Antecipe e supere as ameaças globais com o ESET Threat Intelligence,
baseado em dados cuidadosamente selecionados, investigação aprofundada
sobre APT e conhecimentos práticos de especialistas.
Visibilidade sobre ameaças globais e emergentes
A telemetria exclusiva da ESET proveniente de regiões sub-representadas permite uma deteção mais precoce de APTs e malware.
Limitações de recursos ou lacunas de competências nas equipas de CTI
A informação verificada por humanos e o acesso opcional a analistas reduzem a carga de trabalho e aceleram a compreensão.
Rastreio de agentes de APT e campanhas em evolução
Os relatórios sobre APT e os feeds de IoC da ESET proporcionam uma perceção contínua da situação
Tempo de resposta a ameaças ou fluxos de ameaças excessivos
O AI Advisor, o acesso ao MISP, os feeds selecionados e o contexto detalhado sobre APT permitem tomar decisões mais rápidas e fundamentadas.
Integração e automatização de CTI
Os formatos padrão de feeds (STIX 2.1, JSON) permitem uma fácil integração e automatização com SIEM/SOAR.
Prevenção proativa, não apenas deteção
Os intelligence feeds alimentam os controlos preventivos e a deteção antes que as ameaças se concretizem.
700
mil
amostras suspeitas recebidas
todos os dias
2,5
mil milhões
URLs analisadas diariamente
500
mil
URLs únicas
bloqueadas diariamente
60
milhões
de registos de metadados
processados todos os dias
VISIBILIDADE GLOBAL E ÚNICA
Com milhões de sensores e uma ampla visibilidade em áreas de difícil acesso, a ESET oferece uma visão clara das ciberameaças globais e emergentes.
FEEDS SELECIONADOS E PRONTOS A INTEGRAR
Feeds limpos, deduplicados e com pontuação de confiança nos formatos STIX/JSON integram-se perfeitamente com ferramentas SIEM, SOAR e TIP, reduzindo os falsos positivos e a carga de trabalho.
BASEADA EM IA E VERIFICADA POR ESPECIALISTAS
A ESET combina análises avançadas de IA com investigação humana de excelência para fornecer informações precisas, contextuais e úteis sobre ameaças – e não apenas dados.
INFORMAÇÕES PROFUNDAS E ACESSO A ANALISTAS
Relatórios exclusivos sobre cibercriminalidade e APT, feeds de IoC em tempo real, análises do AI Advisor e sessões diretas com analistas permitem uma defesa proativa e uma tomada de decisões estratégica.
Relatórios APT
Com milhões de sensores e uma ampla visibilidade em áreas de difícil acesso, a ESET oferece uma visão clara das ciberameaças globais e emergentes.
Relatórios eCrime
Informações claras e úteis sobre operações de cibercriminalidade com motivação financeira e ecossistemas de malware.
Feeds
Fluxos de dados selecionados e em tempo real, concebidos para automação e integração.
O ESET Threat Intelligence ajuda governos, infraestruturas críticas e empresas globais
a ter uma visão mais abrangente, a detetar ameaças mais rapidamente e a manter a resiliência.
A ESET é membro da CISA, colaborando com especialistas globais em cibersegurança para apoiar planos coordenados de ciberdefesa e a partilha de informações sobre ciberameaças em tempo real.
A ESET está entre os colaboradores mais ativos do MITRE ATT&CK e é uma das fontes mais frequentemente citadas.
A ESET possui a certificação do selo "Cibersegurança Made in Europe" da ECSO, o que garante uma proteção fiável e soberana às organizações que operam em ambientes regulamentados.
A ESET colabora com a ENISA através de eventos conjuntos sobre cibersegurança e da participação de especialistas, incluindo análises conjuntas sobre ameaças à cadeia de abastecimento e informações sobre o panorama das ameaças na Europa.
"A capacidade da ESET de aceder a um conjunto único de dados é o que a torna atraente no mundo da CTI."
Cliente do setor da defesa
A investigação e a telemetria da ESET revelam as infraestruturas,
as táticas e as campanhas por trás da atividade global de APT – desde a espionagem
patrocinada por Estados até operações específicas de cada região.
Conheça os
Agentes Maliciosos
SEM FILIAÇÃO
ALINHADOS COM A RÚSSIA
ALINHADOS COM O PAQUISTÃO
OUTROS GRUPOS DO MÉDIO ORIENTE
OUTROS GRUPOS DA EUROPA ORIENTAL
OUTROS GRUPOS DO ORIENTE ASIÁTICO
ALINHADOS COM A COREIA DO NORTE
ALINHADOS COM O IRÃO
ALINHADOS COM A ÍNDIA
ALINHADOS COM A CHINA
ALINHADOS COM A ÁSIA CENTRAL
Ativo, pelo menos, desde 2019. O conjunto de ferramentas conhecido do grupo é utilizado para espionagem. Tem como alvo entidades governamentais e diplomáticas na Europa, no Médio Oriente e no Sul da Ásia. O grupo é pouco conhecido e só foi descrito publicamente pela Kaspersky em 2023.
Um agente de ameaças alinhado com a Rússia, descoberto por investigadores da ESET. Ativo pelo menos, desde 2008. Conhecido pela sua plataforma de ciberespionagem com o mesmo nome. A plataforma destaca-se pela sua arquitetura complexa de plugins e comunicação de rede elaborada, utilizando o Tor. O grupo comprometeu utilizadores na Lituânia, Rússia, Eslováquia, Turquia, Emirados Árabes Unidos, Vietname e Ucrânia. Tem como alvo específico dois tipos de utilizadores: utilizadores de língua russa preocupados com a privacidade e organizações de alto perfil na Europa, incluindo missões diplomáticas e instituições governamentais.
Bem conhecido por visar instituições financeiras e empresas na Rússia. Desde o final de 2015, passou de um grupo puramente criminoso, que cometia cibercrimes para obter ganhos financeiros, para um agente que realiza ciberespionagem na Europa Oriental e na Ásia Central. Acredita-se que o grupo esteja alinhado com a Rússia, pois realizou a implementação de um exploit de zero-day.
Também conhecido como COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto ou BlueCharlie. Grupo de ciberespionagem, ativo pelo menos desde 2015. Conhecido por ter como alvo funcionários governamentais europeus e norte-americanos, "think tanks" e pessoal militar. Concentra-se em spearphishing e roubo de credenciais de webmail. No início de 2022, o grupo tentou roubar credenciais de webmail de funcionários do governo ucraniano e de pessoas que trabalham em empresas estatais ucranianas. As credenciais foram provavelmente utilizadas pelos atacantes para ler mensagens de email confidenciais ou roubar documentos de serviços de armazenamento na cloud. Estas ações fizeram provavelmente parte de uma operação de ciberespionagem relacionada com a atual guerra entre a Rússia e a Ucrânia. Em 2023, o governo do Reino Unido sancionou dois membros do Callisto e associou o grupo ao 18.º Centro de Segurança da Informação do FSB.
