογήθηκε με μεγάλη βεβαιότητα ότι η ομάδα είναι μια υποομάδα της OilRig – γνωστής και ως APT34 ή Hazel Sandstorm (πρώην EUROPIUM) – η οποία μοιράζεται χαρακτηριστικά με την BladeHawk και την FreshFeline.
Μια ομάδα απειλητικών παραγόντων γνωστή για τις κυβερνοεπιθέσεις της που στοχεύουν ισραηλινές οργανώσεις. Η ομάδα πιστεύεται ότι έχει έδρα την Τουρκία, αλλά πραγματοποιεί επιθέσεις που ευθυγραμμίζονται με τους στόχους της ιρανικής κυβέρνησης. Υπάρχει μια σύνδεση μεταξύ της συγκεκριμένης και της ομάδας Φρανκενστάιν, μιας ομάδας που ιστορικά έχει εργαστεί για την υποστήριξη των συμφερόντων των Παλαιστινιακών Εδαφών και είναι επίσης ευθυγραμμισμένη με τα συμφέροντα του Ιράν. Η ομάδα έχει εμπλακεί σε επιχειρήσεις hacking-and-leak, παραβιάσεις και καταστροφής δεδομένων.
Μια εκστρατεία που διεξάγεται από την ομάδα APT-C-50. Στην εκστρατεία, η ομάδα διεξάγει επιχειρήσεις κινητής παρακολούθησης εναντίον Ιρανών πολιτών από το 2016, όπως αναφέρθηκε από την Check Point το 2018. Το 2019, η Trend Micro εντόπισε μια κακόβουλη εκστρατεία, πιθανώς συνδεδεμένη με την Domestic Kitten, που στόχευε τη Μέση Ανατολή, ονομάζοντας την εκστρατεία Bouncing Golf. Λίγο αργότερα, την ίδια χρονιά, η Qianxin ανέφερε μια εκστρατεία της Domestic Kitten που στόχευε ξανά το Ιράν. Το 2020, η 360 Core Security αποκάλυψε δραστηριότητες παρακολούθησης από την Domestic Kitten που στόχευαν αντικυβερνητικές ομάδες στη Μέση Ανατολή. Η τελευταία δημόσια διαθέσιμη έκθεση είναι από το 2021 και προέρχεται από την Check Point.
Γνωστή και ως MosesStaff. Μια ιρανική ομάδα κυβερνοκατασκοπείας που στοχεύει μια ποικιλία κάθετων κλάδων στο Ισραήλ, την Ιταλία, την Ινδία, τη Γερμανία, τη Χιλή, την Τουρκία, τα Ηνωμένα Αραβικά Εμιράτα και τις ΗΠΑ. Ενεργή τουλάχιστον από το 2021, όταν ανέπτυξε ένα προηγουμένως άγνωστο backdoor που στόχευε δύο εταιρείες στο Ισραήλ. Το 2021, ανέπτυξε ransomware σε θύματα στο Ισραήλ. Η ομάδα στοχεύει Microsoft Exchange servers που είναι εκτεθειμένοι στο διαδίκτυο με μη ενημερωμένα, γνωστά κενά ασφαλείας ως κύριο μέσο εισόδου, ακολουθούμενη από παράλληλη επίθεση με ανάπτυξη του δικού της προσαρμοσμένου backdoor.
Ομάδα κυβερνοκατασκοπείας που υποστηρίζει τα συμφέροντα της ιρανικής κυβέρνησης, επίσης γνωστή ως C5, Smoke Sandstorm, TA455 ή UNC1549. Δραστηριοποιείται τουλάχιστον από το 2022. Η ομάδα στοχεύει οργανισμούς στη Μέση Ανατολή (συμπεριλαμβανομένων, ενδεικτικά, του Ισραήλ, του Ομάν και της Σαουδικής Αραβίας) και στις Ηνωμένες Πολιτείες στους τομείς της αεροδιαστημικής, της αεροπορίας και της άμυνας. Οι μέθοδοί της συμπίπτουν με την Tortoiseshell, μια ομάδα που συνδέεται με τον οργανισμό Ηλεκτρονικού Πολέμου και Κυβερνοάμυνας (EWCD) του Σώματος των Φρουρών της Ισλαμικής Επανάστασης (IRGC) του Ιράν, και την APT33, η οποία συνδέεται επίσης με την IRGC-EWCD. Τυπικές μέθοδοι της ομάδας περιλαμβάνουν spearphishing χρησιμοποιώντας typosquatting domains, spraying κωδικών πρόσβασης και δημιουργία και εγκατάσταση προσαρμοσμένων backdoors.
Επίσης γνωστή ως HEXANE ή Storm-0133. Μια υποομάδα της OilRig, ενεργή τουλάχιστον από το 2017. Η ομάδα στοχεύει οργανισμούς στη Μέση Ανατολή, με ιδιαίτερη έμφαση σε ισραηλινούς οργανισμούς, συμπεριλαμβανομένων εθνικών και τοπικών κυβερνητικών φορέων και οργανισμών στον τομέα της υγειονομικής περίθαλψης. Τα κύρια εργαλεία που αποδίδονται στην ομάδα περιλαμβάνουν διάφορα backdoors και μια σειρά από downloaders που χρησιμοποιούν νόμιμες υπηρεσίες cloud για επικοινωνία C&C (command & control)..
