Dane wywiadowcze, które wzmacniają Twoją
odporność
Przewiduj i przechytrz globalne zagrożenia dzięki ESET Threat Intelligence, opartej
na wyselekcjonowanych danych, dogłębnych badaniach APT i praktycznej wiedzy ekspertów.
Dane wywiadowcze, które wzmacniają Twoją
Tak rozwiązujemy najtrudniejsze
wyzwania CTI
Zobacz, jak ESET Threat Intelligence przekształca świadomość
w świadomość strategiczną.
Wgląd w globalne i nagłe zagrożenia
Unikalna telemetria ESET z regionów niedostatecznie reprezentowanych umożliwia wcześniejsze wykrywanie APT i złośliwego oprogramowania.
Ograniczenia zasobów lub braki wiedzy w zespołach CTI
Informacje weryfikowane przez ludzi i opcjonalny dostęp do analityków zmniejszają obciążenie pracą i przyspieszają zrozumienie problemu.
Śledzenie aktorów APT i ewoluujących kampanii
Raporty APT i źródła IoC firmy ESET zapewniają bieżącą świadomość sytuacyjną
Czas reakcji na zagrożenie lub przytłaczające źródła zagrożeń
Doradca AI, dostęp do MISP, selekcjonowane źródła i szczegółowy kontekst APT umożliwiają szybsze, świadome podejmowanie decyzji.
Integracja i automatyzacja CTI
Standaryzowane formaty feedów (STIX 2.1, JSON) umożliwiają łatwą integrację i automatyzację w SIEM/SOAR.
Proaktywna prewencja, nie tylko wykrywanie
Wywiad dostarcza paliwa dla działań prewencyjnych i polowania zanim zagrożenia się zmaterializują.
Co wyróżnia
ESET Threat Intelligence
500tys.
podejrzanych próbek otrzymywanych
codziennie
2,5 mld.
adresów URL analizowanych każdego dnia
500tys.
unikalnych adresów URL blokowanych codziennie
60mln.
rekordów metadanych przetwarzanych
każdego dnia
GLOBALNA, WYJĄTKOWA WIDOCZNOŚĆ
Dzięki milionom czujników i doskonałej widoczności w trudno dostępnych regionach ESET zapewnia jasny wgląd w globalne i pojawiające się cyberzagrożenia.
WYSELEKCJONOWANE, GOTOWE DO INTEGRACJI ŹRÓDŁA DANYCH
Czyste, pozbawione duplikatów i ocenione pod kątem wiarygodności źródła danych w formatach STIX/JSON płynnie integrują się z narzędziami SIEM, SOAR i TIP, dzięki czemu zmniejszają liczbę fałszywych alarmów i obciążenie pracą.
BAZOWANIE NA AI I WERYFIKACJA PRZEZ EKSPERTÓW
ESET łączy zaawansowaną analitykę sztucznej inteligencji ze światowej klasy badaniami ekspertów, aby dostarczać dokładne, kontekstowe i przydatne informacje o zagrożeniach – nie tylko dane.
SZCZEGÓŁOWE INFORMACJE I DOSTĘP DO ANALITYKÓW
Ekskluzywne raporty APT i eCrime, kanały informacyjne IoC w czasie rzeczywistym, informacje AI Advisor i bezpośrednie sesje analityków umożliwiają proaktywną obronę i strategiczne podejmowanie decyzji.
Odkryj ofertę rozwiązań ESET
Threat Intelligence
Raporty APT
Dzięki milionom czujników i doskonałej widoczności w trudno dostępnych regionach firma ESET zapewnia jasny wgląd w globalne i pojawiające się zagrożenia cybernetyczne.
Raporty eCrime
Przejrzyste, przydatne informacje wywiadowcze dotyczące cyberprzestępczości motywowanej finansowo i ekosystemów złośliwego oprogramowania.
Kanały
Strumienie danych w czasie rzeczywistym, tworzone z myślą o automatyzacji i integracji.
Globalne zaufanie. Sprawdzone ekspertyzy
ESET Threat Intelligence pomaga rządom, infrastrukturze krytyczne
i globalnym przedsiębiorstwom widzieć więcej, szybciej wykrywać zagrożenia i zachować odporność.
ESET jest członkiem CISA i współpracuje z globalnymi podmiotami zajmującymi się cyberobroną w celu wspierania skoordynowanego planowania cyberobrony i wymiany informacji o zagrożeniach w czasie rzeczywistym.
ESET w ramach współpracy z Europolem dostarcza praktycznych informacji wywiadowczych, które pomagają zapobiegać zagrożeniom transgranicznym i chronić działalność klientów.
ESET jest jednym z najbardziej aktywnych współpracowników MITRE ATT&CK i jednym z najczęściej cytowanych źródeł.
ESET współpracuje z ENISA poprzez wspólne wydarzenia dotyczące cyberbezpieczeństwa i udział ekspertów, w tym wspólną analizę zagrożeń dla łańcucha dostaw i spostrzeżenia dotyczące europejskiego krajobrazu zagrożeń.
ESET posiada certyfikat ECSO „Cybersecurity Made in Europe”, potwierdzający niezawodną, niezależną ochronę organizacji działających w środowiskach podlegających regulacjom.
“Wgląd firmy ESET w unikalny zestaw danych sprawia, że jest ona atrakcyjnym partnerem w świecie CTI”
Klient z sektora obronnego
Poznaj zagrożenie.
Przechytrz sprawców
Badania i telemetria firmy ESET ujawniają infrastrukturę,
taktyki i kampanie stojące za globalną działalnością APT – od szpiegostwa
sponsorowanego przez konkretne państwa po operacje regionalne.
Poznaj
podmioty stanowiące zagrożenie
UNAFFILIATED
RUSSIA-ALIGNED
PAKISTAN-ALIGNED
OTHER MIDDLE EASTERN GROUPS
OTHER EASTERN EUROPEAN GROUPS
OTHER EAST ASIAN GROUPS
IRAN-ALIGNED
INDIA-ALIGNED
CHINA-ALIGNED
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
CENTRAL ASIA-ALIGNED
GOLDENJACKAL
Działa co najmniej od 2019 roku. Znane narzędzia tej grupy są wykorzystywane do szpiegostwa. Jej celem są instytucje rządowe i dyplomatyczne w Europie, na Bliskim Wschodzie i w Azji Południowej. Grupa ta jest mało znana i została publicznie opisana dopiero przez firmę Kaspersky w 2023 roku.
ATTOR
Podmiot stanowiący zagrożenie powiązany z Rosją, wykryty przez badaczy firmy ESET. Działa co najmniej od 2008 roku. Znana z platformy do cyber-szpiegostwa o tej samej nazwie. Platforma ta wyróżnia się złożoną architekturą wtyczek i rozbudowaną komunikacją sieciową z wykorzystaniem sieci Tor. Grupa ta zaatakowała użytkowników na Litwie, w Rosji, na Słowacji, w Turcji, Zjednoczonych Emiratach Arabskich, Wietnamie i na Ukrainie. Ataki są skierowane w szczególności na dwie grupy użytkowników: rosyjskojęzycznych użytkowników dbających o prywatność oraz znane organizacje w Europie, w tym placówki dyplomatyczne i instytucje rządowe.
BUHTRAP
Grupa znana z ataków na instytucje finansowe i przedsiębiorstwa w Rosji. Od końca 2015 roku przekształciła się z grupy o charakterze czysto przestępczym, popełniającej cyberprzestępstwa w celu osiągnięcia korzyści finansowych, w podmiot prowadzący cyberszpiegostwo w Europie Wschodniej i Azji Środkowej. Uważa się, że grupa ta jest powiązana z Rosją, ponieważ wykorzystała lukę typu zero-day w systemie Windows do ataku na cel na Ukrainie.
CALLISTO
Znana również jako COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto lub BlueCharlie. Grupa zajmująca się cyberszpiegostwem, działająca co najmniej od 2015 roku. Znana z ataków na europejskich i północnoamerykańskich urzędników państwowych, ośrodki analityczne oraz personel wojskowy. Skupia się na atakach typu spearphishing oraz kradzieży danych logowania do poczty internetowej. Na początku 2022 r. grupa próbowała wykraść dane logowania do poczty internetowej od urzędników rządowych Ukrainy oraz osób pracujących w ukraińskich przedsiębiorstwach państwowych. Dane logowania zostały prawdopodobnie wykorzystane przez atakujących do odczytania poufnych wiadomości e-mail lub kradzieży dokumentów z usług przechowywania danych w chmurze. Działania te były najprawdopodobniej częścią operacji cyber-szpiegowskiej związanej z trwającą wojną rosyjsko-ukraińską. W 2023 r. rząd Wielkiej Brytanii nałożył sankcje na dwóch członków Callisto i powiązał grupę z 18. Centrum Bezpieczeństwa Informacyjnego FSB.