Ativo, pelo menos, desde 2013. Responsável por muitos ataques, principalmente contra instituições governamentais ucranianas, conforme evidenciado em vários relatórios do CERT-UA e de outros órgãos oficiais ucranianos.
Grupo de ciberespionagem alinhado com a Rússia, em atividade desde pelo menos 2022. Especializa-se em campanhas de spearphishing para roubo de credenciais e no roubo de mensagens de email através de vulnerabilidades XSS no Roundcube. Os alvos habituais incluem organizações governamentais e relacionadas com a defesa na Grécia, Polónia, Sérvia e Ucrânia.
Grupo de ameaças alinhado com a Rússia, ativo desde pelo menos 2013. Conhecido por ataques de ciberespionagem altamente direcionados contra instituições governamentais, entidades militares e missões diplomáticas. Foca-se principalmente em alvos na Ucrânia, com aumento da atividade desde 2021. Também tem visado entidades na Arménia, Bielorrússia, Grécia e Rússia. A ESET acredita que o grupo colabora com o grupo Gamaredon, ligado ao FSB.
Campanha de desinformação/PSYOPS dirigida a ucranianos e dissidentes na Rússia. Além disso, a ESET detetou campanhas de spearphishing dirigidas a uma empresa de defesa ucraniana e a uma agência da UE em 2023, com o objetivo de roubar credenciais de contas do Microsoft Office 365. A Operação Texonto não está atualmente atribuída a um agente de ameaças específico. No entanto, tendo em conta as TTPs, os alvos e a disseminação das mensagens, existe uma elevada probabilidade de que a campanha tenha sido conduzida por um grupo alinhado com os interesses da Rússia.
Também conhecido como Storm-0978, Tropical Scorpius ou UNC2596. Um grupo alinhado com a Rússia que conduz tanto operações oportunistas de cibercrime contra setores empresariais específicos quanto operações de espionagem direcionadas, recolhendo informações. Associado à implementação do chamado ransomware “Cuba” desde, pelo menos, 2022. Mais recentemente, tem-se dedicado a atacar o governo e o setor de defesa ucranianos, aliados da NATO e várias organizações governamentais na Europa.
Também conhecido como UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 ou TA471. Grupo de ciberespionagem que tem como alvo a Ucrânia e a Geórgia. Ativo pelo menos desde 2021. Acredita-se que esteja alinhado com a Rússia. Particularmente interessado em alvos de alto perfil, principalmente no setor governamental ucraniano. Implanta programas de roubo de informações e backdoors em máquinas comprometidas. Observado na implementação do Cobalt Strike em 2022. Avaliado com elevada confiança como responsável pelo ataque WhisperGate em 2022.
Grupo de ameaças alinhado com a Rússia que realiza vários ataques destrutivos. É comumente atribuído à Unidade 74455 da Direção Principal de Inteligência Russa (GRU). Mais conhecido pelos ataques contra o setor energético ucraniano em 2015 e 2016, que resultaram em cortes de energia. A ESET rastreia as atividades do grupo através de vários subgrupos: o subgrupo TeleBots, principalmente interessado em atacar entidades financeiras na Ucrânia; GreyEnergy, conhecido pelo uso intensivo do seu malware homónimo contra alvos de infraestruturas críticas, foi detectado em empresas de energia na Polónia, Ucrânia e Geórgia. Em 2018, o grupo lançou o ataque de apagamento de dados Olympic Destroyer contra os organizadores dos Jogos Olímpicos de Inverno em PyeongChang. Utiliza malware avançado como o Industroyer, capaz de comunicar com equipamentos de empresas de energia através de protocolos de controlo industrial. Em 2020, o Departamento de Justiça dos EUA publicou uma acusação contra seis hackers informáticos russos, alegando que estes prepararam e conduziram vários ataques pelo grupo.
Também conhecido como APT28, Fancy Bear, Forest Blizzard ou Sofacy. Em atividade desde, pelo menos, 2004. O Departamento de Justiça dos EUA identificou o grupo como um dos responsáveis pelo ataque informático ao Comité Nacional Democrata (DNC) pouco antes das eleições de 2016 nos EUA e associou o grupo ao GRU. Presume-se também que esteja por trás do ataque informático à rede televisiva global TV5Monde, da fuga de e-mails da Agência Mundial Antidopagem (WADA) email leak, e muitos outros incidentes. O grupo possui um conjunto diversificado de ferramentas de malware no seu arsenal, mas atualmente realiza principalmente campanhas de phishing direcionadas. No entanto, ainda foi observado a realizar a implementação de implantes avançados personalizados.
Também conhecido como APT29, Cozy Bear ou Nobelium. Um infame grupo de ciberespionagem, ativo desde pelo menos 2008. De acordo com o NCSC-UK, associado ao SVR (Serviço de Inteligência Externa da Federação Russa). Conhecido como um dos grupos que invadiu o Comité Nacional Democrata dos EUA na corrida para as eleições de 2016. Em 2019, a ESET expôs a sua operação de espionagem em grande escala que tinha como alvo vários ministérios dos Negócios Estrangeiros europeus. Conhecido pelo ataque à cadeia de abastecimento de 2020, que se aproveitou da SolarWinds, levando ao comprometimento de grandes organizações, incluindo muitas partes do governo dos EUA. Responsável por várias campanhas de spearphishing em 2021, dirigidas a diplomatas na Europa.
Também conhecido como Snake. Um grupo de ciberespionagem ativo desde pelo menos 2004, possivelmente remontando ao final da década de 1990. Acredita-se que faça parte do FSB. Concentra-se principalmente em alvos de alto perfil, tais como governos e entidades diplomáticas, na Europa, Ásia Central e Médio Oriente. O grupo é conhecido por ter violado organizações importantes, como o Departamento de Defesa dos EUA em 2008 e a empresa suíça de defesa RUAG em 2014.
Grupo de ciberespionagem que tem como alvo organizações governamentais, instituições financeiras e meios de comunicação na Ucrânia. Ativo desde, pelo menos, 2022. Com base nos seus alvos, acredita-se, com confiança média, que o grupo esteja alinhado com os interesses russos. Normalmente realiza a implementação do LONEPAGE, um downloader do PowerShell cujo nome deriva da presença da palavra «page» nos links C&C (comando e controlo).
Também conhecido como UAC-0020. Grupo de ameaças alinhado com a Rússia, conhecido por ataques de ciberespionagem contra alvos governamentais e militares na Ucrânia. Ativo desde, pelo menos, 2015. Acredita-se que o grupo esteja associado à chamada República Popular de Luhansk.
Também conhecido como UAC-0063 ou TAG-110. Grupo de ameaças alinhado com a Rússia, conhecido por ataques de ciberespionagem contra alvos governamentais, militares e relacionados com os assuntos externos na Ásia Central e na Ucrânia. Ativo desde pelo menos 2015. O kit de ferramentas de malware Zebrocy serve para campanhas de ataques direcionados e contém todas as capacidades necessárias para espionagem, tais como registo de teclas, captura de ecrã, reconhecimento, listagem e exfiltração de ficheiros, entre outras. Foi desenvolvido de forma modular, permitindo atualizações e a execução de novos módulos fornecidos pelos operadores.
