Získajte detailný prehľad o technikách útočníkov, ich infraštruktúre a atribúcii,
aby ste si udržali náskok pred skrytými kampaňami. Využite ESET AI Advisor,
ktorý je vytrénovaný na desaťročiach výskumu, a získajte od našich odborníkov
praktické odporúčania na posilnenie ochrany.
Slepé miesta v globálnom pokrytí hrozieb
Väčšina informačných kanálov sa orientuje na údaje z USA, čo vytvára medzery v regiónoch, ktoré sú pre vaše operácie najdôležitejšie. Ako odhaliť hrozby zamerané na Európu, región APAC a vysokorizikové sektory ešte skôr, ako udrú?
Mimoriadne náročná atribúcia
Sofistikované kampane zámerne zahmlievajú svoj pôvod. Bez dôkladného výskumu a kontextu je spájanie útokov s konkrétnymi aktérmi či geopolitickými motívmi len hádaním. Dokáže váš tím s istotou prisudzovať pokročilé hrozby tým správnym útočníkom?
Oneskorené alebo príliš všeobecné reporty o APT
Kým sa k vám reporty dostanú, útočníci sú už o krok ďalej. Všeobecné zhrnutia neobsahujú detaily, ktoré možno reálne využiť v praxi. Ako získať včasné technické informácie, ktoré skutočne zlepšia stav vášho zabezpečenia?
Obmedzené chápanie taktík útočníkov
Nestačí len vedieť, že došlo k útoku. Bez jasného pochopenia metód a infraštruktúry útočníkov zostáva obrana reaktívna. Máte dostatočný prehľad na to, aby ste dokázali predvídať ich ďalší krok a účinne ho narušili?
VŠÍMAJTE SI TO, ČO INÍ PREHLIADAJÚ
Pochopte motiváciu, ciele a taktiky skupín APT, ktoré sú relevantné pre vašu organizáciu.
POSILNITE OBRANU SKÔR, NEŽ DÔJDE K ÚTOKU
Využite dôkladné a praktické informácie na aktualizáciu pravidiel detekcie, zníženie rizika pre kritické objekty a vylepšenie plánov reakcie na incidenty.
ZÍSKAJTE PREHĽAD O VECIACH, KTORÉ INÝM UNIKAJÚ
Získajte prístup k neverejným informáciám z výskumu a telemetrie spoločnosti ESET vrátane rozsiahleho pokrytia hrozieb spojených s Čínou, so Severnou Kóreou, s Ruskom a Iránom.
KONZULTUJTE S ODBORNÍKMI, KTORÍ STOJA ZA VÝSKUMOM
Získajte priamy prístup k analytikom spoločnosti ESET a každý mesiac profitujte z podrobných diskusií, poradenstva šitého na mieru a pomoci pri riešení kľúčových otázok.
Vďaka prístupu k analytikom máte k dispozícii až štyri hodiny konzultácií s odborníkmi spoločnosti ESET mesačne, v rámci ktorých získate prispôsobené odporúčania a výklad, aby ste mohli naplno využiť potenciál informácií o APT.
Dvojtýždenný súhrn aktivity informuje bezpečnostné tímy o aktivitách skupín APT a poskytuje zrozumiteľný prehľad o kampaniach, cieľoch a indikátoroch IoC. Pomáha im lepšie chrániť siete a pochopiť najnovšie taktiky, techniky a postupy (TTP) skupín APT.
Technická analýza odhaľuje nástroje, techniky a postupy útočníkov v rámci kampaní a ponúka praktické odporúčania na ochranu a nápravu. Je nevyhnutná pre všetkých, ktorí sa venujú ochrane, výskumu a reakcii na incidenty a potrebujú včasné a praktické informácie na boj s vyvíjajúcimi sa hrozbami.
Mesačný prehľad prináša pravidelný pohľad na prostredie hrozieb APT, ktorý pomáha riadiacim pracovníkom pre informačnú bezpečnosť a pracovníkom s rozhodovacími právomocami určovať priority a prijímať sebavedomé rozhodnutia.