GAMAREDON
Działa co najmniej od 2013 roku. Odpowiada za liczne ataki, głównie wymierzone w ukraińskie instytucje rządowe, co potwierdzają liczne raporty CERT-UA i innych oficjalnych organów ukraińskich. Służba Bezpieczeństwa Ukrainy (SBU) powiązała tę grupę z 18. Centrum Bezpieczeństwa Informacyjnego FSB, działającym z okupowanego Krymu. ESET uważa, że grupa ta współpracuje z InvisiMole. Udokumentowaliśmy również jej współpracę z Turla od początku 2025 roku.
GREENCUBE
Grupa zajmująca się szpiegostwem cybernetycznym powiązana z Rosją, działająca co najmniej od 2022 roku. Specjalizuje się w kampaniach typu spearphishing mających na celu kradzież danych uwierzytelniających oraz w wykradaniu wiadomości e-mail poprzez wykorzystanie luk XSS w aplikacji Roundcube. Do typowych celów należą organizacje rządowe i związane z obronnością w Grecji, Polsce, Serbii i na Ukrainie.
INVISIMOLE
Grupa hakerska powiązana z Rosją, działająca co najmniej od 2013 roku. Znana z precyzyjnie ukierunkowanych ataków szpiegowskich wymierzonych w instytucje rządowe, podmioty wojskowe i misje dyplomatyczne. Koncentruje się głównie na celach na Ukrainie, a od 2021 roku odnotowuje się wzrost jej aktywności. Atakowała również podmioty w Armenii, na Białorusi, w Grecji i w Rosji. Firma ESET uważa, że grupa ta współpracuje z powiązaną z FSB grupą Gamaredon.
OPERATION TEXONTO
Kampania dezinformacyjna/psychologiczna skierowana przeciwko Ukraińcom i dysydentom w Rosji. Ponadto firma ESET wykryła w 2023 r. kampanie spearphishingowe skierowane przeciwko ukraińskiej firmie zbrojeniowej i agencji UE, których celem było wykradzenie danych logowania do kont Microsoft Office 365. Operacja Texonto nie jest obecnie przypisywana konkretnemu podmiotowi stanowiącemu zagrożenie. Jednak biorąc pod uwagę stosowane taktyki, techniki i procedury (TTP), cele oraz sposób rozpowszechniania wiadomości, istnieje wysokie prawdopodobieństwo, że kampania została przeprowadzona przez grupę działającą w interesie Rosji.
ROMCOM
Znana również jako Storm-0978, Tropical Scorpius lub UNC2596. Grupa powiązana z Rosją, która prowadzi zarówno okazjonalne operacje cyberprzestępcze wymierzone w wybrane sektory biznesowe, jak i ukierunkowane działania szpiegowskie mające na celu gromadzenie informacji wywiadowczych. Od co najmniej 2022 roku powiązana z wykorzystaniem oprogramowania ransomware o nazwie „Cuba”. W ostatnim czasie grupa ta zajmowała się atakowaniem ukraińskiego rządu i sektora obronnego, sojuszników NATO oraz wielu organizacji rządowych w Europie.
SAINTBEAR
Znana również jako UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 lub TA471. Grupa zajmująca się cyberszpiegostwem, której celem są Ukraina i Gruzja. Działa co najmniej od 2021 roku. Uważa się, że jest powiązana z Rosją. Szczególnie interesują ją cele o dużym znaczeniu, głównie w strukturach rządowych Ukrainy. Wdraża programy do kradzieży danych i backdoory na zainfekowanych komputerach. W 2022 r. zaobserwowano wdrażanie przez nią narzędzia Cobalt Strike. Z dużym prawdopodobieństwem uznano ją za odpowiedzialną za atak WhisperGate w 2022 r.
SANDWORM
Grupa hakerska powiązana z Rosją, przeprowadzająca różnorodne ataki destrukcyjne. Powszechnie przypisuje się ją jednostce 74455 rosyjskiego Głównego Zarządu Wywiadu (GRU). Znana przede wszystkim z ataków na ukraiński sektor energetyczny w latach 2015 i 2016, które doprowadziły do przerw w dostawach energii elektrycznej. ESET śledzi działania tej grupy w ramach różnych podgrup: podgrupy TeleBots, zainteresowanej głównie atakowaniem podmiotów finansowych na Ukrainie; GreyEnergy, znanej z intensywnego wykorzystywania złośliwego oprogramowania o tej samej nazwie przeciwko celom infrastruktury krytycznej, wykrytej w przedsiębiorstwach energetycznych w Polsce, na Ukrainie i w Gruzji. W 2018 r. grupa przeprowadziła atak typu „Olympic Destroyer” mający na celu usunięcie danych, skierowany przeciwko organizatorom Zimowych Igrzysk Olimpijskich w Pjongczangu. Wykorzystuje ona zaawansowane złośliwe oprogramowanie, takie jak Industroyer, które jest w stanie komunikować się ze sprzętem w przedsiębiorstwach energetycznych za pośrednictwem protokołów sterowania przemysłowego. W 2020 r. Departament Sprawiedliwości Stanów Zjednoczonych opublikował akt oskarżenia przeciwko sześciu rosyjskim hakerom komputerowym, zarzucając im przygotowanie i przeprowadzenie różnych ataków tej grupy.
SEDNIT
Znana również jako APT28, Fancy Bear, Forest Blizzard lub Sofacy. Działa co najmniej od 2004 roku. Departament Sprawiedliwości Stanów Zjednoczonych wskazał tę grupę jako jedną z odpowiedzialnych za włamanie do Krajowego Komitetu Partii Demokratycznej (DNC) tuż przed wyborami w USA w 2016 roku i powiązał ją z GRU. Uważa się również, że stoi ona za włamaniem do globalnej sieci telewizyjnej TV5Monde, wyciekiem e-maili Światowej Agencji Antydopingowej (WADA) oraz wieloma innymi incydentami. Grupa dysponuje zróżnicowanym zestawem narzędzi złośliwego oprogramowania, ale obecnie prowadzi głównie ukierunkowane kampanie phishingowe. Niemniej jednak nadal obserwuje się, że wdraża ona niestandardowe, zaawansowane implanty.
THE DUKES
Znana również jako APT29, Cozy Bear lub Nobelium. Niesławna grupa zajmująca się cyberszpiegostwem, działająca co najmniej od 2008 roku. Według brytyjskiego NCSC powiązana z SVR (Służbą Wywiadu Zagranicznego Federacji Rosyjskiej). Znana jako jedna z grup, które włamały się do Krajowego Komitetu Partii Demokratycznej w USA w okresie poprzedzającym wybory w 2016 roku. W 2019 roku firma ESET ujawniła prowadzoną przez nią zakrojoną na szeroką skalę operację szpiegowską wymierzoną w wiele europejskich ministerstw spraw zagranicznych. Znana z ataku na łańcuch dostaw z 2020 roku, wykorzystującego lukę w oprogramowaniu SolarWinds, który doprowadził do naruszenia bezpieczeństwa dużych organizacji, w tym wielu agencji rządowych w Stanach Zjednoczonych. Odpowiedzialna za kilka kampanii spearphishingowych w 2021 roku, skierowanych przeciwko dyplomatom w Europie.
TURLA
Znana również jako Snake. Grupa zajmująca się cyber-szpiegostwem, działająca co najmniej od 2004 roku, a prawdopodobnie już od końca lat 90. Uważa się, że jest ona częścią FSB. Skupia się głównie na znaczących celach, takich jak instytucje rządowe i dyplomatyczne w Europie, Azji Środkowej i na Bliskim Wschodzie. Grupa znana jest z włamań do dużych organizacji, takich jak Departament Obrony Stanów Zjednoczonych w 2008 r. oraz szwajcarska firma zbrojeniowa RUAG w 2014 r.
UAC-0099
Grupa zajmująca się szpiegostwem cybernetycznym, atakująca organizacje rządowe, instytucje finansowe i media na Ukrainie. Działa co najmniej od 2022 roku. Na podstawie wybranego celu ataków można z umiarkowaną pewnością stwierdzić, że grupa ta działa w interesie Rosji. Zazwyczaj wykorzystuje ona narzędzie LONEPAGE – program pobierający oparty na PowerShellu, którego nazwa pochodzi od słowa „page” występującego w linkach C&C (command and control).
VERMIN
Znana również jako UAC-0020. Grupa hakerska powiązana z Rosją, znana z ataków cyber-szpiegowskich na cele rządowe i wojskowe na Ukrainie. Działa co najmniej od 2015 roku. Uważa się, że grupa ta jest powiązana z tak zwaną Ługańską Republiką Ludową.