Ομάδα κυβερνοκατασκοπείας που συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Δραστηριοποιείται τουλάχιστον από το 2017. Η ομάδα στοχεύει θύματα στη Μέση Ανατολή και τη Βόρεια Αμερική, με έμφαση στις τηλεπικοινωνίες, τους κυβερνητικούς οργανισμούς και τις βιομηχανίες πετρελαίου και ενέργειας. Οι χειριστές της χρησιμοποιούν συχνά backdoors που βασίζονται σε scripts όπως το PowerShell. Η προτιμώμενη μέθοδος αρχικής πρόσβασης είναι η υποκλοπή email με συνημμένα – συχνά PDF με συνδέσμους που οδηγούν σε αποθετήρια αποθήκευσης αρχείων όπως το Egnyte και το OneHub.
Επίσης γνωστή ως APT34 ή Hazel Sandstorm (πρώην EUROPIUM). Ομάδα κυβερνοκατασκοπείας που πιστεύεται ότι εδρεύει στο Ιράν. Δραστηριοποιείται τουλάχιστον από το 2014. Η ομάδα στοχεύει κυβερνήσεις της Μέσης Ανατολής και διάφορους επιχειρηματικούς τομείς, συμπεριλαμβανομένων των βιομηχανιών χημικών, ενέργειας, χρηματοοικονομικών και τηλεπικοινωνιών. Οι αξιοσημείωτες δράσεις της περιλαμβάνουν την εκστρατεία DNSpionage του 2018 και του 2019, που στόχευε θύματα στον Λίβανο και τα Ηνωμένα Αραβικά Εμιράτα, την εκστρατεία HardPass του 2019–2020, που χρησιμοποίησε το LinkedIn για να στοχεύσει θύματα της Μέσης Ανατολής στους τομείς της ενέργειας και της κυβέρνησης, την επίθεση του 2020 εναντίον ενός οργανισμού τηλεπικοινωνιών στη Μέση Ανατολή και τις επιθέσεις του 2023 που στόχευαν οργανισμούς στη Μέση Ανατολή. Εκτός από αυτά τα περιστατικά, η ESET παρακολουθεί άλλες δραστηριότητες που σχετίζονται με το OilRig σε ξεχωριστές υποομάδες: Lyceum, ShroudedSnooper και BladedFeline.
Επίσης γνωστή ως Scarred Manticore ή Storm-0861. Μια υποομάδα της OilRig που δραστηριοποιείται τουλάχιστον από το 2019. Εντοπίστηκε για πρώτη φορά από τη Microsoft στις καταστροφικές επιθέσεις του 2021-2022 κατά της αλβανικής κυβέρνησης, έχοντας παράσχει αρχική πρόσβαση στο δίκτυο σε άλλες υποομάδες της OilRig εκμεταλλευόμενες εφαρμογές που απευθύνονται στο κοινό. Το 2023, η ομάδα πραγματοποίησε επιθέσεις εναντίον κυβερνητικών, στρατιωτικών οργανισμών και εταιρειών τηλεπικοινωνιών στη Μέση Ανατολή.
Επίσης γνωστή ως Crimson Sandstorm, Imperial Kitten, TA456 ή Yellow Liderc. Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2019. Η ομάδα χρησιμοποιεί email κοινωνικής μηχανικής και ηλεκτρονικού "ψαρέματος" για αρχική πρόσβαση και βασίζεται σε μεγάλο βαθμό σε μακροεντολές του Microsoft Office και εμφύτευση κώδικα που χρησιμοποιείται για αναγνώριση συστημάτων και δικτύων. Οι στόχοι συνήθως περιλαμβάνουν οργανισμούς του ναυτιλιακού κλάδου και των logistics στις ΗΠΑ, την Ευρώπη και τη Μέση Ανατολή.
Ομάδα κυβερνοκατασκοπείας που στοχεύει θύματα στη Μέση Ανατολή στους τομείς πετρελαίου, φυσικού αερίου και κατασκευών. Ενεργή τουλάχιστον από το 2019, όταν ανακαλύφθηκε η πρώτη της "κερκόπορτα". Το 2021, η ομάδα παρατηρήθηκε να αναπτύσσει πρόσθετα εργαλεία.
Επίσης γνωστή ως APT-C-35 ή SectorE02. Μια ομάδα που συνδέεται με την Ινδία και λειτουργεί τουλάχιστον από το 2016. Μια έκθεση της Διεθνούς Αμνηστίας του 2021 συνέδεσε το κακόβουλο λογισμικό της ομάδας με μια ινδική εταιρεία κυβερνοασφάλειας που ενδέχεται να πουλάει το spyware ή να προσφέρει υπηρεσίες χάκερ προς ενοικίαση σε κυβερνήσεις της περιοχής. Η ομάδα στοχεύει οργανισμούς στη Νότια Ασία χρησιμοποιώντας κακόβουλο λογισμικό για Windows και Android, με την πλειονότητα των θυμάτων να βρίσκονται στο Πακιστάν, το Μπαγκλαντές, τη Σρι Λάνκα, το Νεπάλ και την Κίνα. Οι εκστρατείες της επικεντρώνονται στην κατασκοπεία, χρησιμοποιώντας τη χαρακτηριστική της πλατφόρμα κακόβουλου λογισμικού, της οποίας ο κύριος σκοπός είναι η συλλογή και η κλοπή δεδομένων.
Το όνομα που έχει δώσει η ESET σε μια υποομάδα APT15 που στοχεύει κυρίως κυβερνητικούς οργανισμούς και εταιρείες τηλεπικοινωνιών στην Αφρική και τη Μέση Ανατολή. Δραστηριοποιείται τουλάχιστον από το 2017. Το 2022, η Bitdefender κατέγραψε τις δραστηριότητες της ομάδας κατά του κλάδου των τηλεπικοινωνιών στη Μέση Ανατολή. Το 2023, η Μονάδα 42 κοινοποίησε την ανάλυσή της σχετικά με την παραβίαση κυβερνητικών δικτύων στο Ιράν από την ομάδα. Το 2021, η ESET κατέδειξε συνδέσμους μεταξύ της ομάδας και αυτού που η Kaspersky παρακολουθεί ως CloudComputating, μιας ομάδας που δραστηριοποιείται τουλάχιστον από το 2012. Η ESET έχει επίσης παρατηρήσει πολλαπλούς συνδέσμους με άλλες υποομάδες APT15, όπως οι Mirage, Ke3chang και DigitalRecyclers.