Também conhecido como Operação C-Major, Mythic Leopard, ProjectM, APT36 ou Earth Karkaddan. Grupo de ciberespionagem que tem como alvo o Exército indiano e ativos relacionados na Índia, bem como ativistas e a sociedade civil no Paquistão. A Trend Micro e outros fizeram atribuições pouco conclusivas a uma ligação paquistanesa. O grupo utiliza engenharia social e phishing para realizar a implementação de malware. Historicamente, tem realizado a implementação de backdoors, especialmente o CrimsonRAT, contra vítimas que utilizam o Windows, com uso ocasional do backdoor para Android AndroRAT.
Também conhecido como APT-C-23, Desert Falcons ou Two-tailed Scorpion. Grupo de ciberespionagem conhecido por ter como alvo países do Médio Oriente. Ativo desde, pelo menos, 2013. Tem como alvo principalmente vítimas palestinianas e israelitas, incluindo forças policiais, militares e governamentais, mas também ativistas e estudantes. Utiliza um vasto arsenal de malware para plataformas Android, iOS e Windows, incluindo vários backdoors personalizados. Acredita-se que o grupo esteja afiliado ao Hamas e a operar a partir da Faixa de Gaza.
Grupo APT especializado em ciberespionagem. Acredita-se que o seu objetivo seja roubar informações confidenciais. Também referido como um grupo mercenário que oferece serviços de hacking por encomenda a uma vasta gama de clientes. Normalmente tem como alvo entidades e indivíduos no Médio Oriente e no Sul da Ásia, utilizando mensagens de spearphishing e aplicações falsas como vetor de ataque inicial.
Grupo hacktivista apoiado pelo Hamas. Surgiram pela primeira vez durante a Guerra entre Israel e o Hamas de 2023. O grupo é conhecido por realizar a implementação de programas de apagamento (wipers) contra alvos israelitas, recorrendo a binários tanto do Windows como do Linux. O primeiro programa de apagamento do grupo foi descoberto pela Security Joes em 2023, tendo outro sido descoberto pela ESET e relatado no mesmo ano.
Um grupo de ciberespionagem do Médio Oriente, descoberto em 2020. Historicamente, tinha como alvo o grupo étnico curdo do norte do Iraque. O grupo utilizou malware tanto para Windows como para Android para atacar as suas vítimas. Em 2021, a ESET descreveu uma campanha de espionagem do grupo, distribuída através de conteúdo pró-curdo no Facebook, que visava utilizadores de dispositivos móveis com backdoors para Android.
Grupo de ciberespionagem, documentado pela primeira vez em 2022. Acredita-se que o grupo esteja sediado no Líbano e tenha como alvo principalmente organizações israelitas. O seu conjunto de ferramentas consiste em sete backdoors personalizados, incluindo aquele que abusa dos serviços de cloud OneDrive e Dropbox para C&C (comando e controlo), e outros que utilizam os serviços de armazenamento de ficheiros Dropbox e Mega. O grupo também utilizou vários módulos personalizados para espionar os seus alvos.
Um grupo de ameaças associado aos Emirados Árabes Unidos. Ativo desde 2012. Conhecido por ter como alvo ativistas políticos, jornalistas e dissidentes no Médio Oriente. Descoberto e descrito pela primeira vez pelo Citizen Lab na sua análise de ataques de spyware publicada em 2016. Em 2019, a Amnistia Internacional concluiu que o Stealth Falcon e o Project Raven, um projeto que alegadamente emprega ex-agentes da NSA, são o mesmo grupo.
Também conhecido como PROMETHIUM ou APT-C-41. Grupo de ciberespionagem, ativo desde pelo menos 2012. Tem como alvo principal entidades localizadas na Turquia, mas tem operado em todo o mundo. Historicamente, tem visado a plataforma Windows com o seu malware homónimo. No entanto, no final de 2022, duas campanhas de distribuição de aplicações Android infectadas com trojans foram também atribuídas ao grupo.
Também conhecido como PROMETHIUM ou APT-C-41. Grupo de ciberespionagem, ativo desde pelo menos 2012. Tem como alvo principal entidades localizadas na Turquia, mas tem operado em todo o mundo. Historicamente, tem visado a plataforma Windows com o seu malware homónimo. No entanto, no final de 2022, duas campanhas de distribuição de aplicações Android infectadas com trojans foram também atribuídas ao grupo.
Também conhecido como Inception Framework. Grupo de ciberespionagem, ativo desde pelo menos 2014. Acredita-se também que seja um desdobramento do Red October, um grupo de ciberespionagem mais antigo que era possivelmente uma colaboração entre dois países, de acordo com o blogue de segurança Chronicle (agora parte do Google Security Operations).
Também conhecido como UNC1151, DEV-0257, PUSHCHA, Storm-0257 ou TA445. Ativo desde pelo menos 2016. Alegadamente a operar a partir da Bielorrússia. A maioria das operações do grupo tem como alvo países vizinhos da Bielorrússia; uma pequena minoria foi observada noutros países europeus. Realiza campanhas de influência e desinformação, mas também comprometeu uma variedade de entidades governamentais e do setor privado, com foco na Ucrânia, Polónia e Lituânia.
Grupo de ciberespionagem revelado pela primeira vez pela ESET. Ativo desde, pelo menos, 2014. Tem como alvo principal embaixadas estrangeiras na Bielorrússia. Desde 2020, o grupo tem provavelmente conseguido realizar ataques de tipo «adversário no meio» (man-in-the-middle) ao nível dos ISP, dentro da Bielorrússia, a fim de comprometer os seus alvos.
Grupo de ciberespionagem, descoberto pela primeira vez em 2021. Acredita-se que esteja ativo desde, pelo menos, 2020. Tem como alvo governos na Europa e na Ásia Central. O grupo utiliza documentos maliciosos, sites de phishing e um backdoor PowerShell personalizado para comprometer os seus alvos. Desde 2022, tem também visado especificamente servidores de e-mail Zimbra e Roundcube. Em 2023, a ESET observou o grupo a explorar antigas vulnerabilidades XSS no Roundcube.
Grupo de ciberespionagem, ativo pelo menos desde 2011. Conhecido por visar entidades governamentais, tais como forças armadas, ministérios dos Negócios Estrangeiros e empresas estatais na Europa Oriental (incluindo a Rússia) e nos Balcãs. O grupo utiliza emails de spearphishing para comprometer os seus alvos. Em 2020, explorou uma vulnerabilidade no Internet Explorer quando ainda não havia nenhuma prova de conceito e muito pouca informação sobre a mesma disponível publicamente. É provável que o grupo tenha comprado esta exploração a um intermediário.