ZEBROCY
Znana również jako UAC-0063 lub TAG-110. Grupa hakerska powiązana z Rosją, znana z ataków cyber-szpiegowskich na cele rządowe, wojskowe i związane ze sprawami zagranicznymi w Azji Środkowej i na Ukrainie. Działa co najmniej od 2015 roku. Zestaw narzędzi złośliwego oprogramowania Zebrocy służy do prowadzenia ukierunkowanych kampanii ataków i zawiera wszystkie funkcje niezbędne do szpiegowania, takie jak rejestrowanie naciśnięć klawiszy, wykonywanie zrzutów ekranu, rozpoznanie, tworzenie list plików i ich wyciek oraz wiele innych. Został opracowany w sposób modułowy, co pozwala na aktualizacje i uruchamianie nowych modułów dostarczanych przez operatorów.
TRANSPARENT TRIBE
Znana również jako Operation C-Major, Mythic Leopard, ProjectM, APT36 lub Earth Karkaddan. Grupa zajmująca się cyber-szpiegostwem, której celem jest armia indyjska i powiązane z nią obiekty w Indiach, a także działacze i organizacje społeczeństwa obywatelskiego w Pakistanie. Firma Trend Micro i inne podmioty wysunęły niepotwierdzone przypuszczenia dotyczące powiązań z Pakistanem. Grupa wykorzystuje socjotechnikę i phishing do rozprzestrzeniania złośliwego oprogramowania. W przeszłości grupa ta wdrażała backdoory, zwłaszcza CrimsonRAT, przeciwko ofiarom korzystającym z systemu Windows, sporadycznie wykorzystując również backdoor AndroRAT przeznaczony dla systemu Android.
ARID VIPER
Znana również jako APT-C-23, Desert Falcons lub Two-tailed Scorpion. Grupa zajmująca się cyber-szpiegostwem, znana z ataków na kraje Bliskiego Wschodu. Działa co najmniej od 2013 roku. Atakuje głównie ofiary palestyńskie i izraelskie, w tym organy ścigania, wojsko i instytucje rządowe, ale także aktywistów i studentów. Wykorzystuje rozbudowany arsenał złośliwego oprogramowania dla platform Android, iOS i Windows, w tym kilka niestandardowych backdoorów. Uważa się, że grupa ta jest powiązana z Hamasem i działa ze Strefy Gazy.
BAHAMUT
Grupa APT specjalizująca się w cyber-szpiegostwie. Uważa się, że jej celem jest kradzież poufnych informacji. Nazywana jest również grupą najemników oferującą usługi hakerskie na zlecenie szerokiemu gronu klientów. Zazwyczaj atakuje podmioty i osoby prywatne na Bliskim Wschodzie i w Azji Południowej, wykorzystując jako początkowy wektor ataku wiadomości typu spearphishing oraz fałszywe aplikacje.
BIBIGUN
Grupa haktywistów wspierana przez Hamas. Po raz pierwszy pojawiła się podczas wojny izraelsko-hamasowskiej w 2023 roku. Grupa ta znana jest z ataków typu „wiper” na izraelskie cele, wykorzystujących pliki wykonywalne zarówno dla systemów Windows, jak i Linux. Pierwszy program typu „wiper” tej grupy został wykryty przez Security Joes w 2023 roku, a kolejny został wykryty przez firmę ESET i zgłoszony w tym samym roku.
BLADEHAWK
Grupa zajmująca się cyber-szpiegostwem z Bliskiego Wschodu, odkryta w 2020 roku. W przeszłości atakowała ona kurdyjską społeczność w północnym Iraku. Grupa wykorzystywała złośliwe oprogramowanie zarówno dla systemu Windows, jak i Androida, aby atakować swoje ofiary. W 2021 roku firma ESET opisała kampanię szpiegowską tej grupy, prowadzoną za pośrednictwem prokurdyjskich treści na Facebooku i wymierzoną w użytkowników urządzeń mobilnych z wykorzystaniem backdoorów dla systemu Android.
POLONIUM
Grupa zajmująca się cyber-szpiegostwem, po raz pierwszy odnotowana w 2022 roku. Uważa się, że grupa ta działa z terytorium Libanu i atakuje głównie izraelskie organizacje. Jej zestaw narzędzi obejmuje siedem niestandardowych backdoorów, w tym jeden wykorzystujący usługi chmurowe OneDrive i Dropbox do komunikacji C&C (dowództwo i kontrola), a także inne moduły korzystające z usług przechowywania plików Dropbox i Mega. Grupa ta wykorzystywała również kilka niestandardowych modułów do szpiegowania swoich celów.
STEALTH FALCON
Grupa hakerska powiązana ze Zjednoczonymi Emiratami Arabskimi. Działa od 2012 roku. Znana z ataków na działaczy politycznych, dziennikarzy i dysydentów na Bliskim Wschodzie. Po raz pierwszy została wykryta i opisana przez Citizen Lab w analizie ataków szpiegowskich opublikowanej w 2016 roku. W 2019 roku organizacja Amnesty International stwierdziła, że Stealth Falcon i Project Raven – inicjatywa, w ramach której rzekomo zatrudniono byłych agentów NSA – to ta sama grupa.
STRONGPITY
Znana również jako PROMETHIUM lub APT-C-41. Grupa zajmująca się cyber-szpiegostwem, działająca co najmniej od 2012 roku. Atakuje głównie podmioty z siedzibą w Turcji, ale prowadziła działania na całym świecie. W przeszłości atakowała platformę Windows za pomocą złośliwego oprogramowania o tej samej nazwie. Jednak pod koniec 2022 roku tej grupie przypisano również dwie kampanie polegające na rozpowszechnianiu złośliwych aplikacji na Androida.
ASYLUM AMBUSCADE
Grupa zajmująca się cyberprzestępczością, która dodatkowo prowadziła działania w zakresie cyberszpiegostwa. Po raz pierwszy ujawniono ją publicznie w marcu 2022 r., po tym jak grupa ta zaatakowała pracowników europejskich instytucji rządowych zaangażowanych w pomoc uchodźcom z Ukrainy, zaledwie kilka tygodni po wybuchu wojny rosyjsko-ukraińskiej.
CLOUD ATLAS
Znana również jako Inception Framework. Grupa zajmująca się szpiegostwem cybernetycznym, działająca co najmniej od 2014 roku. Uważa się ją również za odgałęzienie grupy Red October – starszej organizacji szpiegowskiej, która według bloga Chronicle poświęconego bezpieczeństwu (obecnie należącego do Google Security Operations) mogła być wynikiem współpracy między dwoma krajami. Grupa ta atakuje głównie instytucje rządowe i przedsiębiorstwa z sektorów strategicznych, takich jak obrona, w Rosji, Europie i na Kaukazie.
FROSTY NEIGHBOR
Znany również jako UNC1151, DEV-0257, PUSHCHA, Storm-0257 lub TA445. Działa co najmniej od 2016 roku. Grupa prawdopodobnie działa z Białorusi. Większość działań grupy była skierowana przeciwko krajom sąsiadującym z Białorusią; niewielką część działań zaobserwowano w innych krajach europejskich. Prowadzi kampanie wpływowe i dezinformacyjne, ale zaatakowała również różne podmioty rządowe i prywatne, skupiając się na Ukrainie, Polsce i Litwie.
MOUSTACHED BOUNCER
Grupa zajmująca się cyber-szpiegostwem, po raz pierwszy ujawniona przez firmę ESET. Działa co najmniej od 2014 roku. Jej głównym celem są zagraniczne ambasady na Białorusi. Od 2020 roku grupa najprawdopodobniej jest w stanie przeprowadzać ataki typu „man-in-the-middle” na poziomie dostawców usług internetowych na terenie Białorusi w celu przejęcia kontroli nad swoimi celami.
WINTER VIVERN
Grupa zajmująca się cyber-szpiegostwem, wykryta po raz pierwszy w 2021 roku. Uważa się, że działa co najmniej od 2020 roku. Jej celem są instytucje rządowe w Europie i&Nbsp;Azji Środkowej. Grupa wykorzystuje złośliwe dokumenty, strony phishingowe oraz niestandardowe backdoory PowerShell do ataków na swoje cele. Od 2022 r. atakuje również serwery pocztowe Zimbra i Roundcube. W 2023 r. firma ESET zaobserwowała, że grupa wykorzystuje stare luki XSS w Roundcube.
XDSPY
Grupa zajmująca się cyber-szpiegostwem, działająca co najmniej od 2011 roku. Znana z ataków na podmioty rządowe, takie jak siły zbrojne, ministerstwa spraw zagranicznych i przedsiębiorstwa państwowe w Europie Wschodniej (w tym w Rosji) oraz na Bałkanach. Grupa wykorzystuje wiadomości e-mail typu spearphishing do przejmowania kontroli nad swoimi celami. W 2020 r. wykorzystała lukę w przeglądarce Internet Explorer, gdy nie było jeszcze publicznie dostępnego proof-of-concept ani prawie żadnych informacji na jej temat. Prawdopodobnie grupa kupiła ten exploit od pośrednika.