Μια ομάδα APT που υποστηρίζει τα συμφέροντα της Κίνας και εμπλέκεται σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον Κινέζων και Ιαπώνων ατόμων και εταιρειών. Ενεργή τουλάχιστον από το 2018. Το 2020, οι ερευνητές της ESET ανακάλυψαν την ομάδα μετά την ανίχνευση ύποπτων αρχείων σε ένα σύστημα στην Κίνα. Οι χειριστές της ομάδας έχουν την ικανότητα να διεξάγουν επιθέσεις τύπου adversary-in-the-middle, επιτρέποντάς τους να τοποθετούν τον κώδικά τους, μέσω ενημερώσεων σε νόμιμο λογισμικό και να αποκρύπτουν την τοποθεσία των C&C (command & control) servers, αναχαιτίζοντας την κίνηση που παράγεται από τον κώδικα που εμφυτεύεται.
Επίσης γνωστή ως Volt Typhoon ή Vanguard Panda. Ομάδα κυβερνοκατασκοπείας που συνδέεται με την Κίνα, δραστηριοποιείται τουλάχιστον από το 2022. Στοχεύει κυρίως στην αμυντική βιομηχανία και σε κρίσιμους οργανισμούς στις ΗΠΑ. Για πρώτη φορά είδε το φως της δημοσιότητας το 2023, αφού εντοπίστηκε να επιτίθεται σε κρίσιμες υποδομές στο Γκουάμ, ένα νησιωτικό έδαφος των ΗΠΑ στον Δυτικό Ειρηνικό που φιλοξενεί αρκετές αμερικανικές στρατιωτικές βάσεις.
Φιλοκινεζική ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από τις αρχές του 2022. Στοχεύει κυρίως σε κυβερνητικές οντότητες στη Νοτιοανατολική Ασία. Η ομάδα είναι γνωστή για τα καταγεγραμμένα στοιχεία της, TONEINS, TONESHELL και PUBLOAD, τη χρήση δημόσια διαθέσιμων εργαλείων και τις τεχνικές εξαγωγής δεδομένων που χρησιμοποιούν υπηρεσίες cloud και κοινής χρήσης αρχείων. Ορισμένες από τις δραστηριότητές της έχουν αποδοθεί στο Mustang Panda (γνωστό και ως Earth Preta ή Stately Taurus). Ωστόσο, η ESET αποδίδει αυτές τις δραστηριότητες σε ξεχωριστή ομάδα.
Μια απειλητική ομάδα που αναφέρθηκε για πρώτη φορά δημόσια το 2024. Ωστόσο, τα δεδομένα τηλεμετρίας της ESET περιέχουν ίχνη της δραστηριότητάς της από τις αρχές του 2022. Η ομάδα διεξάγει επιχειρήσεις κυβερνοκατασκοπείας εναντίον κυβερνητικών οργανισμών και του τεχνολογικού τομέα στη Ρωσία, καθώς και δεξαμενών σκέψης στις Ηνωμένες Πολιτείες. Οι δραστηριότητές της χαρακτηρίζονται από ηλεκτρονικά μηνύματα spearphishing με συνημμένο αρχείο. Η ομάδα αξιοποιεί την τεχνική trident side-loading για να παραδώσει την κύρια backdoor της και αργότερα να καταχραστεί υπηρεσίες cloud όπως το Yandex, το OneDrive ή το Dropbox για να λάβει εντολές.
Μια ομάδα που ανακαλύφθηκε από την ESET. Ενεργή τουλάχιστον από το 2018. Η ομάδα διεξάγει τακτικά επιχειρήσεις κατασκοπείας εναντίον κυβερνητικών οργανισμών στην Ευρώπη. Πιστεύεται με χαμηλή βεβαιότητα ότι η ομάδα συνδέεται με την Ke3chang και την BackdoorDiplomacy.
Επίσης γνωστή ως BRONZE HIGHLAND, Daggerfly και StormBamboo. Ομάδα APT που συνδέεται με την Κίνα, η οποία λειτουργεί τουλάχιστον από το 2012. Στόχος της είναι η κυβερνοκατασκοπεία εναντίον χωρών και οργανισμών που αντιτίθενται στα συμφέροντα της Κίνας μέσω κινημάτων ανεξαρτησίας, όπως αυτά της θιβετιανής διασποράς, θρησκευτικών και ακαδημαϊκών ιδρυμάτων στην Ταϊβάν και στο Χονγκ Κονγκ, και υποστηρικτών της δημοκρατίας στην Κίνα. Η ESET έχει κατά καιρούς παρατηρήσει την επέκταση των δραστηριοτήτων της σε χώρες όπως το Βιετνάμ, η Μιανμάρ και η Νότια Κορέα. Η ομάδα έχει συσσωρεύσει μια εντυπωσιακή λίστα μεθόδων επίθεσης, όπως επιθέσεις στην αλυσίδα εφοδιασμού και σε επιθέσεις με watering-hole, καθώς και παραβίαση DNS. Επιδεικνύει επίσης ισχυρή ικανότητα ανάπτυξης κακόβουλου λογισμικού, όπως αποδεικνύεται από την εκτεταμένη συλλογή backdoors πολλαπλών πλατφορμών για Windows, macOS και Android.
