最も破壊的なサイバー攻撃を仕掛けているAPTグループSandwormは、攻撃のためのツールをアップデートしながら、ウクライナを標的とする大規模な攻撃を継続しています。

ESETの調査チームは、ウクライナのエネルギー企業に対するIndustroyer2の攻撃や、データを消去するワイパー型マルウェアCaddyWiperなどの複数の攻撃で使用されているArguePatchマルウェアローダーの更新バージョンを発見しました。

ArguePatch（ウクライナのコンピューター緊急対応チーム（CERT-UA）が命名）の新しい亜種に、指定した時間に次の攻撃段階を実行する機能が実装されました。ESET製品は、この亜種をWin32/Agent.AEGYとして検出します。この新機能は、Windowsのスケジュールタスクの設定を不要にすることで防御側による検出を回避することを目的としていると考えられます。

2つの亜種が存在しており、両者は酷似していますが、1つの亜種はArguePatchを隠ぺいするために、デジタル署名が削除されコードが上書きされたESETの正規の実行ファイルを使用しています。Industroyer2攻撃では、バイナリ分析ツールHexRaysのIDA Proのリモートデバッグサーバーにパッチを適用したバージョンが悪用されています。

ロシアによるウクライナ侵攻の直前からESETの研究者が継続してきた調査が、今回の新たな発見につながりました。2月23日、ESETのテレメトリ（監視データ）はウクライナの有名な多くの組織のネットワークでHermeticWiperを検出しました。また、今回のキャンペーンでは、HermeticWiperをローカルネットワークで拡散する独自のワームであるHermeticWizardと、おとりのランサムウェアとして機能するHermeticRansomが使用されています。翌日の2月24日にウクライナ政府のネットワークに対する2度目の破壊的な攻撃が開始され、IsaacWiperが展開されました。

3月中旬にはESETは、ウクライナの複数の組織にある数十台のシステムでCaddyWiperを発見しました。ESETとCERT-UAが連携して、4月にウクライナの電力会社に対するIndustroyer2による攻撃の計画を特定したことは重要な成果になりました。