APT-C-60
Znana również jako False Hunter lub APT-Q-12. Grupa zajmująca się cyberszpiegostwem powiązana z Koreą Południową, działająca co najmniej od 2018 roku. Skupia się głównie na znaczących celach, takich jak instytucje rządowe, branże handlowe i ośrodki analityczne. Grupa wykorzystuje potencjalnie interesujące wydarzenia lub jej operatorzy podszywają się pod studentów proszących o opinie na temat istotnych tematów badawczych, aby zwabić swoje cele. Wykorzystuje niestandardowe programy pobierające oraz modułowe backdoory dostarczane za pośrednictwem wiadomości e-mail typu spearphishing. Jej działania charakteryzują się wdrażaniem wielu etapów pobierania oraz niestandardowego backdoora zdolnego do ładowania wtyczek.
ANDARIEL
Uważana za podgrupę Lazarus (powiązaną z Koreą Północną). Jej działalność sięga 2009 roku. Grupa koncentruje się przede wszystkim na celach w Korei Południowej, w tym na podmiotach rządowych i wojskowych, a także na przedsiębiorstwach, takich jak banki, giełdy kryptowalut i brokerzy internetowi. Jej działania mają na celu albo szpiegostwo cybernetyczne, albo osiągnięcie korzyści finansowych. Wśród publicznie ujawnionych incydentów związanych z tą grupą znajdują się ataki na Międzynarodowe Targi Lotnicze i Obronne w Seulu (ADEX) w 2015 r. oraz na indyjską elektrownię jądrową Kudankulam (KKNPP) w 2019 r.
DECEPTIVE DEVELOPMENT
Grupa powiązana z Koreą Północną, po raz pierwszy odnotowana w 2023 roku. Jej członkowie skupiają się przede wszystkim na osiągnięciu korzyści finansowych, atakując programistów korzystających z systemów Windows, Linux i macOS w celu kradzieży kryptowalut, przy czym ich potencjalnym dodatkowym celem może być prowadzenie cyber-szpiegostwa. Grupa wykorzystuje fałszywe profile rekruterów w mediach społecznościowych. Kontaktuje się z programistami, często zaangażowanymi w projekty związane z kryptowalutami, dostarczając potencjalnym ofiarom zarażone trojanami kody źródłowe, które instalują backdoory w ramach fałszywego procesu rekrutacyjnego.
KIMSUCKY
Grupa zajmująca się szpiegostwem cybernetycznym powiązana z Koreą Północną. Działa co najmniej od 2013 roku. Początkowo grupa atakowała podmioty związane z Koreą Południową, jednak w ciągu ostatnich kilku lat rozszerzyła zakres swojej działalności, obejmując nią również Stany Zjednoczone i kraje europejskie. Atakuje ona instytucje rządowe, instytuty badawcze, firmy zajmujące się kryptowalutami oraz przedsiębiorstwa prywatne, a jej głównym celem jest szpiegostwo cybernetyczne i gromadzenie informacji wywiadowczych.
KONNI
Grupa cyberprzestępcza powiązana z Koreą Północną. Po raz pierwszy odnotowana przez analityków w 2017 roku. Atakuje głównie rosyjskie i południowokoreańskie instytucje polityczne. Często wykorzystuje ataki typu spearphishing w celu uzyskania wstępnego dostępu, a do utrzymania obecności i stałego dostępu do komputera ofiary używa niestandardowego narzędzia zdalnej administracji (RAT). Chociaż niektórzy badacze bezpieczeństwa zaliczają tę grupę do ScarCruft (APT37), Lazarus lub Kimsuky, firma ESET nie jest w stanie potwierdzić tych twierdzeń.
LAZARUS
Znana również jako HIDDEN COBRA. Grupa APT powiązana z Koreą Północną. Działa co najmniej od 2009 roku. Odpowiada za głośne incydenty, takie jak włamanie do Sony Pictures Entertainment i cyberkradzieże, które w 2016 roku kosztowały dziesiątki milionów dolarów, wybuch epidemii WannaCryptor (znanego również jako WannaCry) w 2017 roku oraz długą historię destrukcyjnych ataków na południowokoreańską infrastrukturę publiczną i krytyczną, trwającą co najmniej od 2011 roku. Grupę tę charakteryzuje różnorodność, liczba i niekonwencjonalność realizowanych kampanii, a także zaangażowanie we wszystkie trzy filary działalności cyberprzestępczej: cyberszpiegostwo, cybersabotaż oraz dążenie do osiągnięcia korzyści finansowych.
OPERATION IN(TER)CEPTION
Nazwa nadana przez firmę ESET serii ataków przypisywanych tej grupie. Ataki te trwają co najmniej od 2019 roku i są wymierzone w przedsiębiorstwa z branży lotniczej, wojskowej i obronnej. Operacja ta wyróżnia się wykorzystaniem ataków typu spearphishing przeprowadzanych za pośrednictwem serwisu LinkedIn oraz stosowaniem skutecznych sztuczek pozwalających uniknąć wykrycia. Jak sugeruje nazwa In(ter)ception, jej głównym celem wydaje się być szpiegostwo przemysłowe.
SCARCRUFT
Znana również jako APT37 lub Reaper. Podejrzewa się, że jest to północnokoreańska grupa szpiegowska. Działa co najmniej od 2012 roku. Skupia się głównie na Korei Południowej, ale atakuje również inne kraje azjatyckie. Grupa wydaje się interesować głównie organizacjami rządowymi wojskowymi oraz firmami z różnych branż powiązanymi z interesami Korei Północnej. Jej zestaw narzędzi obejmuje szeroki zakres programów pobierających, narzędzi do wycieku danych oraz backdoorów wykorzystywanych do szpiegostwa.
AGRIUS
Grupa zajmująca się sabotażem cybernetycznym, podejrzana o powiązania z Iranem. Działa od 2020 roku. Atakowała ofiary w Izraelu i Zjednoczonych Emiratach Arabskich. Grupa początkowo wykorzystywała program typu „wiper” zamaskowany jako oprogramowanie ransomware, ale później przekształciła go w pełnoprawne oprogramowanie ransomware. Wykorzystuje znane luki w zabezpieczeniach aplikacji podłączonych do Internetu w celu zainstalowania webshelli, a następnie przeprowadza rozpoznanie wewnętrzne przed rozpoczęciem ataku w kierunku wzdłużnym.
BALLISTIC BOBCAT
Wcześniej znany jako APT35 i APT42 (znany również jako Charming Kitten, TA453 lub PHOSPHORUS). Podejrzewa się, że jest to podmiot powiązany z Iranem, który atakuje organizacje edukacyjne, rządowe i służby zdrowia, a także działaczy na rzecz praw człowieka i dziennikarzy. Najbardziej aktywny w Izraelu, na Bliskim Wschodzie i w Stanach Zjednoczonych. Podczas pandemii atakował organizacje związane z COVID-19, w tym Światową Organizację Zdrowia i firmę Gilead Pharmaceuticals, a także pracowników naukowych zajmujących się medycyną.
BLADEDFELINE
Grupa zajmująca się cyber-szpiegostwem powiązana z Iranem. Działa co najmniej od 2017 roku. Po raz pierwszy wykryto ją w 2023 roku, kiedy to za pomocą swojego backdoora atakowała kurdyjskich dyplomatów. W 2024 r. grupa nadal atakowała tych kurdyjskich urzędników, a także urzędników rządowych z Iraku oraz regionalnego dostawcę usług telekomunikacyjnych w Uzbekistanie. Z dużym prawdopodobieństwem uznano, że grupa ta jest podgrupą OilRig – znaną również jako APT34 lub Hazel Sandstorm (dawniej EUROPIUM) – która ma cechy wspólne z BladeHawk i FreshFeline.
CYBERTOUFAN
Grupa cyberprzestępcza znana z ataków na izraelskie organizacje. Uważa się, że grupa ta ma siedzibę w Turcji, ale przeprowadza ataki zgodne z celami rządu irańskiego. Istnieje powiązanie między tą grupą a grupą Frankenstein, która od dawna działa na rzecz interesów terytoriów palestyńskich i również jest powiązana z interesami Iranu. Grupa ta brała udział w operacjach typu „hack-and-leak”, naruszeniach bezpieczeństwa danych oraz niszczeniu danych.