Φιλοκινεζική ομάδα κυβερνοκατασκοπείας που πιστεύεται ότι δραστηριοποιείται τουλάχιστον από το 2019. Η ομάδα ήταν αρχικά γνωστή για τη στόχευση ξενοδοχείων σε όλο τον κόσμο, αλλά έχει επίσης στοχοποιήσει κυβερνήσεις, διεθνείς οργανισμούς, εμπορικούς ομίλους, εταιρείες κατασκευών και δικηγορικά γραφεία. Είναι ο μόνος γνωστός χρήστης του backdoor της SparrowDoor. Η συγκεκριμένη ομάδα συνδέεται με την Earth Estries, αλλά η ακριβής φύση της συνεργασίας δεν είναι πλήρως γνωστή. Έχει επίσης συνδεθεί δημόσια με το Salt Typhoon, αλλά, λόγω της απουσίας τεχνικών δεικτών, η ESET τις παρακολουθεί ως ξεχωριστές οντότητες.
Επίσης γνωστή ως Earth Lusca, TAG-22, Aquatic Panda ή Red Dev 10. Ομάδα κυβερνοκατασκοπείας που πιστεύεται ότι λειτουργεί από την κινέζικη ομάδα I-SOON και εμπίπτει στην ομπρέλα του Winnti Group. Η ESET δημοσίευσε μια ανάλυση της ομάδας στις αρχές του 2020, όταν στόχευσε έντονα πανεπιστήμια στο Χονγκ Κονγκ κατά τη διάρκεια των διαμαρτυριών πολιτών εκεί. Περιγράψαμε μια παγκόσμια εκστρατεία που στόχευε κυβερνήσεις, ΜΚΟ και ομάδες προβληματισμού σε όλη την Ασία, την Ευρώπη και τις Ηνωμένες Πολιτείες. Η ομάδα είναι επίσης γνωστή για τις επιθέσεις τύπου watering-hole.
Επίσης γνωστή ως ETHEREAL PANDA. Ομάδα APT που συνδέεται με την Κίνα, ενεργή τουλάχιστον από το 2021. Στοχεύει κυρίως σε οργανισμούς της Ταϊβάν. Η ομάδα χρησιμοποιεί το webshell της China Chopper, το εργαλείο κλιμάκωσης δικαιωμάτων Juicy Potato και τις πολλαπλές παραλλαγές του, καθώς και το Mimikatz. Χρησιμοποιεί εκτενώς δυαδικά αρχεία living-off-the-land (LOLBins) για να αποφύγει τον εντοπισμό.
Φιλοκινεζική ομάδα APT. Οι ερευνητές της ESET επέλεξαν αυτό το όνομα λόγω της μακροχρόνιας χρήσης από την ομάδα (τουλάχιστον από το 2022) ψεύτικων αρχείων γραμματοσειρών στον κατάλογο C:\Windows\Fonts ως μυστικά φορτία κακόβουλου κώδικα. Στοχεύει κυρίως σε κυβερνητικές οντότητες στο Κιργιστάν, το Ουζμπεκιστάν, το Καζακστάν και το Πακιστάν.
Ομάδα APT που υποστηρίζει την Κίνα και στοχεύει διάφορους αποδέκτες στην Ανατολική Ευρώπη και την Κεντρική Ασία. Η ομάδα χρησιμοποιεί το backdoor Zmm και το Trochilus RAT. Το backdoor Zmm αναπτύσσεται από την ομάδα StartupNation, η οποία αναπτύσσει επίσης το Mikroceen RAT που χρησιμοποιείται από την ομάδα SixLittleMonkeys APT.
Επίσης γνωστή ως Soft Cell, Alloy Taurus, Red Moros ή Othorene. Ομάδα APT που υποστηρίζει τα συμφέροντα της Κίνας και στοχεύει παρόχους τηλεπικοινωνιών και κυβερνητικούς οργανισμούς παγκοσμίως. Επίσης γνωστή για τις επιθέσεις της σε ακαδημαϊκούς στόχους. Το σύνολο εργαλείων της περιλαμβάνει ένα προσαρμοσμένο backdoor C++, ένα webshell IIS που βασίζεται στο China Chopper, διάφορα εργαλεία κλοπής διαπιστευτηρίων που βασίζονται στο Mimikatz και διάφορα έτοιμα εργαλεία.
Ομάδα κυβερνοκατασκοπείας που υποστηρίζει την Κίνα. Ενεργή τουλάχιστον από το 2014. Εκείνο το έτος, η G DATA δημοσίευσε ένα white paper σχετικά με την επιχείρηση TooHash, μια εκστρατεία της οποίας τα θύματα φαινόταν να βρίσκονται στην Ανατολική Ασία με βάση τα έγγραφα που χρησιμοποιήθηκαν. Οι χειριστές χρησιμοποίησαν spearphishing με συνημμένα αρχεία που εκμεταλλεύονταν ένα τότε παλιό κενό ασφαλείας στο Microsoft Office, καθώς και τρία στοιχεία, δύο εκ των οποίων ήταν υπογεγραμμένα με ένα κλεμμένο πιστοποιητικό. Το 2016, η Verint Systems παρουσίασε στο HITCON, όπου αναφέρθηκε σε μια νέα δραστηριότητα της επιχείρησης TooHash που είχε αναφερθεί δύο χρόνια νωρίτερα, εξακολουθώντας να χρησιμοποιεί το ίδιο κενό ασφαλείας του Microsoft Office.
Ενεργή τουλάχιστον από το 2023. Ομάδα κυβερνοκατασκοπείας που υποστηρίζει τα συμφέροντα της Κίνας και επικεντρώνεται στη δημιουργία backdoors και χρησιμοποιεί νόμιμες υπηρεσίες όπως το Discord, το Slack και το file.io για επικοινωνίες C&C και υποκλοπή δεδομένων. Από το 2025, η τηλεμετρία της ESET δείχνει ότι η ομάδα έχει στοχεύσει κυβερνητικούς φορείς στη Μογγολία.
