- In Venezuela werd een overheidsinstantie met een maritieme link aangevallen, vermoedelijk om zicht te krijgen op olie- en scheepvaartontwikkelingen na Amerikaanse militaire interventie.
- Een Zuid-Koreaans AI- en roboticabedrijf werd doelwit van aan China-gelieerde malware, passend bij China’s strategische interesse in geavanceerde technologie.
- In de Verenigde Arabische Emiraten werd een defensiebedrijf gecompromitteerd.
- Arabischtalige gebruikers werden doelwit van Android-spyware, mogelijk gericht op journalisten of OSINT-onderzoekers.
- Aan Noord-Korea-gelieerde dreigingsactor Andariel viel een Zuid-Koreaans engineeringbedrijf aan dat vermoedelijk actief is in technologieën relevant voor vloeibare waterstof en de nucleaire sector.
- Aan Rusland-gelieerde groepen bleven zich voornamelijk richten op Oekraïne, waaronder militair personeel, droneproducenten en organisaties voor droneonderzoek en -ontwikkeling.
- ESET koppelt een data vernietigingsincident bij een Pools energiebedrijf in december 2025 met middelhoge zekerheid aan Sandworm.
Sliedrecht, 28 mei 2026 – ESET Research publiceert vandaag haar nieuwste APT Activity Report, waarin de activiteiten van geselecteerde Advanced Persistent Threat-groepen worden beschreven die door ESET-onderzoekers zijn waargenomen tussen oktober 2025 en maart 2026. Uit het rapport blijkt dat de aan China -gelieerde dreigingsactoren wereldwijd zeer actief bleven. Hun campagnes werden sterk beïnvloed door geopolitieke ontwikkelingen die de economische en veiligheidsbelangen van Beijing raken.
Na de Amerikaanse militaire operatie in Venezuela en tegen de achtergrond van aanhoudende instabiliteit in de Golfregio zag ESET signalen dat aan China gelieerde groepen probeerden meer inzicht te krijgen in maritieme, energie gerelateerde en politieke ontwikkelingen buiten China. Ook Noord-Korea-gelieerde actoren bleven actief. De groep Andariel viel een bedrijf aan dat vermoedelijk betrokken is bij de nucleaire energiesector.
Eén van de waargenomen campagnes werd uitgevoerd door FamousSparrow, een aan China gelieerde APT-groep. Deze groep richtte zich op een Venezolaanse overheidsinstantie die verbonden is aan maritieme aangelegenheden. Volgens ESET was het doel waarschijnlijk om de veerkracht van olietransporten te monitoren na de Amerikaanse interventie. Daarnaast zag ESET activiteit van SteppeDriver, ook een aan China gelieerde groep, binnen een Syrisch overheidsnetwerk. Deze activiteit kan verband houden met Chinese commerciële belangen in de wederopbouw van Syrië, maar ook met veiligheidszorgen rond Oeigoerse strijders die zich in het land bevinden.
De aan China gelieerde groep UNC5221 zette de SPAWN-malwarefamilie in tegen overheidsinstanties in Cambodja en Panama. Maar ook tegen een AI- en roboticabedrijf in Zuid-Korea. Die aanval past volgens ESET binnen Beijing’s blijvende interesse in strategische technologieën die prioriteit krijgen binnen het industriële ontwikkelingsbeleid Made in China 2025.
“In Azië waren de campagnes voornamelijk gericht op overheidsorganisaties, strategische industrieën en geavanceerde technologiesectoren. In het Midden-Oosten bleef Israël het belangrijkste doelwit van aan Iran gelieerde activiteiten, met doelen variërend van organisaties die getroffen werden door spionage-inbraken tot hardwarefabrikanten = die werden aangevallen met destructieve tools,” zegt Jean-Ian Boutin, Director of Threat Research bij ESET.