DOMESTIC KITTEN
Kampania prowadzona przez grupę APT-C-50. Jak poinformowała firma Check Point w 2018 roku, w ramach tej kampanii grupa od 2016 roku prowadzi operacje inwigilacji urządzeń mobilnych obywateli irańskich. W 2019 roku firma Trend Micro zidentyfikowała złośliwą kampanię, prawdopodobnie powiązaną z Domestic Kitten, skierowaną przeciwko Bliskiemu Wschodowi, nazywając ją „Bouncing Golf”. Wkrótce potem, w tym samym roku, firma Qianxin poinformowała o kolejnej kampanii Domestic Kitten skierowanej przeciwko Iranowi. W 2020 r. firma 360 Core Security ujawniła działania inwigilacyjne prowadzone przez Domestic Kitten, skierowane przeciwko grupom antyrządowym na Bliskim Wschodzie. Ostatni publicznie dostępny raport pochodzi z 2021 r. i został opublikowany przez firmę Check Point.
FRESHFELINE
Znana również jako MosesStaff. Irańska grupa zajmująca się cyberszpiegostwem, która atakuje różne sektory w Izraelu, Włoszech, Indiach, Niemczech, Chile, Turcji, Zjednoczonych Emiratach Arabskich i Stanach Zjednoczonych. Działa co najmniej od 2021 roku, kiedy to wykorzystała nieznane wcześniej tylne drzwi do ataku na dwie firmy w Izraelu. W 2021 r. grupa ta wykorzystała oprogramowanie ransomware przeciwko ofiarom w Izraelu. Grupa atakuje serwery Microsoft Exchange podłączone do Internetu, wykorzystując jako główny sposób wejścia niezałatane, znane luki w zabezpieczeniach, a następnie przeprowadza ruchy boczne i wdraża własne, niestandardowe backdoory.
GALAXY GATO
Znana również jako C5, Smoke Sandstorm, TA455 lub UNC1549. Grupa zajmująca się cyber-szpiegostwem, działająca w interesie rządu irańskiego. Aktywna co najmniej od 2022 roku. Grupa atakuje organizacje na Bliskim Wschodzie (w tym między innymi w Izraelu, Omanie i Arabii Saudyjskiej) oraz w Stanach Zjednoczonych, działające w branżach lotniczej, kosmicznej i obronnej. Jej metody pokrywają się z metodami grupy Tortoiseshell, powiązanej z organizacją Electronic Warfare and Cyber Defense (EWCD) irańskiej Islamskiej Gwardii Rewolucyjnej (IRGC), oraz grupy APT33, która również jest powiązana z IRGC-EWCD. Typowe metody stosowane przez tę grupę obejmują spearphishing z wykorzystaniem domen typu typosquatting, ataki typu password spraying oraz tworzenie i wdrażanie niestandardowych backdoorów.
LYCEUM
Znana również jako HEXANE lub Storm-0133. Podgrupa OilRig, działająca co najmniej od 2017 roku. Grupa atakuje organizacje na Bliskim Wschodzie, skupiając się w szczególności na organizacjach izraelskich, w tym na krajowych i lokalnych jednostkach rządowych oraz organizacjach z sektora opieki zdrowotnej. Do głównych narzędzi przypisywanych tej grupie należą różne backdoory oraz szereg programów pobierających, które wykorzystują legalne usługi w chmurze do komunikacji typu C&C (dowództwo i kontrola).
MUDDYWATER
Grupa zajmująca się szpiegostwem cybernetycznym powiązana z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Działa co najmniej od 2017 roku. Grupa atakuje ofiary na Bliskim Wschodzie i w Ameryce Północnej, skupiając się na sektorze telekomunikacyjnym, organizacjach rządowych oraz branży naftowej i energetycznej. Jej operatorzy często wykorzystują backdoory oparte na skryptach, takie jak PowerShell. Ich preferowaną metodą uzyskania wstępnego dostępu są wiadomości e-mail typu spearphishing z załącznikami – często są to pliki PDF zawierające linki do repozytoriów plików, takich jak Egnyte i OneHub.
OILRIG
Znana również jako APT34 lub Hazel Sandstorm (wcześniej EUROPIUM). Grupa zajmująca się cyber-szpiegostwem, co do której powszechnie uważa się, że ma siedzibę w Iranie. Działa co najmniej od 2014 roku. Grupa atakuje rządy krajów Bliskiego Wschodu oraz różne sektory biznesowe, w tym przemysł chemiczny, energetyczny, finansowy i telekomunikacyjny. Do jej najbardziej znanych kampanii należą: kampania DNSpionage z 2018 i 2019 r., skierowana przeciwko ofiarom w Libanie i Zjednoczonych Emiratach Arabskich; kampania HardPass z lat 2019–2020, wykorzystująca serwis LinkedIn do ataków na ofiary z Bliskiego Wschodu z sektorów energetycznego i rządowego; atak z 2020 r. na organizację telekomunikacyjną na Bliskim Wschodzie; oraz ataki z 2023 r. skierowane przeciwko organizacjom na Bliskim Wschodzie. Oprócz tych incydentów firma ESET śledzi inne działania związane z OilRig w ramach oddzielnych podgrup: Lyceum, ShroudedSnooper i BladedFeline.
SHROUDED SNOOPER
Znany również jako Scarred Manticore lub Storm-0861. Podgrupa OilRig działająca co najmniej od 2019 roku. Po raz pierwszy zidentyfikowana przez Microsoft podczas destrukcyjnych ataków na rząd Albanii w latach 2021–2022, gdzie zapewniła innym podgrupom OilRig wstępny dostęp do sieci poprzez wykorzystanie aplikacji dostępnych publicznie. W 2023 roku grupa przeprowadziła ataki na organizacje rządowe, wojskowe i firmy telekomunikacyjne na Bliskim Wschodzie.
TORTOISESHELL
Znana również jako Crimson Sandstorm, Imperial Kitten, TA456 lub Yellow Liderc. Grupa zajmująca się cyber-szpiegostwem, działająca co najmniej od 2019 roku. Grupa wykorzystuje socjotechnikę i wiadomości phishingowe w celu uzyskania wstępnego dostępu oraz w dużym stopniu opiera się na makrach pakietu Microsoft Office i implantach wczesnego etapu, które służą do rozpoznania systemu i sieci. Celami są zazwyczaj branże morskie, żeglugowe i logistyczne w Stanach Zjednoczonych, Europie i na Bliskim Wschodzie.
WILDPRESSURE
Grupa zajmująca się cyber-szpiegostwem, której celem są ofiary z Bliskiego Wschodu działające w sektorach naftowym, gazowym i inżynieryjnym. Działa co najmniej od 2019 roku, kiedy to wykryto jej pierwsze tylne drzwi. W 2021 roku zaobserwowano, że grupa ta wdrożyła dodatkowe narzędzia.
DONOT TEAM
Znana również jako APT-C-35 lub SectorE02. Podmiot stanowiący zagrożenie powiązany z Indiami, działający co najmniej od 2016 roku. Raport Amnesty International z 2021 roku powiązał złośliwe oprogramowanie tej grupy z indyjską firmą zajmującą się cyberbezpieczeństwem, która prawdopodobnie sprzedaje oprogramowanie szpiegowskie lub oferuje usługi hakerów na zlecenie rządom w regionie. Grupa atakuje organizacje w Azji Południowej, wykorzystując złośliwe oprogramowanie dla systemów Windows i Android, a większość ofiar znajduje się w Pakistanie, Bangladeszu, Sri Lance, Nepalu i Chinach. Jej kampanie koncentrują się na szpiegostwie, wykorzystując charakterystyczną platformę złośliwego oprogramowania, której głównym celem jest gromadzenie i wyciek danych.
DIPLOMACJA TYLNYCH DRZWI
Nazwa nadana przez firmę ESET podgrupie APT15, która atakuje przede wszystkim organizacje rządowe i przedsiębiorstwa telekomunikacyjne w Afryce i na Bliskim Wschodzie. Grupa działa co najmniej od 2017 roku. W 2022 roku firma Bitdefender udokumentowała działania tej grupy wymierzone w branżę telekomunikacyjną na Bliskim Wschodzie. W 2023 r. Unit 42 udostępnił swoją analizę dotyczącą ataków grupy na sieci rządowe w Iranie. W 2021 r. firma ESET wykazała powiązania między tą grupą a grupą śledzoną przez firmę Kaspersky pod nazwą CloudComputating, działającą co najmniej od 2012 r. Firma ESET zaobserwowała również liczne powiązania z innymi podgrupami APT15, takimi jak Mirage, Ke3chang i DigitalRecyclers.