Ομάδα κυβερνοκατασκοπείας που υποστηρίζει την Κίνα, ενεργή τουλάχιστον από το 2009. Ονομάστηκε έτσι για την άφθονη χρήση αναφορών της Google στον κώδικά της και είναι αξιοσημείωτη για τη χρήση drive-by παραβιάσεων. Το οπλοστάσιο της ομάδας περιλαμβάνει κακόβουλο λογισμικό για χρήστες Windows, OS X και Android. Καταγράφηκε για πρώτη φορά το 2014, όταν χρησιμοποίησε ένα backdoor OS X για να στοχεύσει εταιρείες ηλεκτρονικών και κατασκευών παγκοσμίως, καθώς και ΜΚΟ με συμφέροντα στην Ασία. Το 2020, η Lookout ανακάλυψε τέσσερα Android backdoors που χρησιμοποιούνται για τη στόχευση Ουιγούρων, Θιβετιανών και μουσουλμανικών πληθυσμών σε όλο τον κόσμο, τα οποία απέδωσαν στην ομάδα με βάση την επικαλυπτόμενη υποδομή δικτύου. Ενώ αρκετές πηγές ισχυρίζονται ότι η ομάδα σχετίζεται με την APT15, οι ερευνητές της ESET δεν έχουν επαρκή στοιχεία για να υποστηρίξουν αυτήν τη σύνδεση και επομένως συνεχίζουν να την παρακολουθούν ως ξεχωριστή οντότητα.
Το Ke3chang (προφέρεται ke-tri-chang) είναι το όνομα που χρησιμοποιεί η ESET για μια υποομάδα APT15 που στοχεύει κυρίως κυβερνητικούς οργανισμούς και διπλωματικές αποστολές στην Ευρώπη και τη Λατινική Αμερική. Το όνομα βασίζεται σε μια έκθεση της Mandiant του 2013 σχετικά με την Επιχείρηση Ke3chang και το χρησιμοποιούμε για επακόλουθες δραστηριότητες APT15 που αναφέρθηκαν από διάφορους οργανισμούς μεταξύ 2016 και 2021. Οι επιχειρήσεις της ομάδας χαρακτηρίζονται από την ανάπτυξη μόνο απλών, πρώτου σταδίου backdoors με περιορισμένες δυνατότητες και την επακόλουθη δράση ανθρώπων-χειριστών για την εκτέλεση περαιτέρω εντολών χειροκίνητα, αξιοποιώντας ενσωματωμένα και δημόσια διαθέσιμα βοηθητικά προγράμματα για αναγνώριση.
Επίσης γνωστή ως SuperJumper. Δίκτυο Operational Relay Box (ORB) που εκτελείται σε εικονικούς ιδιωτικούς servers (VPSes) σε όλο τον κόσμο. Ενεργό τουλάχιστον από το 2023. Πολλές ομάδες που υποστηρίζουν τα συμφέροντα της Κίνας, συμπεριλαμβανομένων των DigitalRecyclers και BackdoorDiplomacy, χρησιμοποιούν αυτό το μυστικό δίκτυο για να ανωνυμοποιήσουν την κίνηση του δικτύου τους και να αποκρύψουν την πραγματική τους προέλευση.
Ομάδα APT που υποστηρίζει την Κίνα ανακαλύφθηκε από την ESET το 2024. Στοχεύει κυβερνητικές οντότητες στη Μαλαισία με στόχο την διεξαγωγή κυβερνοκατασκοπείας. Η ομάδα αναπτύσσει μοναδικό προσαρμοσμένο κακόβουλο λογισμικό για να συλλέξει το ιστορικό των προγραμμάτων περιήγησης των θυμάτων και να αποφασίσει πού θα αναπτύξει ένα backdoor που αξιοποιεί την υπηρεσία cloud της Microsoft OneDrive. Επιπλέον, χρησιμοποιεί την Πολιτική Ομάδας του Active Directory για να αναπτύξει το κακόβουλο λογισμικό της και να εκτελέσει πλευρική κίνηση. Υπάρχει μια μικρή επικάλυψη με την ομάδα ToddyCat APT, με βάση τις διαδρομές αρχείων και τη χρήση του SoftEther VPN. Ωστόσο, τα συνολικά σύνολα εργαλείων είναι διαφορετικά.
Επίσης γνωστή ως Lotus Panda και Billbug. Ομάδα APT που υποστηρίζει την Κίνα και στοχεύει κυβερνητικούς και ναυτιλιακούς οργανισμούς στη Νοτιοανατολική Ασία. Αποκαλύφθηκε για πρώτη φορά το 2015. Χρησιμοποιεί την κερκόπορτα Elsentric και διάφορα πρόσθετα εργαλεία, όπως το Impacket και το Venom proxy.
Επίσης γνωστή ως APT27 ή Emissary Panda. Ομάδα κυβερνοκατασκοπείας που στοχεύει κυρίως κυβερνήσεις, εταιρείες τηλεπικοινωνιών και διεθνείς οργανισμούς. Δραστηριοποιείται στην Κεντρική Ασία, τη Μέση Ανατολή, τη Μογγολία, το Χονγκ Κονγκ και τη Βόρεια Αμερική. Μία από τις χαρακτηριστικές τεχνικές της ομάδας είναι η χρήση πλευρικής φόρτωσης DLL για τη φόρτωση των backdoors της.