ESET AI Advisor poskytuje súhrny a prehľady z reportov o APT podporené umelou inteligenciou, ktoré tímom pomáhajú rýchlo porozumieť údajom a prijímať informované rozhodnutia.
APT Reports
APT Reports
Advanced
APT Reports
Ultimate
Výskum a telemetria spoločnosti ESET odhaľujú infraštruktúru, taktiky
a kampane stojace za globálnymi aktivitami skupín APT – od štátom sponzorovaných operácií
až po regionálne cielené útoky.
Zoznámte sa
s útočníkmi
NEZARADENÁ SKUPINA
SKUPINY NAPOJENÉ NA RUSKO
SKUPINY NAPOJENÉ NA PAKISTAN
INÉ SKUPINY Z BLÍZKEHO VÝCHODU
INÉ SKUPINY Z VÝCHODNEJ EURÓPY
INÉ SKUPINY Z VÝCHODNEJ ÁZIE
SKUPINY NAPOJENÉ NA SEVERNÚ KÓREU
SKUPINY NAPOJENÉ NA IRÁN
SKUPINY NAPOJENÉ NA INDIU
SKUPINY NAPOJENÉ NA ČÍNU
SKUPINY NAPOJENÉ NA STREDNÚ ÁZIU
Skupina je aktívna už minimálne od roku 2019 a jej známe nástroje slúžia na špionážne účely. Cieli na vládne a diplomatické subjekty v Európe, na Blízkom východe a v Južnej Ázii. O skupine je dostupných len málo informácií a verejne ju prvýkrát opísala spoločnosť Kaspersky v roku 2023.
Skupina napojená na Rusko, ktorú objavili výskumníci spoločnosti ESET. Je aktívna najmenej od roku 2008 a známa je najmä svojou rovnomennou kyberšpionážnou platformou. Tá je výnimočná komplexnou architektúrou pluginov a sofistikovanou sieťovou komunikáciou využívajúcou Tor. Skupina útočila na používateľov v Litve, Rusku, na Slovensku, v Turecku, Spojených arabských emirátoch, Vietname a na Ukrajine. Cieli najmä na rusky hovoriacich používateľov, ktorí sa obávajú o svoje online súkromie, a významné európske organizácie vrátane diplomatických misií a vládnych inštitúcií.
Skupina je známa tým, že útočí na finančné inštitúcie a firmy v Rusku. Od konca roka 2015 presedlala z kybernetického zločinu páchaného s cieľom finančného zisku na kyberšpionážne aktivity v rámci východnej Európy a Strednej Ázie. Predpokladá sa, že skupina je napojená na Rusko, pretože použila jeden zo svojich zero‑day exploitov systému Windows proti cieľu na Ukrajine.
Kyberšpionážna skupina známa aj ako COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto či BlueCharlie. Aktívna je minimálne od roku 2015. Je známa tým, že cieli na vládnych predstaviteľov, think‑tanky a vojenský personál v Európe a Severnej Amerike. Zameriava sa najmä na spearphishing a krádež prihlasovacích údajov k webmailovým službám. Začiatkom roka 2022 sa skupina pokúsila odcudziť prihlasovacie údaje do webových e‑mailových služieb ukrajinských vládnych predstaviteľov a zamestnancov štátnych podnikov na Ukrajine. Útočníci tieto údaje pravdepodobne využili na získanie prístupu k dôverným e‑mailovým správam alebo na krádež dokumentov z cloudových úložísk. Tieto aktivity boli s najväčšou pravdepodobnosťou súčasťou kyberšpionážnej operácie súvisiacej s prebiehajúcou vojnou medzi Ruskom a Ukrajinou. V roku 2023 vláda Spojeného kráľovstva uvalila sankcie na dvoch členov skupiny Callisto s napojením na 18. Centrum informačnej bezpečnosti Federálnej bezpečnostnej služby Ruska (FSB).