BLACKWOOD
Grupa APT powiązana z Chinami, prowadząca operacje szpiegostwa cybernetycznego wymierzone w chińskie i japońskie osoby oraz przedsiębiorstwa. Działa co najmniej od 2018 roku. W 2020 roku badacze z firmy ESET odkryli tę grupę po wykryciu podejrzanych plików w systemie w Chinach. Operatorzy grupy są w stanie przeprowadzać ataki typu „man-in-the-middle”, co pozwala im dostarczać swoje implanty poprzez aktualizacje legalnego oprogramowania oraz ukrywać lokalizację swoich serwerów C&C (dowództwa i kontroli) poprzez przechwytywanie ruchu generowanego przez implant.
BRONZE SILHOUETTE
Znana również jako Volt Typhoon lub Vanguard Panda. Grupa zajmująca się szpiegostwem cybernetycznym powiązana z Chinami, działająca co najmniej od 2022 roku. Atakuje głównie przemysł obronny i kluczowe organizacje w Stanach Zjednoczonych. Po raz pierwszy ujawniono ją w 2023 roku, po tym jak wykryto jej atak na infrastrukturę krytyczną na Guamie – amerykańskiej wyspie na zachodnim Pacyfiku, na której znajduje się kilka baz wojskowych USA.
CERANA KEEPER
Grupa zajmująca się cyber-szpiegostwem powiązana z Chinami, działająca co najmniej od początku 2022 roku. Atakuje głównie podmioty rządowe w Azji Południowo-Wschodniej. Grupa znana jest z udokumentowanych komponentów, takich jak TONEINS, TONESHELL i PUBLOAD, wykorzystywania publicznie dostępnych narzędzi oraz technik eksfiltracji danych z wykorzystaniem usług w chmurze i serwisów do udostępniania plików. Niektóre z jej działań przypisywano grupie Mustang Panda (znanej również jako Earth Preta lub Stately Taurus). Jednak firma ESET przypisuje te działania odrębnej grupie.
CLOUDSORCERER
Podmiot stanowiący zagrożenie, o którym po raz pierwszy poinformowano publicznie w 2024 r.; dane telemetryczne firmy ESET zawierają jednak ślady działalności tej grupy sięgające początku 2022 r. Grupa prowadzi operacje cyber-szpiegowskie przeciwko organizacjom rządowym i sektorowi technologicznemu w Rosji oraz think tankom w Stanach Zjednoczonych. Jej działania charakteryzują się wiadomościami e-mail typu spearphishing z załączonym archiwum. Grupa wykorzystuje technikę side-loadingu typu trident do dostarczania głównego backdoora, a następnie nadużywa usług chmurowych, takich jak Yandex, OneDrive czy Dropbox, w celu odbierania poleceń.
DIGITAL RECYCLERS
Grupa hakerska wykryta przez firmę ESET. Działa co najmniej od 2018 roku. Grupa ta regularnie prowadzi operacje szpiegowskie wymierzone w organizacje rządowe w Europie. Istnieje niewielkie prawdopodobieństwo, że grupa ta jest powiązana z Ke3chang i BackdoorDiplomacy.
EVASIVE PANDA
Znana również jako BRONZE HIGHLAND, Daggerfly i StormBamboo. Grupa APT powiązana z Chinami, działająca co najmniej od 2012 roku. Jej celem jest cyberszpiegostwo wymierzone w kraje i organizacje sprzeciwiające się interesom Chin poprzez ruchy niepodległościowe, takie jak te w diasporze tybetańskiej, instytucje religijne i akademickie na Tajwanie i w Hongkongu oraz zwolenników demokracji w Chinach. Firma ESET od czasu do czasu obserwowała, jak działania tej grupy rozciągają się na takie kraje jak Wietnam, Birma i Korea Południowa. Grupa zgromadziła imponującą listę metod ataku, takich jak ataki na łańcuch dostaw i typu „watering hole” oraz przejmowanie kontroli nad DNS. Wykazuje również duże umiejętności w zakresie tworzenia złośliwego oprogramowania, co widać po jej obszernej kolekcji wieloplatformowych backdoorów dla systemów Windows, macOS i Android.
FAMOUSSPARROW
Grupa zajmująca się cyber-szpiegostwem powiązana z Chinami. Uważa się, że działa co najmniej od 2019 roku. Grupa ta początkowo znana była z ataków na hotele na całym świecie, ale atakowała również rządy, organizacje międzynarodowe, grupy handlowe, firmy inżynieryjne i kancelarie prawne. Jest to jedyny znany użytkownik backdoora SparrowDoor. Grupa ta jest powiązana z grupą Earth Estries, ale dokładny charakter tego powiązania nie jest w pełni znany. Została również publicznie powiązana z grupą Salt Typhoon, ale ze względu na brak jakichkolwiek wskaźników technicznych firma ESET traktuje je jako odrębne podmioty.
FISHMONGER
Znana również jako Earth Lusca, TAG-22, Aquatic Panda lub Red Dev 10. Grupa zajmująca się cyber-szpiegostwem, która prawdopodobnie działa pod kierownictwem chińskiego wykonawcy I-SOON i należy do grupy Winnti. Firma ESET opublikowała analizę tej grupy na początku 2020 roku, kiedy to intensywnie atakowała ona uniwersytety w Hongkongu w trakcie tamtejszych protestów społecznych. Opisaliśmy globalną kampanię wymierzoną w rządy, organizacje pozarządowe i ośrodki analityczne w Azji, Europie i Stanach Zjednoczonych. Grupa ta znana jest również z przeprowadzania ataków typu „watering hole”.
FLAX TYPHOON
Znana również jako ETHEREAL PANDA. Grupa APT powiązana z Chinami, działająca co najmniej od 2021 roku. Atakuje głównie organizacje z Tajwanu. Grupa korzysta z webshellu China Chopper, narzędzia do podwyższania uprawnień Juicy Potato i jego licznych odmian, a także z Mimikatz. W celu uniknięcia wykrycia szeroko wykorzystuje pliki binarne typu „living-off-the-land” (LOLBins).
FONTGOBIN
Grupa APT powiązana z Chinami. Badacze z firmy ESET nadali jej tę nazwę ze względu na długotrwałe wykorzystywanie przez tę grupę (co najmniej od 2022 r.) fałszywych plików czcionek w katalogu C:\Windows\Fonts jako ukrytych ładunków dla określonego zestawu programów ładujących. Ataki tej grupy są skierowane głównie przeciwko podmiotom rządowym w Kirgistanie, Uzbekistanie, Kazachstanie i Pakistanie.
FONTFUNKYGORILLAS
Grupa APT powiązana z Chinami, atakująca różne sektory w Europie Wschodniej i Azji Środkowej. Grupa ta wykorzystuje backdoora Zmm oraz narzędzie RAT o nazwie Trochilus. Backdoor Zmm jest tworzony przez grupę StartupNation, która opracowuje również narzędzie RAT o nazwie Mikroceen, używane przez grupę APT SixLittleMonkeys.
GALLIUM
Znana również pod nazwami Soft Cell, Alloy Taurus, Red Moros lub Othorene. Grupa APT powiązana z Chinami, atakująca dostawców usług telekomunikacyjnych i organizacje rządowe na całym świecie. Znana również z ataków na sektor akademicki. Jej zestaw narzędzi obejmuje niestandardowe backdoor w języku C++, webshell dla serwera IIS oparty na China Chopper, różne programy do kradzieży danych uwierzytelniających oparte na Mimikatz oraz różne gotowe narzędzia.
GELSEMIUM
Grupa zajmująca się szpiegostwem cybernetycznym powiązana z Chinami. Działa co najmniej od 2014 roku. W tym samym roku firma G DATA opublikowała raport dotyczący operacji TooHash – kampanii, której ofiary, sądząc po wykorzystanych w niej dokumentach, znajdowały się najprawdopodobniej w Azji Wschodniej. Operatorzy wykorzystywali spearphishing z załącznikami wykorzystującymi wówczas znaną lukę w zabezpieczeniach pakietu Microsoft Office, a także trzy komponenty, z których dwa były podpisane skradzionym certyfikatem. W 2016 roku firma Verint Systems przedstawiła na konferencji HITCON prezentację, w której omówiła nową aktywność operacji TooHash wspomnianej dwa lata wcześniej, wciąż wykorzystującej ten sam exploit przeciwko pakietowi Microsoft Office.
GOPHERWHISPER
Działa co najmniej od 2023 roku. Grupa zajmująca się szpiegostwem cybernetycznym powiązana z Chinami, która koncentruje się na tworzeniu backdoorów i wykorzystuje legalne serwisy, takie jak Discord, Slack i file.io, do komunikacji z serwerami dowodzenia i kontroli (C&C) oraz do wycieku danych. Z danych telemetrycznych firmy ESET wynika, że od 2025 roku grupa ta atakuje instytucje rządowe w Mongolii.