Επίσης γνωστή ως Earth Kasha. Ενεργή τουλάχιστον από το 2019. Μια ομάδα που υποστηρίζει την Κίνα, στοχεύοντας κυρίως εταιρείες και οργανισμούς στην Ιαπωνία, καθώς και οντότητες σε διαφορετικά σημεία, αλλά με δεσμούς με την Ιαπωνία. Η ESET θεωρεί ότι αποτελεί υποομάδα υπό την ομπρέλα της APT10. Έχει αναφερθεί ότι η ομάδα στοχεύει μέσα ενημέρωσης, εταιρείες που σχετίζονται με την άμυνα, ομάδες προβληματισμού, διπλωματικούς οργανισμούς, χρηματοπιστωτικά ιδρύματα, ακαδημαϊκά ιδρύματα και κατασκευαστές. Επικεντρώνεται στην κατασκοπεία και την κλοπή αρχείων ενδιαφέροντος.
Επίσης γνωστή ως TA416, RedDelta, PKPLUG, Earth Preta ή Stately Taurus. Μια ομάδα κυβερνοκατασκοπείας, που πιστεύεται ότι εδρεύει στην Κίνα. Στοχεύει κυρίως σε κυβερνητικές οντότητες και ΜΚΟ. Αν και είναι γνωστή για την εκστρατεία του 2020 που στόχευε το Βατικανό, τα θύματά της βρίσκονται κυρίως στην Ανατολική και Νοτιοανατολική Ασία, με έμφαση στη Μογγολία. Στις δράσεις της, η ομάδα χρησιμοποιεί συχνά προσαρμοσμένα προγράμματα φόρτωσης για κοινόχρηστο κακόβουλο λογισμικό.
Επίσης γνωστή ως APT31. Μια ομάδα κυβερνοκατασκοπείας που υποστηρίζει την Κίνα και στοχεύει κυρίως κυβερνητικές οντότητες στην Ευρώπη. Χρησιμοποιεί έναν προσαρμοσμένο κώδικα που μπορεί να αναπτυχθεί με διάφορους τρόπους, συμπεριλαμβανομένης μιας αλυσίδας πλευρικής φόρτωσης DLL και μιας αλυσίδας bring-your-own-vulnerable-software (BYOVS). Αξίζει να σημειωθεί ότι η ομάδα διαθέτει ένα ευρύτερο οπλοστάσιο προσαρμοσμένων εργαλείων, μερικά από τα οποία δεν έχουμε δει ακόμη σε δράση.
Ομάδα που υποστηρίζει την Κίνα και δραστηριοποιείται τουλάχιστον από το 2018. Η ομάδα εμπλέκεται σε επιχειρήσεις κατασκοπείας εναντίον ατόμων και οντοτήτων στην Κίνα, την Ταϊβάν, το Χονγκ Κονγκ, τη Νότια Κορέα, τις Ηνωμένες Πολιτείες και τη Νέα Ζηλανδία. Χρησιμοποιεί ένα προσαρμοσμένο backdoor και η κύρια τεχνική αρχικής πρόσβασης είναι η υποκλοπή νόμιμων ενημερώσεων ανακατευθύνοντας την κυκλοφορία σε servers που ελέγχονται από εισβολείς μέσω ενός εμφυτεύματος δικτύου. Επιπλέον, η ομάδα αποκτά πρόσβαση μέσω κενών ασφαλείας σε web servers και πραγματοποίησε μια επίθεση στην αλυσίδα εφοδιασμού το 2023.
Ομάδα APT που δραστηριοποιείται τουλάχιστον από το 2014. Στοχεύει στους τομείς της κυβέρνησης, της άμυνας και των τηλεπικοινωνιών στην Κεντρική Ασία, την Ινδία και το Πακιστάν. Πιστεύεται ότι αποτελεί μέρος της Μονάδας 69010 του Λαϊκού Απελευθερωτικού Στρατού (PLA). Είναι μία από τις ομάδες που έχουν πρόσβαση στην κερκόπορτα του ShadowPad.
Ομάδα APT που υποστηρίζει την Κίνα και δραστηριοποιείται τουλάχιστον από το 2008. Διεξάγει επιχειρήσεις κυβερνοκατασκοπείας και επιτήρησης στην Κίνα με στόχο ημεδαπά και ξένα άτομα, εταιρείες, εκπαιδευτικά ιδρύματα και κυβερνητικές οντότητες. Οι δραστηριότητες της ομάδας αποτελούν ένα υποσύνολο επιχειρήσεων που αποδίδονται στην LuoYu APT (γνωστή και ως CASCADE PANDA). Χρησιμοποιεί επιθέσεις adversary-in-the-middle, μέσω πρόσβασης στις υποδομές του κινέζικου internet για να υποκλέψει ενημερώσεις λογισμικού και να εμφυτεύσει τον κακόβουλο κώδικα σε Windows και Android.
Μια ομάδα APT που στοχεύει οντότητες στην Ανατολική και Νοτιοανατολική Ασία. Ενεργή τουλάχιστον από το 2020. Η ESET πιστεύει ότι εδρεύει στην Κίνα. Το εργαλείο-υπογραφή της ομάδας είναι ένα modular κακόβουλο λογισμικό σχεδιασμένο με έμφαση στην παροχή μυστικής απομακρυσμένης πρόσβασης.
Μια ομάδα APT της οποίας οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) συμπίπτουν εν μέρει με την APT41 (γνωστή και ως BARIUM). Ενώ η ομάδα δραστηριοποιείται κυρίως στην Ανατολική και Νοτιοανατολική Ασία, στοχεύει επίσης σε οργανισμούς σε ένα ευρύ φάσμα τομέων παγκοσμίως, με ιδιαίτερη έμφαση στον ακαδημαϊκό χώρο. Είναι επίσης μία από τις ομάδες με πρόσβαση στην κερκόπορτα του ShadowPad.