De oorlog in Iran, die eind februari 2026 begon, was bepalend voor aan Iran gelieerde activiteiten in deze periode. Opvallend genoeg viel het conflict samen met een afname van activiteit van gevestigde aan Iran gelieerde APT-groepen in ESET-telemetrie. Dit komt waarschijnlijk doordat het internet voor Iraniërs was afgesloten sinds eind februari, wat ook de effectieve mogelijkheden beperkte van Iran aanwezige APT-groepen. Tegelijkertijd lijkt deze situatie ruimte te hebben geboden aan proxy- en hacktivistische actoren die zich richtten op Israël, de Verenigde Staten en andere landen die door Teheran als vijandig worden beschouwd.
ESET Research documenteerde daarnaast een opvallende toename van activiteit tegen Israëlische doelwitten die niet met zekerheid aan bekende groepen kon worden gekoppeld. Twee niet-toegeschreven activiteitclusters, Rusty Boots en MoKhargosh, lieten zowel spionagecapaciteiten als destructief potentieel zien. Daarbij werd onder meer een bootkit-achtige wiper ingezet, terwijl aanvullende destructieve tooling werd achtergehouden voor mogelijk later gebruik.
In de Golfregio stelde ESET vast dat een defensiebedrijf in de Verenigde Arabische Emiraten werd gecompromitteerd. Ook werden Arabischtalige gebruikers aangevallen met Android-spyware. Deze campagne was mogelijk gericht op journalisten of open-source intelligence-onderzoekers, aangezien de naam van het Telegram-kanaal van de aanvaller vermoedelijk was geïnspireerd op Live Universal Awareness Map (Liveuamap): een legitiem en bekend OSINT-platform dat militaire incidenten wereldwijd in kaart brengt.
Noord-Korea-gelieerde dreigingsactoren bleven op meerdere fronten actief. Verschillende groepen bleven ontwikkelaars en het cryptocurrency-ecosysteem aanvallen met social-engineeringtechnieken, waarmee zij zowel direct financieel gewin als kansen voor software-supplychaincompromittering kunnen behalen. ESET zag ook de terugkeer van de groep Andariel in aanvallen op Zuid-Korea. Daarbij zette de groep TigerRAT in en probeerde zij Rook-ransomware te verspreiden binnen een engineeringbedrijf dat vermoedelijk apparatuur produceert voor vloeibare waterstof en de nucleaire energiesector. Dergelijke technologieën zijn duidelijk interessant voor Pyongyang’s ballistische en nucleaire ambities.
Aan Rusland gelieerde dreigingsactoren bleven zich vooral richten op Oekraïne en organisaties die verbonden zijn aan de Oekraïense defensie-inspanningen. Sednit zette de Covenant- en Beardshell-implants in tegen Oekraïens militair personeel, droneproducenten en organisaties die betrokken zijn bij droneonderzoek en -ontwikkeling. De groep richtte zich daarnaast op logistieke en transportbedrijven buiten Oekraïne.
Sandworm intensiveerde in de winter zijn destructieve activiteiten en zette verschillende nieuwe wipers in tegen Oekraïense overheids- en private organisaties. Bijzonder opvallend was een datavernietigingsincident in december 2025 bij een Pools energiebedrijf. ESET schrijft dit incident met middelhoge zekerheid toe aan Sandworm.
ESET-producten beschermen klanten tegen de kwaadaardige activiteiten die in het rapport worden beschreven. De gedeelde intelligence is grotendeels gebaseerd op eigen ESET-telemetrie en is geverifieerd door ESET-onderzoekers. Zij publiceren diepgaande technische rapporten en regelmatige updates over de activiteiten van specifieke APT-groepen. Deze dreigingsanalyses, bekend als ESET APT Reports, ondersteunen organisaties die burgers, vitale infrastructuur en hoogwaardige assets beschermen tegen cyberaanvallen door criminelen en statelijke actoren.
Meer informatie over ESET APT Reports, die hoogwaardige strategische, operationele en tactische threat intelligence bieden, is beschikbaar op de ESET Threat Intelligence-pagina.
Voor meer details over de genoemde en andere APT-groepen is het volledige APT Activity Report, “Conflict-informed espionage: Monitoring oil shipments, targeting drone makers”, beschikbaar op WeLiveSecurity.com. Volg ESET Research op Twitter (X) en BlueSky voor de laatste updates.
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en X.