GREF
Grupa zajmująca się cyber-szpiegostwem powiązana z Chinami, działająca co najmniej od 2009 roku. Nazwa grupy pochodzi od licznych odniesień do Google w jej kodzie; wyróżnia się ona stosowaniem ataków typu „drive-by”. W arsenale grupy znajduje się złośliwe oprogramowanie przeznaczone dla użytkowników systemów Windows, OS X i Android. Po raz pierwszy odnotowano jej działalność w 2014 roku, kiedy to wykorzystała ona backdoora w systemie OS X do ataków na firmy z branży elektronicznej i inżynieryjnej na całym świecie, a także na organizacje pozarządowe działające w Azji. W 2020 roku firma Lookout odkryła cztery backdoory dla systemu Android wykorzystywane do ataków na Ujgurów, Tybetańczyków i społeczności muzułmańskie na całym świecie, które przypisano tej grupie na podstawie zbieżności infrastruktury sieciowej. Chociaż kilka źródeł twierdzi, że grupa ta jest powiązana z APT15, badacze z firmy ESET nie dysponują wystarczającymi dowodami na poparcie tego powiązania i w związku z tym nadal śledzą ją jako odrębną grupę.
KE3CHANG
Ke3chang (wymawiane jako ke-tri-chang) to nazwa nadana przez firmę ESET podgrupie APT15, która atakuje przede wszystkim organizacje rządowe i placówki dyplomatyczne w Europie i Ameryce Łacińskiej. Nazwa ta wywodzi się z raportu firmy Mandiant z 2013 roku dotyczącego operacji Ke3chang i stosujemy ją w odniesieniu do późniejszych działań APT15 zgłaszanych przez różne organizacje w latach 2016–2021. Działania grupy charakteryzują się wdrażaniem wyłącznie prostych backdoorów pierwszego etapu o ograniczonych możliwościach, a następnie poleganiem na operatorach ludzkich, którzy ręcznie wykonują dalsze polecenia, wykorzystując wbudowane i publicznie dostępne narzędzia do rozpoznania.
KMA-VPN
Znana również jako SuperJumper. Sieć operacyjnych serwerów przekaźnikowych (ORB) działająca na wirtualnych serwerach prywatnych (VPS) na całym świecie. Działa co najmniej od 2023 roku. Liczne podmioty stanowiące zagrożenie powiązane z Chinami, w tym DigitalRecyclers i BackdoorDiplomacy, wykorzystują tę tajną sieć do anonimizacji swojego ruchu sieciowego i ukrywania prawdziwego źródła pochodzenia.
LONGNOSEDGOBLIN
Grupa APT powiązana z Chinami, odkryta przez firmę ESET w 2024 roku. Atakuje ona instytucje rządowe w Malezji w celu prowadzenia cyber-szpiegostwa. Grupa ta wykorzystuje unikalne, niestandardowe złośliwe oprogramowanie do gromadzenia historii przeglądarek ofiar oraz do wyboru miejsc, w których instaluje backdoora wykorzystującego usługę chmury Microsoft OneDrive. Ponadto wykorzystuje ona zasady grupy (Group Policy) usługi Active Directory do wdrażania swojego złośliwego oprogramowania i przeprowadzania ataków typu lateral movement. Istnieje niewielkie pokrywanie się z grupą APT ToddyCat, oparte na ścieżkach plików i wykorzystaniu SoftEther VPN. Jednak ogólny zestaw narzędzi jest inny.
LOTUS BLOSSOM
Znana również pod nazwami Lotus Panda i Billbug. Powiązana z Chinami grupa APT atakująca organizacje rządowe i morskie w Azji Południowo-Wschodniej. Po raz pierwszy wykryta w 2015 roku. Wykorzystuje backdoora Elsentric oraz różne dodatkowe narzędzia, takie jak Impacket i serwer proxy Venom.
LUCKYMOUSE
Znana również jako APT27 lub Emissary Panda. Grupa zajmująca się cyber-szpiegostwem, atakująca głównie instytucje rządowe, firmy telekomunikacyjne i organizacje międzynarodowe. Działa w Azji Środkowej, na Bliskim Wschodzie, w Mongolii, Hongkongu i Ameryce Północnej. Jedną z charakterystycznych technik tej grupy jest wykorzystywanie bocznego ładowania bibliotek DLL do instalowania swoich programów typu backdoor.
MIRRORFACE
Znany również jako Earth Kasha. Działa co najmniej od 2019 roku. Podmiot stanowiący zagrożenie powiązany z Chinami, który atakuje przede wszystkim firmy i organizacje w Japonii, a także podmioty w innych krajach mające powiązania z Japonią. ESET uważa tę grupę za podgrupę należącą do APT10. Według doniesień grupa ta atakuje media, firmy z branży obronnej, ośrodki analityczne, organizacje dyplomatyczne, instytucje finansowe, instytucje akademickie oraz producentów. Skupia się na szpiegostwie i wykradaniu interesujących plików.
MUSTANG PANDA
Znana również pod nazwami TA416, RedDelta, PKPLUG, Earth Preta lub Stately Taurus. Grupa zajmująca się cyber-szpiegostwem, prawdopodobnie działająca z terytorium Chin. Atakuje głównie instytucje rządowe i organizacje pozarządowe. Chociaż znana jest z kampanii z 2020 roku wymierzonej w Watykan, jej ofiary pochodzą głównie z Azji Wschodniej i Południowo-Wschodniej, ze szczególnym uwzględnieniem Mongolii. W swoich kampaniach grupa często wykorzystuje niestandardowe moduły ładujące do rozpowszechniania złośliwego oprogramowania.
PERPLEXED GOBLIN
Znana również pod nazwami TA416, RedDelta, PKPLUG, Earth Preta lub Stately Taurus. Grupa zajmująca się cyber-szpiegostwem, prawdopodobnie działająca z terytorium Chin. Atakuje głównie instytucje rządowe i organizacje pozarządowe. Chociaż znana jest z kampanii z 2020 roku wymierzonej w Watykan, jej ofiary pochodzą głównie z Azji Wschodniej i Południowo-Wschodniej, ze szczególnym uwzględnieniem Mongolii. W swoich kampaniach grupa często wykorzystuje niestandardowe moduły ładujące do rozpowszechniania złośliwego oprogramowania.
PLUSHDAEMON
Podmiot stanowiący zagrożenie powiązany z Chinami, działający co najmniej od 2018 roku. Grupa prowadzi operacje szpiegowskie przeciwko osobom i podmiotom w Chinach, na Tajwanie, w Hongkongu, Korei Południowej, Stanach Zjednoczonych i Nowej Zelandii. Wykorzystuje niestandardowe backdoory, a jej główną techniką uzyskiwania wstępnego dostępu jest przejmowanie legalnych aktualizacji poprzez przekierowywanie ruchu do serwerów kontrolowanych przez atakujących za pomocą implantów sieciowych. Ponadto grupa uzyskuje dostęp poprzez luki w zabezpieczeniach serwerów internetowych, a w 2023 r. przeprowadziła atak na łańcuch dostaw.
RED FOXTROT
Grupa APT działająca co najmniej od 2014 roku. Jej celem są sektory rządowy, obronny i telekomunikacyjny w Azji Środkowej, Indiach i Pakistanie. Uważa się, że grupa ta jest częścią Jednostki 69010 Chińskiej Armii Ludowo-Wyzwoleńczej (PLA). Jest to jedna z grup posiadających dostęp do backdoora ShadowPad.
SINISTEREYE
Grupa APT powiązana z Chinami, działająca co najmniej od 2008 roku. Prowadzi operacje cyber-szpiegowskie i inwigilacyjne w Chinach, wymierzone w osoby fizyczne – zarówno chińskie, jak i zagraniczne – przedsiębiorstwa, instytucje edukacyjne oraz podmioty rządowe. Działalność grupy stanowi część operacji przypisywanych grupie APT LuoYu (znanej również jako CASCADE PANDA). Wykorzystuje ona atak typu „man-in-the-middle”, uzyskując dostęp do chińskiej sieci szkieletowej, aby przejmować aktualizacje oprogramowania i dostarczać swoje implanty dla systemów Windows i Android.
SNEAKY DRAGON
Grupa APT atakująca podmioty w Azji Wschodniej i Południowo-Wschodniej. Działa co najmniej od 2020 roku. Firma ESET uważa, że ma ona siedzibę w Chinach. Charakterystycznym narzędziem tej grupy jest modułowe złośliwe oprogramowanie zaprojektowane przede wszystkim w celu zapewnienia ukrytego zdalnego dostępu.