Επίσης γνωστή ως IndigoZebra ή SMAC. Ενεργή τουλάχιστον από το 2013. Σύμφωνα με αναφορές, αυτή η ομάδα APT, η οποία υποστηρίζει την Κίνα, είναι υπεύθυνη για επιθέσεις σε πολιτικές οντότητες σε ορισμένες χώρες της Κεντρικής Ασίας, συγκεκριμένα στο Αφγανιστάν, το Ουζμπεκιστάν και το Κιργιστάν. Οι ερευνητές της ESET έχουν επίσης παρατηρήσει τις επιθέσεις της στην Ισημερινή Γουινέα, τη Ρωσία, το Τατζικιστάν και το Ισραήλ.
Μια ομάδα υπεύθυνη για την ανάπτυξη και συντήρηση κακόβουλου λογισμικού για αρκετές ομάδες APT που υποστηρίζουν την Κίνα. Ενεργή τουλάχιστον από το 2016. Η ESET πιστεύει ότι η ομάδα παρέχει το λογισμικό της στις ομάδες APT που υποστηρίζουν κινέζικα συμφέροντα και τις οποίες παρακολουθούμε ως SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 και TA410. Έχει αναπτύξει το σύνολο εργαλείων HDMan, το Mikroceen RAT (γνωστό και ως BYEBY), το backdoor Zmm και το backdoor BeRAT.
Ομάδα κατασκοπείας που υποστηρίζει την Κίνα και λειτουργεί από την Αυτόνομη Περιφέρεια Εσωτερικής Μογγολίας της Λαϊκής Δημοκρατίας της Κίνας. Η ESET ανακάλυψε την ομάδα το 2024, όταν στόχευσε μια αντιπροσωπεία αυτοκινήτων στη Γαλλία. Έχει επίσης στοχεύσει κυβερνητικούς φορείς στη Μογγολία και μια δικηγορική εταιρεία στη Νότια Αμερική. Χρησιμοποιεί ένα ευρύ φάσμα εργαλείων, τα περισσότερα από τα οποία είναι κοινά σε φιλοκινεζικές ομάδες. Η ομάδα είναι επίσης πελάτης της StartupNation.
A cyber espionage umbrella group known mostly for targeting US-based organizations in the utilities sector and diplomatic organizations in the Middle East and Africa. Active since at least 2018. First publicly revealed in 2019. It is composed of three subgroups ESET has named JollyFrog, LookingFrog, and FlowingFrog. In 2020, the newly discovered and very complex malware family FlowCloud was also attributed to TA410.
Επίσης γνωστή ως ThunderCats. Ομάδα APT, ενεργή τουλάχιστον από το 2014. Στοχεύει κυβερνήσεις στην Ανατολική Ασία, με ιδιαίτερη έμφαση στη Μογγολία και τη Ρωσία. Η ESET πιστεύει ότι λειτουργεί από το Πεκίνο στη Λαϊκή Δημοκρατία της Κίνας. Η ομάδα χρησιμοποιεί προσαρμοσμένα backdoors και κοινόχρηστα εργαλεία. Είναι μία από τις ομάδες με πρόσβαση στο backdoor του ShadowPad.
Ομάδα APT που υποστηρίζει την Κίνα, ενεργή τουλάχιστον από το 2021. Ασχολείται με επιχειρήσεις κυβερνοκατασκοπείας εναντίον ατόμων, εταιρειών τυχερών παιχνιδιών και άγνωστων οντοτήτων στις Φιλιππίνες, τα Ηνωμένα Αραβικά Εμιράτα και την Κίνα. Οι ερευνητές της ESET ανακάλυψαν τη συγκεκριμένη ομάδα όταν μια κακόβουλη ενημέρωση λήφθηκε από μια δημοφιλή κινεζική εφαρμογή γνωστή ως Sogou Pinyin. Η ομάδα έχει δυνατότητες να διεξάγει επιθέσεις τύπου adversary-in-the-middle, οι οποίες της επιτρέπουν να ανακατευθύνει την κίνηση και να παραδίδει το προσαρμοσμένο κακόβουλο λογισμικό της μέσω ενημερώσεων.
Επίσης γνωστή ως BRONZE BUTLER ή REDBALDKNIGHT. Ομάδα APT για την οποία υπάρχουν υποψίες ότι δραστηριοποιείται τουλάχιστον από το 2006. Στοχεύει κυρίως σε χώρες της περιοχής Ασίας-Ειρηνικού. Αυτή η ομάδα ενδιαφέρεται για τις επιχειρήσεις κυβερνοκατασκοπείας της, οι οποίες επικεντρώνονται στην κλοπή διαβαθμισμένων πληροφοριών και πνευματικής ιδιοκτησίας.
Φιλοκινέζικη ομάδα που χρησιμοποιεί προσαρμοσμένο modular κακόβουλο λογισμικό, το οποίο η ESET ονόμασε GrapHop.
Ομάδα που υποστηρίζει την Κίνα και λειτουργεί τουλάχιστον από το 2023. Η ομάδα διεξάγει κυβερνοκατασκοπεία στη Μέση Ανατολή και επικαλύπτεται με τους Space Pirates και την απειλητική οντότητα που χρησιμοποιεί την backdoor του Zardoor. Έχει πρόσβαση σε διάφορα implants και είναι επίσης πελάτης της StartupNation.