Também conhecido como False Hunter ou APT-Q-12. Grupo de ciberespionagem alinhado com a Coreia do Sul, ativo desde pelo menos 2018. Concentra-se principalmente em alvos de alto perfil, tais como governos, indústrias comerciais e think tanks. O grupo utiliza eventos potencialmente interessantes, ou os seus operadores fazem-se passar por estudantes a pedir opiniões sobre tópicos de investigação relevantes, para atrair os seus alvos. Opera downloaders personalizados e um backdoor modular distribuído através de e-mails de spearphishing. A sua implementação caracteriza-se pela implementação de múltiplas fases de downloader e um backdoor personalizado capaz de carregar plugins.
Considerado um subgrupo do Lazarus (ligado à Coreia do Norte). As suas atividades remontam a 2009. O grupo concentra as suas operações principalmente em alvos sul-coreanos, incluindo entidades governamentais e militares, bem como empresas como bancos, bolsas de criptomoedas e corretoras online. Os seus objetivos centram-se na ciberespionagem ou no ganho financeiro. Entre os incidentes divulgados publicamente pelo grupo estão os ataques contra a Exposição Internacional Aeroespacial e de Defesa de Seul (ADEX) em 2015 e a Central Nuclear de Kudankulam (KKNPP) na Índia em 2019.
Um grupo alinhado com a Coreia do Norte , documentado pela primeira vez em 2023. Os seus operadores estão focados principalmente no ganho financeiro, visando programadores de software em Windows, Linux e macOS para roubar criptomoedas, com um possível objetivo secundário de realizar ciberespionagem. O grupo utiliza perfis falsos de recrutadores nas redes sociais. Contacta programadores de software, frequentemente aqueles envolvidos em projetos de criptomoedas, fornecendo às vítimas potenciais bases de código com trojans que realizam a implementação de backdoors como parte de um processo de entrevista de emprego falso.
Grupo de ciberespionagem ligado à Coreia do Norte. Ativo desde, pelo menos, 2013. O grupo visava inicialmente entidades relacionadas com a Coreia do Sul; no entanto, nos últimos anos, expandiu as suas atividades de forma mais ampla, passando a incluir os Estados Unidos e países europeus. Tem como alvo entidades governamentais, institutos de investigação, empresas de criptomoedas e empresas privadas, tendo como objetivo principal a ciberespionagem e a recolha de informações.
Um grupo de agentes de ameaças alinhado com a Coreia do Norte. Relatado pela primeira vez por analistas em 2017. Tem como alvo principalmente instituições políticas russas e sul-coreanas. Utiliza frequentemente ataques de spearphishing para obter acesso inicial e recorre à ferramenta de administração remota (RAT) personalizada para garantir a persistência e o acesso contínuo ao computador da vítima. Embora alguns investigadores de segurança classifiquem o grupo sob a alçada do ScarCruft (APT37), Lazarus ou Kimsuky, a ESET não consegue corroborar essas afirmações.
Também conhecido como HIDDEN COBRA. Grupo APT ligado à Coreia do Norte. Ativo desde, pelo menos, 2009. Responsável por incidentes de grande visibilidade, como o ataque à Sony Pictures Entertainment e roubos cibernéticos que custaram dezenas de milhões de dólares em 2016, o surto do WannaCryptor (também conhecido como WannaCry) em 2017 e um longo historial de ataques disruptivos contra infraestruturas públicas e críticas sul-coreanas desde, pelo menos, 2011. A diversidade, o número e a excentricidade na implementação das campanhas definem este grupo, bem como o seu envolvimento nos três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e busca de ganhos financeiros.
Nome dado pela ESET a uma série de ataques atribuídos ao grupo. Estes ataques têm vindo a ocorrer desde, pelo menos, 2019, visando empresas aeroespaciais, militares e de defesa. A operação destaca-se pelo uso de spearphishing baseado no LinkedIn e pela utilização de truques eficazes para passar despercebida. Tal como o nome In(ter)ception sugere, o seu principal objetivo parece ser a espionagem corporativa.
Também conhecido como APT37 ou Reaper. Suspeito de ser um grupo de espionagem norte-coreano. Está em atividade desde, pelo menos, 2012. Concentra-se principalmente na Coreia do Sul, mas também tem como alvo outros países asiáticos. O grupo parece estar interessado principalmente em organizações governamentais e militares, e em empresas de vários setores ligados aos interesses norte-coreanos. O seu conjunto de ferramentas contém uma ampla gama de downloaders, ferramentas de exfiltração e backdoors utilizadas para espionagem.
Grupo de sabotagem cibernética com suspeita de afiliação ao Irão. Ativo desde 2020. Tem como alvo vítimas em Israel e nos Emirados Árabes Unidos. O grupo inicialmente realizou a implementação de um wiper disfarçado de ransomware, mas posteriormente modificou-o para um ransomware completo. Explora vulnerabilidades conhecidas em aplicações expostas à Internet para instalar webshells e, em seguida, realiza reconhecimento interno antes de se deslocar lateralmente.
Anteriormente rastreado como APT35 e APT42 (também conhecido como Charming Kitten, TA453, ou PHOSPHORUS). Um suposto agente estatal iraniano que tem como alvo organizações de educação, governo e saúde, bem como ativistas de direitos humanos e jornalistas. Mais ativo em Israel, no Médio Oriente e nos Estados Unidos. Durante a pandemia, teve como alvo organizações relacionadas com a COVID-19, incluindo a Organização Mundial de Saúde e a Gilead Pharmaceuticals, bem como pessoal de investigação médica.
Grupo de ciberespionagem alinhado com o Irão. Ativo desde, pelo menos, 2017. Descoberto pela primeira vez em 2023, visando funcionários diplomáticos curdos com o seu backdoor. Em 2024, continuou a visar esses funcionários curdos, juntamente com funcionários do governo iraquiano e um fornecedor regional de telecomunicações no Uzbequistão. Avaliou-se com elevada confiança que o grupo é um subgrupo do OilRig – também conhecido como APT34 ou Hazel Sandstorm (anteriormente EUROPIUM) – que partilha características com o BladeHawk e o FreshFeline.
Um grupo de agentes de ameaças conhecido pelos seus ciberataques dirigidos a organizações israelitas. Acredita-se que o grupo esteja sediado na Turquia, mas realiza ataques que se alinham com os objetivos do governo iraniano. Existe uma ligação entre o grupo e o Frankenstein, um grupo que tem historicamente trabalhado para apoiar os interesses dos Territórios Palestinos e que também está alinhado com os interesses do Irão. O grupo tem estado envolvido em operações de hack-and-leak, violações de dados e destruição de dados.