SPARKLING GOBLIN
Grupa APT, której taktyki, techniki i procedury (TTP) częściowo pokrywają się z działaniami grupy APT41 (znanej również jako BARIUM). Chociaż grupa ta działa głównie w Azji Wschodniej i Południowo-Wschodniej, atakuje również organizacje z wielu różnych sektorów na całym świecie, ze szczególnym uwzględnieniem środowisk akademickich. Jest to również jedna z grup posiadających dostęp do backdoora ShadowPad.
SPECCOM
Znana również jako IndigoZebra lub SMAC. Działa co najmniej od 2013 roku. Według doniesień ta powiązana z Chinami grupa APT odpowiada za ataki na podmioty polityczne w niektórych krajach Azji Środkowej, a konkretnie w Afganistanie, Uzbekistanie i Kirgistanie. Badacze z firmy ESET odnotowali również jej ataki w Gwinei Równikowej, Rosji, Tadżykistanie i Izraelu.
STARTUP NATION
Znana również jako IndigoZebra lub SMAC. Działa co najmniej od 2013 roku. Według doniesień ta powiązana z Chinami grupa APT odpowiada za ataki na podmioty polityczne w niektórych krajach Azji Środkowej, a konkretnie w Afganistanie, Uzbekistanie i Kirgistanie. Badacze z firmy ESET odnotowali również jej ataki w Gwinei Równikowej, Rosji, Tadżykistanie i Izraelu.
STEPPE DRIVER
Grupa szpiegowska powiązana z Chinami, działająca z terytorium Autonomicznego Regionu Mongolii Wewnętrznej Chińskiej Republiki Ludowej. Firma ESET wykryła tę grupę w 2024 roku, gdy zaatakowała ona salon samochodowy we Francji. Grupa ta atakowała również instytucje rządowe w Mongolii oraz kancelarię prawną w Ameryce Południowej. Wykorzystuje ona szeroki wachlarz narzędzi, z których większość jest wspólna dla grup powiązanych z Chinami. Grupa ta jest również klientem StartupNation.
TA428
Znana również jako ThunderCats. Grupa APT działająca co najmniej od 2014 roku. Atakuje instytucje rządowe w Azji Wschodniej, skupiając się w szczególności na Mongolii i Rosji. Firma ESET uważa, że grupa ta działa z Pekinu w Chińskiej Republice Ludowej. Grupa wykorzystuje własne backdoory oraz narzędzia udostępniane w ramach społeczności. Jest to jedna z grup posiadających dostęp do backdoora ShadowPad.
THE WIZARDS
Grupa APT powiązana z Chinami, działająca co najmniej od 2021 roku. Prowadzi operacje szpiegostwa cybernetycznego wymierzone w osoby prywatne, firmy hazardowe oraz nieznane podmioty na Filipinach, w Zjednoczonych Emiratach Arabskich i w Chinach. Badacze z firmy ESET odkryli tego aktora zagrożeń, gdy złośliwa aktualizacja została pobrana przez popularną chińską aplikację znaną jako Sogou Pinyin. Grupa posiada możliwości przeprowadzania ataków typu „man-in-the-middle”, co pozwala jej przekierowywać ruch sieciowy i dostarczać własne złośliwe oprogramowanie za pośrednictwem aktualizacji.
TICK
Znana również pod nazwami BRONZE BUTLER lub REDBALDKNIGHT. Grupa APT, co do której istnieje podejrzenie, że działa co najmniej od 2006 roku. Atakuje głównie kraje regionu Azji i Pacyfiku. Grupa ta budzi zainteresowanie ze względu na prowadzone przez nią operacje cyberszpiegowskie, które koncentrują się na kradzieży informacji niejawnych i własności intelektualnej.
TRAPPED GOBLIN
Grupa powiązana z Chinami, wykorzystująca specjalnie opracowane, modułowe złośliwe oprogramowanie, które firma ESET nazwała GrapHop.
UNSOLICITED BOOKER
Podmiot stanowiący zagrożenie powiązany z Chinami, działający co najmniej od 2023 roku. Grupa ta prowadzi operacje szpiegostwa cybernetycznego na Bliskim Wschodzie. Jej działalność pokrywa się z działalnością grupy Space Pirates oraz podmiotu wykorzystującego backdoora Zardoor. Grupa ta ma dostęp do różnych implantów i jest również klientem StartupNation.
WEBSIIC
Znana również jako ToddyCat. Odkryta przez badaczy firmy ESET w 2021 roku podczas analizy ataków na serwery Microsoft Exchange, wykorzystujących lukę w zabezpieczeniach o nazwie ProxyLogon. Na tej podstawie można stwierdzić, że najprawdopodobniej jest to grupa APT powiązana z Chinami. Według firmy Kaspersky grupa ta działa co najmniej od 2020 roku. Jej poprzednie cele obejmowały organizacje w Nepalu, Wietnamie, Japonii, Bangladeszu i na Ukrainie. Ataki tej grupy zazwyczaj łączą wykorzystanie unikalnego, autorskiego złośliwego oprogramowania oraz ogólnodostępnych narzędzi hakerskich.
WEBWORM
Grupa zajmująca się szpiegostwem cybernetycznym, o której po raz pierwszy poinformowała firma Symantec w 2022 roku. Jest powiązana z innymi grupami APT powiązanymi z Chinami, takimi jak SixMonkeys i FishMonger. Grupa ta wykorzystuje znane rodziny złośliwego oprogramowania. Jest również klientem firmy StartupNation.
GRUPA WINNTI
Działa co najmniej od 2012 roku. Wiadomo, że ma swoją siedzibę w chińskim mieście Chengdu w prowincji Syczuan. Odpowiada za głośne ataki na łańcuch dostaw w branży gier wideo i oprogramowania, które doprowadziły do rozpowszechnienia wielu trojanów wykorzystywanych następnie do ataków na kolejne ofiary. Grupa znana jest również z ataków na różne podmioty w różnych sektorach, takich jak opieka zdrowotna i edukacja.
WOROK
Grupa zajmująca się cyberszpiegostwem powiązana z Chinami, działająca co najmniej od 2020 roku. Firma ESET uważa, że grupa ta działa z Pekinu. Grupa skupia się głównie na celach w Mongolii, ale atakowała również podmioty w Kirgistanie, Wietnamie, Turcji, Indonezji i Namibii. Jej celem są organizacje rządowe i inne podmioty sektora publicznego, a także prywatne przedsiębiorstwa. Grupa korzysta z własnych narzędzi oraz narzędzi dostępnych publicznie. Posiada dodatkowe narzędzia i cechy wspólne z innymi grupami powiązanymi z Chinami, w szczególności z grupą TA428. Co istotne, ma dostęp do backdoora ShadowPad i jest klientem grupy dostawców oprogramowania StartupNation.
STURGEONPHISHER
Znana również jako YoroTrooper. Grupa zajmująca się cyber-szpiegostwem, działająca co najmniej od 2021 roku. Grupa koncentruje się na spearphishingu i kradzieży danych logowania do poczty internetowej. Jej celem są urzędnicy państwowi, ośrodki analityczne oraz pracownicy przedsiębiorstw państwowych w krajach położonych nad Morzem Kaspijskim, przy czym najczęściej atakowanym krajem jest Federacja Rosyjska. Biorąc pod uwagę wąski zakres celów, grupa prawdopodobnie działa z terytorium jednego z krajów Azji Środkowej. Na podstawie charakterystyki ofiar oraz innych wskaźników technicznych firma ESET ocenia z niskim stopniem pewności, że grupa ta działa w interesie Kazachstanu.
Bądź na bieżąco. Wyprzedzaj innych
RAPORT ESET DOTYCZĄCY ZAGROŻEŃ W DRUGIM PÓŁROCZU 2025 R.
Dogłębna analiza globalnych trendów w zakresie zagrożeń, regionalnej aktywności APT oraz rozwoju złośliwego oprogramowania obserwowanych za pomocą telemetrii ESET.
Podsumowanie aktywności APT
Najnowsze informacje na temat aktywnych kampanii APT na całym świecie.
WeLiveSecurity: Najważniejsze wiadomości i badania
Analizy i komentarze ekspertów z ESET dotyczące najnowszych cyberzagrożeń, odkryć i trendów w zakresie bezpieczeństwa.
Podcast ESET Research: Analiza globalnego krajobrazu zagrożeń
Dołącz do naszych analityków, którzy omawiają atrybucję, narzędzia i zmiany w globalnej aktywności.
Poznaj rozwiązanie
Zapoznaj się z dogłębną analizą rozwiązania wraz ze szczegółowymi opisami i najważniejszymi funkcjami.
SKONTAKTUJ SIĘ Z NAMI
Chcesz dowiedzieć się więcej? Podaj nam swoje dane kontaktowe, a my skontaktujemy się z Tobą, aby przekazać Ci więcej informacji.
Możemy przeprowadzić Cię przez prezentację, omówić koncepcję i odpowiedzieć na wszelkie pytania.