Γνωστή και ως ToddyCat. Ανακαλύφθηκε από τους ερευνητές της ESET το 2021 κατά τη διάρκεια έρευνας για επιθέσεις εναντίον Microsoft Exchange servers, μέσω κατάχρησης του κενού ασφαλείας ProxyLogon. Με βάση αυτό, πιθανότατα πρόκειται για μια ομάδα APT που υποστηρίζει τα συμφέροντα της Κίνας. Σύμφωνα με την Kaspersky, η ομάδα δραστηριοποιείται τουλάχιστον από το 2020. Οι προηγούμενοι στόχοι της περιλαμβάνουν οργανισμούς στο Νεπάλ, το Βιετνάμ, την Ιαπωνία, το Μπαγκλαντές και την Ουκρανία. Οι επιθέσεις της ομάδας συνήθως συνδυάζουν τη χρήση ξεχωριστού ιδιόκτητου κακόβουλου λογισμικού και δημοσίως διαθέσιμων εργαλείων hacking.
Ομάδα κυβερνοκατασκοπείας που αναφέρθηκε για πρώτη φορά από τη Symantec το 2022. Συνδέεται με άλλες ομάδες APT που υποστηρίζουν τα συμφέροντα της Κίνας, όπως οι SixMonkeys και FishMonger. Η ομάδα χρησιμοποιεί γνωστές οικογένειες κακόβουλου λογισμικού. Είναι επίσης πελάτης της StartupNation
Ενεργή τουλάχιστον από το 2012. Είναι γνωστό ότι εδρεύει στην κινεζική πόλη Τσενγκντού, στην επαρχία Σιτσουάν. Υπεύθυνη για επιθέσεις υψηλού προφίλ στην αλυσίδα εφοδιασμού κατά των βιομηχανιών βιντεοπαιχνιδιών και λογισμικού, οι οποίες οδήγησαν στη διανομή πολλαπλών λογισμικών με Trojans που στη συνέχεια χρησιμοποιούνται για την παραβίαση περισσότερων θυμάτων. Η ομάδα είναι επίσης γνωστή για την παραβίαση διαφόρων στόχων σε διαφορετικούς τομείς, όπως η υγειονομική περίθαλψη και η εκπαίδευση.
Ομάδα κυβερνοκατασκοπείας που υποστηρίζει την Κίνα, ενεργή τουλάχιστον από το 2020. Η ESET πιστεύει ότι λειτουργεί από το Πεκίνο. Η ομάδα επικεντρώνεται κυρίως σε στόχους στη Μογγολία, αλλά έχει επίσης στοχεύσει οντότητες στο Κιργιστάν, το Βιετνάμ, την Τουρκία, την Ινδονησία και τη Ναμίμπια. Στοχεύει σε κυβερνητικούς και άλλους οργανισμούς του δημόσιου τομέα, καθώς και σε ιδιωτικές εταιρείες. Η ομάδα χρησιμοποιεί τα προσαρμοσμένα και τα δημόσια διαθέσιμα εργαλεία της. Μοιράζεται πρόσθετα εργαλεία και χαρακτηριστικά με άλλες φιλοκινεζικές ομάδες, ιδίως με την TA428. Αξίζει να σημειωθεί ότι έχει πρόσβαση στο backdoor του ShadowPad και είναι πελάτης της ομάδας παρόχων λογισμικού StartupNation.
Επίσης γνωστή ως YoroTrooper. Ομάδα κυβερνοκατασκοπείας, ενεργή τουλάχιστον από το 2021. Η ομάδα επικεντρώνεται στο spearphishing και την κλοπή διαπιστευτηρίων webmail. Στοχεύει κυβερνητικούς αξιωματούχους, ομάδες προβληματισμού και υπαλλήλους κρατικών εταιρειών σε χώρες που βρέχονται από την Κασπία Θάλασσα, με τη Ρωσική Ομοσπονδία να είναι η χώρα που στοχοποιείται περισσότερο. Δεδομένης της περιορισμένης στόχευσης, η ομάδα είναι πιθανό να λειτουργεί από μια χώρα της Κεντρικής Ασίας. Με βάση τα θύματα και άλλους τεχνικούς δείκτες, η ESET αξιολογεί, την ομάδα πιθανώς ως ευθυγραμμισμένη με τα συμφέροντα του Καζακστάν.
ΕΚΘΕΣΗ ΑΠΕΙΛΩΝ ESET Β' ΕΞΑΜΗΝΟ 2025
Μια εις βάθος ματιά στις παγκόσμιες τάσεις απειλών, την περιφερειακή δραστηριότητα APT και τις εξελίξεις κακόβουλου λογισμικού που παρατηρήθηκαν μέσω τηλεμετρίας της ESET.
Σύνοψη Δραστηριότητας APT
Τελευταίες πληροφορίες σχετικά με τις ενεργές δράσεις APT σε όλο τον κόσμο.
WeLiveSecurity: Οι σημαντικότερες ειδήσεις και έρευνα
Ανάλυση και σχόλια ειδικών από τους ερευνητές της ESET σχετικά με τις τελευταίες κυβερνοαπειλές, ανακαλύψεις και τάσεις ασφαλείας.
ESET Research Podcast: Εξερευνώντας το παγκόσμιο τοπίο απειλών
Ακούστε τους αναλυτές μας καθώς συζητούν για την απόδοση, τα εργαλεία και τις παγκόσμιες μεταβολές της δραστηριότητας των κυβερνοαπειλών
Φύλλο δεδομένων ESET Threat Intelligence APT Reports
Ανακαλύψτε τις δυνατότητες των πληροφοριών μας που εστιάζουν στις APT.
ΕΠΙΚΟΙΝΩΝΗΣΤΕ ΜΑΖΙ ΜΑΣ
Επιθυμείτε να μάθετε περισσότερα; Στείλτε μας τα στοιχεία σας και θα επικοινωνήσουμε μαζί σας με περισσότερες πληροφορίες.
Μπορούμε να σας καθοδηγήσουμε σε μια επίδειξη, να συζητήσουμε ένα proof of concept ή να απαντήσουμε σε τυχόν ερωτήσεις σας.