Uma campanha conduzida pelo grupo APT-C-50. Nessa campanha, o grupo tem vindo a realizar operações de vigilância móvel contra cidadãos iranianos desde 2016, conforme relatado pela Check Point em 2018. Em 2019, a Trend Micro identificou uma campanha maliciosa, possivelmente ligada ao Domestic Kitten, direcionada para o Médio Oriente, batizando-a de Bouncing Golf. Pouco depois, no mesmo ano, a Qianxin relatou uma campanha do Domestic Kitten novamente direcionada ao Irão. Em 2020, a 360 Core Security divulgou atividades de vigilância do Domestic Kitten contra grupos antigovernamentais no Médio Oriente. O último relatório disponível publicamente é de 2021, da Check Point.
Também conhecido como MosesStaff. Um grupo iraniano de ciberespionagem que tem como alvo uma variedade de setores em Israel, Itália, Índia, Alemanha, Chile, Turquia, Emirados Árabes Unidos e EUA. Ativo desde pelo menos 2021, quando realizou a implementação de um backdoor até então desconhecido, visando duas empresas em Israel. Em 2021, realizou a implementação de ransomware contra vítimas em Israel. O grupo tem como alvo servidores Microsoft Exchange expostos à Internet com vulnerabilidades conhecidas e sem correção como principal meio de entrada, seguido de movimento lateral e implementação de seu próprio backdoor personalizado.
Também conhecido como C5, Smoke Sandstorm, TA455 ou UNC1549. Grupo de ciberespionagem alinhado com os interesses do governo iraniano. Ativo desde pelo menos 2022. O grupo tem como alvo organizações no Médio Oriente (incluindo, mas não se limitando a, Israel, Omã e Arábia Saudita) e nos Estados Unidos nos setores aeroespacial, da aviação e da defesa. Os seus métodos sobrepõem-se aos do Tortoiseshell, um grupo ligado à organização de Guerra Eletrónica e Defesa Cibernética (EWCD) da Guarda Revolucionária Islâmica do Irão (IRGC), e ao APT33, que também está ligado à IRGC-EWCD. Os métodos típicos do grupo incluem spearphishing utilizando domínios de typosquatting, password spraying e o desenvolvimento e implementação de backdoors personalizadas.
Também conhecido como HEXANE ou Storm-0133. Um subgrupo do OilRig, ativo desde pelo menos 2017. O grupo tem como alvo organizações no Médio Oriente, com especial enfoque em organizações israelitas, incluindo entidades governamentais nacionais e locais e organizações na área da saúde. As principais ferramentas atribuídas ao grupo incluem vários backdoors e uma gama de downloaders que utilizam serviços de cloud legítimos para comunicação C&C (comando e controlo).
Grupo de ciberespionagem ligado ao Ministério da Inteligência e Segurança do Irão (MOIS). Ativo desde, pelo menos, 2017. O grupo tem como alvo vítimas no Médio Oriente e na América do Norte, com foco nas telecomunicações, organizações governamentais e as indústrias do petróleo e da energia. Os seus operadores utilizam frequentemente backdoors baseados em scripts, como o PowerShell. O seu método preferido de acesso inicial são emails de spearphishing com anexos – frequentemente PDFs com links que apontam para repositórios de armazenamento de ficheiros, como o Egnyte e o OneHub.
Também conhecido como APT34 ou Hazel Sandstorm (anteriormente EUROPIUM). Grupo de ciberespionagem que se acredita estar sediado no Irão. Ativo desde, pelo menos, 2014. O grupo tem como alvo governos do Médio Oriente e vários setores empresariais, incluindo as indústrias química, energética, financeira e de telecomunicações. As suas campanhas notáveis incluem a campanha DNSpionage de 2018 e 2019, que visava vítimas no Líbano e nos Emirados Árabes Unidos; a campanha HardPass de 2019–2020, que utilizou o LinkedIn para visar vítimas do Médio Oriente nos setores energético e governamental; o ataque de 2020 contra uma organização de telecomunicações no Médio Oriente; e os ataques de 2023 que visaram organizações no Médio Oriente. Para além destes incidentes, a ESET monitoriza outras atividades relacionadas com o OilRig em subgrupos separados: Lyceum, ShroudedSnooper e BladedFeline.
Também conhecido como Scarred Manticore ou Storm-0861. Um subgrupo do OilRig ativo desde, pelo menos, 2019. Identificado pela primeira vez pela Microsoft nos ataques destrutivos de 2021-2022 contra o governo albanês, tendo fornecido acesso inicial à rede para outros subgrupos do OilRig através da exploração de aplicações acessíveis ao público. Em 2023, o grupo realizou ataques contra organizações governamentais, militares e empresas de telecomunicações no Médio Oriente.
Também conhecido como Crimson Sandstorm, Imperial Kitten, TA456 ou Yellow Liderc. Grupo de ciberespionagem, ativo pelo menos desde 2019. O grupo utiliza engenharia social e e-mails de phishing para obter acesso inicial e depende fortemente de macros do Microsoft Office e de implantes de fase inicial, que são utilizados para reconhecimento de sistemas e redes. Os alvos incluem tipicamente os setores marítimo, de transporte marítimo e de logística nos EUA, na Europa e no Médio Oriente.
Grupo de ciberespionagem que tem como alvo vítimas no Médio Oriente nos setores do petróleo, gás e engenharia. Ativo desde, pelo menos, 2019, quando a sua primeira porta traseira foi descoberta. Em 2021, observou-se a implementação de ferramentas adicionais.
Também conhecido como APT-C-35 ou SectorE02. Um agente de ameaças alinhado com a Índia, em atividade desde pelo menos 2016. Um relatório de 2021 da Amnistia Internacional associou o malware do grupo a uma empresa indiana de cibersegurança que poderá estar a vender o spyware ou a oferecer um serviço de hackers contratados a governos da região. O grupo tem como alvo organizações no Sul da Ásia utilizando malware para Windows e Android, com a maioria das vítimas localizada no Paquistão, Bangladesh, Sri Lanka, Nepal e China. As suas campanhas centram-se na espionagem, utilizando a sua estrutura de malware característica, cujo principal objetivo é recolher e extrair dados.
O nome que a ESET utiliza para um subgrupo do APT15 que tem como alvo principal organizações governamentais e empresas de telecomunicações em África e no Médio Oriente. Ativo desde, pelo menos, 2017. Em 2022, a Bitdefender documentou as atividades do grupo contra o setor das telecomunicações no Médio Oriente. Em 2023, a Unit 42 partilhou a sua análise sobre o comprometimento de redes governamentais no Irão por parte do grupo. Em 2021, a ESET demonstrou ligações entre o grupo e o que a Kaspersky identifica como CloudComputating, um grupo ativo desde, pelo menos, 2012. A ESET também observou múltiplas ligações com outros subgrupos do APT15, tais como Mirage, Ke3chang e DigitalRecyclers.
Um grupo APT alinhado com a China envolvido em operações de ciberespionagem contra indivíduos e empresas chinesas e japonesas. Ativo desde pelo menos 2018. Em 2020, os investigadores da ESET descobriram o grupo após a detetção de ficheiros suspeitos num sistema na China. Os operadores do grupo têm a capacidade de realizar ataques do tipo «adversário no meio», o que lhes permite distribuir o seu implante através de atualizações de software legítimo e ocultar a localização dos seus servidores C&C (comando e controlo) ao interceptar o tráfego gerado pelo implante.