Skupina je aktívna už minimálne od roku 2013. Stála za mnohými útokmi, najmä na ukrajinské vládne inštitúcie, čo potvrdzujú viaceré správy CERT‑UA a iných oficiálnych orgánov Ukrajiny. Ukrajinská bezpečnostná služba (SBU) priradila túto skupinu k 18. Centru informačnej bezpečnosti Federálnej bezpečnostnej služby Ruska (FSB), ktoré pôsobí na okupovanom Kryme. Spoločnosť ESET sa domnieva, že skupina spolupracuje s InvisiMole. Rovnako sme zdokumentovali aj jej spoluprácu so skupinou Turla od začiatku roka 2025.
Kyberšpionážna skupina napojená na Rusko, aktívna minimálne od roku 2022. Špecializuje sa na spearphishingové kampane zamerané na krádež prihlasovacích údajov a získavanie prístupu k e‑mailovým správam využitím zraniteľností XSS v softvéri Roundcube. Medzi obvyklé ciele skupiny patria vládne a obranné organizácie v Grécku, Poľsku, Srbsku a na Ukrajine.
Skupina napojená na Rusko, aktívna minimálne od roku 2013. Je známa cielenými kyberšpionážnymi útokmi na vládne inštitúcie, vojenské subjekty a diplomatické misie. Zameriava sa najmä na ciele na Ukrajine, pričom jej aktivita výrazne vzrástla od roku 2021. Skupina útočila aj na ciele v Arménsku, Bielorusku, Grécku a Rusku. Spoločnosť ESET sa domnieva, že spolupracuje so skupinou Gamaredon napojenou na FSB.
Dezinformačná a psychologická operácia zameraná na Ukrajincov a odporcov režimu v Rusku. V roku 2023 navyše ESET odhalil spearphishingové kampane mierené na ukrajinskú firmu zo sektoru obrany a agentúru EÚ s cieľom ukradnúť prihlasovacie údaje k účtom Microsoft Office 365. Operácia Texonto v súčasnosti nie je pripisovaná konkrétnej kyberzločineckej skupine. Vzhľadom na použité taktiky, techniky a postupy, ciele kampane a spôsob šírenia správ je však vysoko pravdepodobné, že za kampaňou stojí skupina napojená na Rusko.
Skupina známa aj ako Storm‑0978, Tropical Scorpius alebo UNC2596. Ide o skupinu napojenú na Rusko, ktorá spúšťa oportunistické kybernetické útoky na vybrané odvetvia a zároveň cielené špionážne operácie s cieľom zhromažďovať spravodajské informácie. Je spájaná so šírením ransomvéru Cuba minimálne od roku 2022. V poslednom období sa zameriava najmä na ukrajinskú vládu a obranný sektor, spojencov NATO a viaceré vládne organizácie v Európe.
Skupina známa aj ako UAC‑0056, UNC2589, EmberBear, LorecBear, Lorec53 alebo TA471. Ide o kyberšpionážnu skupinu, ktorá sa zameriava na Ukrajinu a Gruzínsko. Aktívna je minimálne od roku 2021 a predpokladá sa, že je napojená na Rusko. Zaujíma sa obzvlášť o vysokopostavené ciele, predovšetkým v ukrajinskom vládnom sektore. Na napadnutých zariadeniach nasadzuje infostealery a backdoory. V roku 2022 bolo pozorované aj nasadzovanie nástroja Cobalt Strike. S vysokou mierou istoty sa jej pripisuje zodpovednosť za útok WhisperGate z roku 2022.