Também conhecido como Volt Typhoon ou Vanguard Panda. Grupo de ciberespionagem alinhado com a China, ativo desde pelo menos 2022. Tem como alvo principal a indústria de defesa e organizações críticas nos EUA. Tornou-se público pela primeira vez em 2023, depois de ter sido apanhado a atacar infraestruturas críticas em Guam, um território insular dos EUA no Pacífico Ocidental que alberga várias bases militares americanas.
Grupo de ciberespionagem alinhado com a China, ativo pelo menos desde o início de 2022. Tem como alvo principalmente entidades governamentais no Sudeste Asiático. O grupo é conhecido pelos seus componentes documentados, TONEINS, TONESHELL e PUBLOAD, pela utilização de ferramentas disponíveis publicamente e por técnicas de exfiltração que utilizam serviços de cloud e de partilha de ficheiros. Algumas das suas atividades foram atribuídas ao Mustang Panda (também conhecido como Earth Preta ou Stately Taurus). No entanto, a ESET atribui estas atividades a um grupo distinto.
Um agente de ameaças relatado publicamente pela primeira vez em 2024; no entanto, os dados de telemetria da ESET contêm vestígios da atividade do grupo desde o início de 2022. O grupo conduz operações de ciberespionagem contra organizações governamentais e o setor tecnológico na Rússia, bem como contra think tanks nos Estados Unidos. As suas operações caracterizam-se por emails de spearphishing com um arquivo em anexo. O grupo utiliza a técnica de side-loading «trident» para distribuir o seu principal backdoor e, posteriormente, abusar de serviços na cloud como o Yandex, o OneDrive ou o Dropbox para receber comandos.
Um agente de ameaças descoberto pela ESET. Ativo desde, pelo menos, 2018. O grupo realiza regularmente operações de espionagem contra organizações governamentais na Europa. Acredita-se, com baixo grau de confiança, que o grupo esteja ligado ao Ke3chang e ao BackdoorDiplomacy.
Também conhecido como BRONZE HIGHLAND, Daggerfly e StormBamboo. Grupo APT alinhado com a China, em atividade desde pelo menos 2012. O seu objetivo é a ciberespionagem contra países e organizações que se opõem aos interesses da China através de movimentos de independência, tais como os da diáspora tibetana, instituições religiosas e académicas em Taiwan e em Hong Kong, e apoiantes da democracia na China. A ESET observou, por vezes, que as suas operações se estendem a países como o Vietname, Mianmar e a Coreia do Sul. O grupo acumulou uma lista impressionante de métodos de ataque, tais como ataques à cadeia de abastecimento e de tipo «watering hole», e sequestro de DNS. Demonstra também uma forte capacidade de desenvolvimento de malware, como evidenciado na sua extensa coleção de backdoors multiplataforma para Windows, macOS e Android.
Grupo de ciberespionagem alinhado com a China. Acredita-se que esteja ativo desde, pelo menos, 2019. O grupo era inicialmente conhecido por ter como alvo hotéis em todo o mundo, mas também tem visado governos, organizações internacionais, grupos comerciais, empresas de engenharia e escritórios de advocacia. É o único utilizador conhecido do backdoor SparrowDoor. O grupo está ligado ao grupo Earth Estries, mas a natureza exata dessa ligação não é totalmente conhecida. Também foi publicamente associado ao Salt Typhoon, mas, devido à ausência de quaisquer indicadores técnicos, a ESET rastreia-os como entidades separadas.
Também conhecido como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. Grupo de ciberespionagem que se acredita ser operado pela empresa contratada chinesa I-SOON e que faz parte do grupo Winnti. A ESET publicou uma análise do grupo no início de 2020, quando este atacou fortemente universidades em Hong Kong durante os protestos civis que ocorreram na região. Descrevemos uma campanha global que visava governos, ONG e think tanks na Ásia, Europa e Estados Unidos. O grupo também é conhecido por realizar ataques do tipo "watering-hole".
Também conhecido como ETHEREAL PANDA. Grupo APT alinhado com a China, ativo pelo menos desde 2021. Tem como alvo principalmente organizações taiwanesas. O grupo utiliza o webshell China Chopper, a ferramenta de escalada de privilégios Juicy Potato e as suas múltiplas variações, bem como o Mimikatz. Utiliza extensivamente binários «living-off-the-land» (LOLBins) para evitar a deteção.
Grupo APT alinhado com a China. Os investigadores da ESET escolheram este nome devido à utilização prolongada (pelo menos desde 2022) de ficheiros de tipos de letra falsos no diretório C:\Windows\Fonts como cargas úteis ocultas para um conjunto específico de carregadores. Tem como alvo predominantemente entidades governamentais no Quirguistão, Uzbequistão, Cazaquistão e Paquistão.
Grupo APT alinhado com a China que tem como alvo vários setores na Europa Oriental e na Ásia Central. O grupo utiliza o backdoor Zmm e o RAT Trochilus. O backdoor Zmm está a ser desenvolvido pelo grupo StartupNation, que também desenvolve o RAT Mikroceen utilizado pelo grupo APT SixLittleMonkeys.
Também conhecido como Soft Cell, Alloy Taurus, Red Moros ou Othorene. Grupo APT alinhado com a China que tem como alvo fornecedores de telecomunicações e organizações governamentais em todo o mundo. Também conhecido por ter atacado o setor académico. O seu conjunto de ferramentas inclui um backdoor C++ personalizado, um webshell IIS baseado no China Chopper, vários roubadores de credenciais baseados no Mimikatz e várias ferramentas prontas a usar.
Grupo de ciberespionagem alinhado com a China. Ativo desde, pelo menos, 2014. Nesse ano, a G DATA publicou um white paper sobre a Operação TooHash, uma campanha cujas vítimas pareciam estar localizadas no Leste Asiático, com base nos documentos utilizados na campanha. Os operadores utilizaram spearphishing com anexos que exploravam uma vulnerabilidade, na altura já antiga, do Microsoft Office, bem como três componentes, dois dos quais assinados com um certificado roubado. Em 2016, a Verint Systems fez uma apresentação na HITCON, onde falou sobre uma nova atividade da operação TooHash mencionada dois anos antes, ainda utilizando o mesmo exploit contra o Microsoft Office.
Ativo desde pelo menos 2023. Grupo de ciberespionagem alinhado com a China que se concentra na criação de backdoors e utiliza serviços legítimos como Discord, Slack e file.io para comunicações C&C e exfiltração. Em 2025, a telemetria da ESET mostra que o grupo tem como alvo instituições governamentais na Mongólia.
Grupo de ciberespionagem alinhado com a China, ativo desde pelo menos 2009. Recebeu este nome devido ao uso abundante de referências ao Google no seu código e é conhecido por utilizar ataques drive-by. O arsenal do grupo inclui malware para utilizadores de Windows, OS X e Android. Documentado pela primeira vez em 2014, quando utilizou um backdoor para OS X para atacar empresas de eletrónica e engenharia em todo o mundo, bem como ONG com interesses na Ásia. Em 2020, a Lookout descobriu quatro backdoors para Android utilizados para atacar uigures, tibetanos e populações muçulmanas em todo o mundo, que atribuiu ao grupo com base na sobreposição das infraestruturas de rede. Embora várias fontes afirmem que o grupo está associado ao APT15, os investigadores da ESET não têm provas suficientes para sustentar esta ligação e, por isso, continuam a acompanhá-lo como um grupo separado.
Ke3chang (pronuncia-se ke-tri-chang) é o nome que a ESET utiliza para um subgrupo do APT15 que tem como alvo principal organizações governamentais e missões diplomáticas na Europa e na América Latina. O nome baseia-se num relatório da Mandiant de 2013 sobre a Operação Ke3chang, e utilizamo-lo para atividades subsequentes do APT15 relatadas por várias organizações entre 2016 e 2021. As operações do grupo caracterizam-se pela implementação exclusiva de backdoors simples de primeira fase com capacidades limitadas e pela dependência subsequente de operadores humanos para executar manualmente comandos adicionais, aproveitando utilitários integrados e publicamente disponíveis para reconhecimento.
Rede de caixas de retransmissão operacionais (ORB) a funcionar em servidores privados virtuais (VPS) em todo o mundo. Ativa desde, pelo menos, 2023. Vários agentes de ameaças alinhados com a China, incluindo os DigitalRecyclers e os BackdoorDiplomacy, utilizam esta rede secreta para tornar anónimo o seu tráfego de rede e ocultar a sua verdadeira origem.
Grupo APT alinhado com a China descoberto pela ESET em 2024. Tem como alvo entidades governamentais na Malásia com o objetivo de realizar ciberespionagem. O grupo utiliza malware personalizado exclusivo para recolher os históricos de navegação das vítimas e decidir onde realizar a implementação de um backdoor que aproveita o serviço de cloud Microsoft OneDrive. Além disso, utiliza a Política de Grupo do Active Directory para realizar a implementação do seu malware e realizar movimentos laterais. Existe uma pequena sobreposição com o grupo APT ToddyCat, com base nos caminhos dos ficheiros e na utilização da VPN SoftEther. No entanto, os conjuntos de ferramentas globais são diferentes.
Também conhecido como Lotus Panda e Billbug. Grupo APT alinhado com a China que tem como alvo organizações governamentais e marítimas no Sudeste Asiático. Descoberto pela primeira vez em 2015. Utiliza o backdoor Elsentric e várias ferramentas adicionais, tais como o Impacket e o proxy Venom.
Também conhecido como APT27 ou Emissary Panda. Grupo de ciberespionagem que tem como alvo principal governos, empresas de telecomunicações e organizações internacionais. Ativo na Ásia Central, no Médio Oriente, na Mongólia, em Hong Kong e na América do Norte. Uma das técnicas distintivas do grupo é utilizar o carregamento lateral de DLL para carregar os seus backdoors.
Também conhecido como Earth Kasha. Ativo desde, pelo menos, 2019. Um agente de ameaças alinhado com a China que tem como alvo principal empresas e organizações no Japão, bem como entidades noutros locais com ligações ao Japão. A ESET considera-o um subgrupo sob a alçada do APT10. Foi relatado que o grupo tem como alvo meios de comunicação social, empresas relacionadas com a defesa, grupos de reflexão, organizações diplomáticas, instituições financeiras, instituições académicas e fabricantes. Concentra-se na espionagem e na exfiltração de ficheiros de interesse. .
Também conhecido como TA416, RedDelta, PKPLUG, Earth Preta ou Stately Taurus. Um grupo de ciberespionagem, que se acredita estar sediado na China. Tem como alvo principal entidades governamentais e ONG. Embora seja conhecido pela sua campanha de 2020 dirigida ao Vaticano, as suas vítimas estão principalmente localizadas no Leste e Sudeste Asiático, com foco na Mongólia. Nas suas campanhas, o grupo utiliza frequentemente carregadores personalizados para malware partilhado.
Também conhecido como APT31. Um grupo de ciberespionagem alinhado com a China que tem como alvo principal entidades governamentais na Europa. Utiliza um implante personalizado que pode ser implementado de várias formas, incluindo uma cadeia de carregamento lateral de DLL e uma cadeia «traga o seu próprio software vulnerável» (BYOVS). Vale a pena notar que o grupo possui um arsenal mais vasto de ferramentas personalizadas, algumas das quais ainda não vimos em ação.
Ator de ameaças alinhado com a China, ativo pelo menos desde 2018. O grupo realiza operações de espionagem contra indivíduos e entidades na China, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia. Utiliza um backdoor personalizado e a sua principal técnica de acesso inicial consiste em sequestrar atualizações legítimas, redirecionando o tráfego para servidores controlados pelo atacante através de um implante de rede. Além disso, o grupo obtém acesso através de vulnerabilidades em servidores web e realizou um ataque à cadeia de abastecimento em 2023.
Grupo APT ativo desde, pelo menos, 2014. Tem como alvo os setores governamental, de defesa e de telecomunicações na Ásia Central, Índia e Paquistão. Acredita-se que faça parte da Unidade 69010 do Exército Popular de Libertação (PLA). É um dos grupos com acesso ao backdoor ShadowPad.
Grupo APT alinhado com a China, ativo desde pelo menos 2008. Realiza operações de ciberespionagem e vigilância na China, visando indivíduos nacionais e estrangeiros, empresas, instituições de ensino e entidades governamentais. As atividades do grupo são um subconjunto das operações atribuídas ao APT LuoYu (também conhecido como CASCADE PANDA). Utiliza a técnica «adversário no meio», através do acesso à espinha dorsal da Internet chinesa, para sequestrar atualizações de software e distribuir os seus implantes para Windows e Android.
Um grupo APT que tem como alvo entidades no Leste e Sudeste Asiático. Ativo desde pelo menos 2020. A ESET acredita que esteja sediado na China. A ferramenta característica do grupo é um malware modular concebido com ênfase no fornecimento de acesso remoto furtivo.
Um grupo APT cujas táticas, técnicas e procedimentos (TTP) se sobrepõem parcialmente aos do APT41 (também conhecido como BARIUM). Embora o grupo opere principalmente no Leste e Sudeste Asiático, também tem como alvo organizações de uma ampla gama de setores em todo o mundo, com um foco particular na academia. É também um dos grupos com acesso ao backdoor ShadowPad.