Skupina napojená na Rusko, ktorá vykonáva rôzne deštruktívne kybernetické útoky. Bežne je spájaná s jednotkou 74455 ruskej tajnej služby GRU. Najznámejšia je útokmi na ukrajinský energetický sektor v rokoch 2015 a 2016, ktoré viedli k výpadkom elektriny. ESET sleduje aktivity skupiny v rámci rôznych podskupín: TeleBots sa zameriava najmä na finančné subjekty na Ukrajine a GreyEnergy je známa rozsiahlym využívaním rovnomenného malvéru proti cieľom v oblasti kritickej infraštruktúry, pričom tento malvér bol detegovaný v energetických spoločnostiach v Poľsku, na Ukrajine a v Gruzínsku. V roku 2018 skupina spustila útok vymazávania dát nazvaný Olympic Destroyer proti organizátorom zimných olympijských hier v Pjongčangu. Využíva pokročilý škodlivý kód Industroyer, ktorý dokáže komunikovať so zariadeniami energetických spoločností prostredníctvom priemyselných riadiacich protokolov. V roku 2020 americké ministerstvo spravodlivosti obvinilo šiestich ruských hackerov z prípravy a realizácie viacerých útokov pripisovaných tejto skupine.
Skupina známa aj ako APT28, Fancy Bear, Forest Blizzard alebo Sofacy. Funguje minimálne od roku 2004. Ministerstvo spravodlivosti USA ju označilo za jednu zo skupín zodpovedných za hackerský útok na Demokratický národný výbor (DNC) tesne pred americkými voľbami v roku 2016 s napojením na ruskú tajnú službu GRU. Predpokladá sa tiež, že stojí za napadnutím televíznej siete TV5Monde, únikom e‑mailov Svetovej antidopingovej agentúry (WADA) a mnohými ďalšími incidentmi. Skupina má rozsiahly arzenál rôznych malvérových nástrojov, avšak v súčasnosti sa primárne zameriava na cielené phishingové kampane. Napriek tomu možno stále pozorovať nasadzovanie pokročilého malvéru skupiny.
Skupina známa aj ako APT29, Cozy Bear alebo Nobelium. Táto kyberšpionážna skupina je aktívna minimálne od roku 2008. Podľa Národného centra kybernetickej bezpečnosti Spojeného kráľovstva (NCSC) je skupina spájaná s ruskou zahraničnou spravodajskou službou SVR. Je jednou zo skupín, ktoré sa pred americkými prezidentskými voľbami v roku 2016 nabúrali do siete Demokratického národného výboru USA. V roku 2019 spoločnosť ESET odhalila rozsiahlu špionážnu operáciu tejto skupiny zameranú na viaceré ministerstvá zahraničných vecí v Európe. V roku 2020 skupina upútala pozornosť útokom na dodávateľský reťazec spoločnosti SolarWinds, pri ktorom využila techniku piggybackingu (s využitím softvéru spoločnosti SolarWinds nepozorovane prenikla do sietí jej klientov), čo viedlo ku kompromitácii významných organizácií vrátane mnohých úradov americkej vlády. V roku 2021 bola skupina zodpovedná za viacero spearphishingových kampaní zameraných na diplomatov v Európe.
Skupina známa aj ako Snake. Ide o kyberšpionážnu skupinu aktívnu minimálne od roku 2004, pričom jej začiatky môžu siahať až do konca 90. rokov. Predpokladá sa, že je súčasťou Federálnej bezpečnostnej služby Ruska (FSB). Zameriava sa najmä na významné ciele ako vládne inštitúcie a diplomatické subjekty v Európe, Strednej Ázii a na Blízkom východe. Je známe, že stála za úspešnými útokmi na veľké organizácie, napríklad na americké ministerstvo obrany v roku 2008 a na švajčiarsku spoločnosť RUAG podnikajúcu v zbrojárstve v roku 2014.
Kyberšpionážna skupina zameraná na vládne organizácie, finančné inštitúcie a médiá na Ukrajine. Aktívna je minimálne od roku 2022. Na základe cieľov, na ktoré útočí, sa so strednou mierou istoty predpokladá, že skupina je napojená na Rusko. Na napadnuté zariadenia zvykne nasadzovať nástroj LONEPAGE, čo je PowerShell downloader pomenovaný podľa výskytu slova „page“ v odkazoch C&C serverov.
Skupina známa aj ako UAC‑0020. Ide o skupinu napojenú na Rusko, ktorá sa špecializuje na kyberšpionážne útoky proti vládnym a vojenským cieľom na Ukrajine. Aktívna je minimálne od roku 2015. Predpokladá sa, že je napojená na tzv. Luhanskú ľudovú republiku.