Também conhecido como IndigoZebra ou SMAC. Ativo desde pelo menos 2013. De acordo com relatórios, este grupo APT alinhado com a China é responsável por ataques a entidades políticas em alguns países da Ásia Central, especificamente no Afeganistão, Uzbequistão e Quirguistão. Os investigadores da ESET também observaram os seus ataques na Guiné Equatorial, Rússia, Tajiquistão e Israel.
Um grupo responsável pelo desenvolvimento e manutenção de malware para vários grupos APT alinhados com a China. Ativo desde pelo menos 2016. A ESET acredita que o grupo fornece o seu software aos grupos APT alinhados com a China que monitorizamos como SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 e TA410. Desenvolveu o conjunto de ferramentas HDMan, o RAT Mikroceen (também conhecido como BYEBY), o backdoor Zmm e o backdoor BeRAT.
Grupo de espionagem alinhado com a China que opera a partir da Região Autônoma da Mongólia Interior da República Popular da China. A ESET descobriu o grupo em 2024, quando este atacou um concessionário automóvel em França. Também atacou entidades governamentais na Mongólia e um escritório de advogados na América do Sul. Utiliza uma vasta gama de ferramentas, a maioria das quais partilhadas entre grupos alinhados com a China. O grupo é também cliente da StartupNation.
Um grupo-guarda-chuva de ciberespionagem conhecido principalmente por atacar organizações sediadas nos EUA no setor de serviços públicos e organizações diplomáticas no Médio Oriente e na África. Ativo desde, pelo menos, 2018. Revelado publicamente pela primeira vez em 2019. É composto por três subgrupos que a ESET denominou JollyFrog, LookingFrog e FlowingFrog. Em 2020, a família de malware FlowCloud, recém-descoberta e muito complexa, também foi atribuída ao TA410.
Também conhecido como ThunderCats. Grupo APT, ativo desde pelo menos 2014. Tem como alvo governos na Ásia Oriental, com especial enfoque na Mongólia e na Rússia. A ESET acredita que opera a partir de Pequim, na República Popular da China. O grupo utiliza backdoors personalizadas e ferramentas partilhadas. É um dos grupos com acesso à backdoor ShadowPad.
Grupo APT alinhado com a China, ativo desde pelo menos 2021. Envolve-se em operações de ciberespionagem contra indivíduos, empresas de jogos de azar e entidades desconhecidas nas Filipinas, nos Emirados Árabes Unidos e na China. Os investigadores da ESET descobriram este agente de ameaças quando uma atualização maliciosa foi descarregada por uma aplicação chinesa popular conhecida como Sogou Pinyin. O grupo tem capacidade para realizar ataques de tipo «adversário no meio», o que lhe permite redirecionar o tráfego e distribuir o seu malware personalizado através de atualizações.
Também conhecido como BRONZE BUTLER ou REDBALDKNIGHT. Grupo APT suspeito de estar ativo desde, pelo menos, 2006. Tem como alvo principalmente países da região APAC. Este grupo é de interesse pelas suas operações de ciberespionagem, que se concentram no roubo de informações confidenciais e propriedade intelectual.
Um grupo alinhado com a China que utiliza malware modular personalizado, ao qual a ESET atribuiu o nome de GrapHop.
Agente de ameaças alinhado com a China, em atividade desde pelo menos 2023. O grupo realiza operações de ciberespionagem no Médio Oriente. O grupo sobrepõe-se ao Space Pirates e ao agente de ameaças que utiliza o backdoor Zardoor. Tem acesso a vários implantes e é também cliente da StartupNation.
Também conhecido como ToddyCat. Descoberto por investigadores da ESET em 2021 durante uma investigação de ataques contra servidores Microsoft Exchange, através do abuso da vulnerabilidade ProxyLogon. Com base nisso, é muito provável que se trate de um grupo APT alinhado com a China. De acordo com a Kaspersky, o grupo tem atividade desde, pelo menos, 2020. Os seus alvos anteriores incluem organizações no Nepal, Vietname, Japão, Bangladesh e Ucrânia. Os ataques do grupo combinam normalmente a utilização de malware proprietário distinto e ferramentas de hacking disponíveis publicamente.
Grupo de ciberespionagem relatado pela primeira vez pela Symantec em 2022. Está ligado a outros grupos APT ligados à China, como o SixMonkeys e o FishMonger. O grupo utiliza famílias de malware bem conhecidas. É também cliente da StartupNation.
Ativo desde pelo menos 2012. Sabe-se que está sediado na cidade chinesa de Chengdu, província de Sichuan. Responsável por ataques de cadeia de abastecimento de alto contra as indústrias de videojogos e software, levando à distribuição de vários softwares trojanizados que são depois utilizados para comprometer mais vítimas. O grupo também é conhecido por ter comprometido vários alvos em diferentes setores, tais como a saúde e a educação.
Grupo de ciberespionagem alinhado com a China, ativo desde pelo menos 2020. A ESET acredita que opera a partir de Pequim. O grupo concentra-se principalmente em alvos na Mongólia, mas também tem visado entidades no Quirguistão, Vietname, Turquia, Indonésia e Namíbia. Tem como alvo organizações governamentais e outras do setor público, bem como empresas privadas. O grupo utiliza ferramentas próprias e ferramentas disponíveis publicamente. Partilha ferramentas e características adicionais com outros grupos alinhados com a China, em particular o TA428. Notavelmente, tem acesso ao backdoor ShadowPad e é cliente do grupo de fornecedores de software StartupNation.
Também conhecido como YoroTrooper. Grupo de ciberespionagem, ativo pelo menos desde 2021. O grupo concentra-se em spearphishing e roubo de credenciais de webmail. Tem como alvo funcionários governamentais, think tanks e funcionários de empresas estatais em países ribeirinhos do Mar Cáspio, sendo a Federação Russa o país mais fortemente visado. Dado o alvo restrito, é provável que o grupo opere a partir de um país da Ásia Central. Com base na vitimologia e noutros indicadores técnicos, a ESET avalia, com baixo grau de confiança, que o grupo está alinhado com os interesses do Cazaquistão.
RELATÓRIO DE AMEAÇAS DA ESET – 2.º SEMESTRE DE 2025
Uma análise aprofundada das tendências globais em matéria de ameaças, da atividade regional de APT e da evolução do malware, observadas através da telemetria da ESET.
Resumo de Atividades APT
As últimas informações sobre campanhas APT ativas em todo o mundo.
WeLiveSecurity: Notícias em destaque e estudos
Análises e comentários especializados dos investigadores da ESET sobre as mais recentes ciberameaças, descobertas e tendências de segurança.
Podcast da ESET Research: Uma análise do panorama global das ameaças
Junte-se aos nossos analistas para uma discussão sobre atribuição, ferramentas e mudanças nas atividades globais
Visão geral da solução
Conheça a solução em profundidade, com descrições detalhadas e destaques das funcionalidades.
ENTRE EM CONTACTO
Quer saber mais? Partilhe os seus dados e entraremos em contacto consigo com mais informações.
Podemos fazer uma demonstração, discutir um conceito ou responder a quaisquer perguntas que possa ter.