Skupina známa aj ako UAC‑0063 alebo TAG‑110. Ide o skupinu napojenú na Rusko, ktorá sa špecializuje na kyberšpionážne útoky proti vládnym, vojenským a zahraničnopolitickým cieľom v Strednej Ázii a na Ukrajine. Aktívna je minimálne od roku 2015. Zebrocy má vo svojom arzenáli malvér určený na cielené útoky a najrôznejšie nástroje na špionáž, konkrétne na zaznamenávanie stlačených klávesov, zhotovovanie snímok obrazovky, prieskum systému, výpis a exfiltráciu súborov a podobne. Malvér sa vyvíja modulárne, čo umožňuje jeho priebežné aktualizácie a nasadzovanie nových modulov podľa potrieb útočníkov.
Skupina známa aj ako Operation C‑Major, Mythic Leopard, ProjectM, APT36 alebo Earth Karkaddan. Ide o kyberšpionážnu skupinu, ktorá cieli na indickú armádu a súvisiace subjekty v Indii, ako aj na aktivistov a občianske organizácie v Pakistane. Spoločnosť Trend Micro a iní výskumníci uvádzajú náznaky prepojenia skupiny s Pakistanom. Na šírenie malvéru využíva skupina sociálne inžinierstvo a phishing. V minulosti nasadzovala backdoory ako CrimsonRAT na zariadenia obetí so systémom Windows a príležitostne aj backdoor AndroRAT cielený na systém Android.
Skupina známa aj ako APT‑C‑23, Desert Falcons alebo Two‑tailed Scorpion. Ide o kyberšpionážnu skupinu, ktorá sa zameriava na krajiny Blízkeho východu a je aktívna minimálne od roku 2013. Najčastejšie sú palestínske a izraelské ciele vrátane orgánov činných v trestnom konaní, armády a vládnych inštitúcií, ale aj aktivistov a študentov. Skupina používa širokú škálu malvéru pre platformy Android, iOS a Windows vrátane viacerých vlastných backdoorov. Predpokladá sa, že skupina je napojená na Hamas a operuje z Pásma Gazy.
Skupina APT, ktorá sa špecializuje na kybernetickú špionáž. Predpokladá sa, že jej cieľom je krádež citlivých informácií. Často sa označuje aj ako žoldnierska skupina, ktorá výmenou za finančnú odmenu ponúka hackerské služby širokému spektru klientov. Typicky cieli na organizácie a jednotlivcov na Blízkom východe a v Južnej Ázii, pričom ako počiatočný vektor útoku využíva spearphishingové správy a falošné aplikácie.
Hacktivistická skupina podporovaná Hamasom. Prvýkrát sa objavila počas vojny medzi Izraelom a Hamasom v roku 2023. Skupina je známa nasadzovaním malvéru typu wiper proti izraelským cieľom, a to v podobe binárnych súborov pre Windows a Linux. Jej prvý wiper objavila spoločnosť Security Joes v roku 2023 a ďalší v tom istom roku identifikovala a zdokumentovala spoločnosť ESET.
Kyberšpionážna skupina z Blízkeho východu, ktorá bola identifikovaná v roku 2020. V minulosti sa zameriavala na kurdské etnikum v severnom Iraku. Na útoky využíva malvér pre systém Windows aj Android. V roku 2021 spoločnosť ESET opísala špionážnu kampaň tejto skupiny, ktorá bola šírená prostredníctvom prokurdského obsahu na Facebooku a nasadzovala backdoory na mobilné zariadenia používateľov so systémom Android.
Kyberšpionážna skupina, ktorá bola prvýkrát zdokumentovaná v roku 2022. Podľa predpokladov pôsobí v Libanone a najčastejšie cieli na izraelské organizácie. Vo svojom arzenáli má sedem vlastných backdoorov. Jeden zneužíva cloudové služby OneDrive a Dropbox na komunikáciu s riadiacimi C&C servermi a ďalšie backdoory využívajú úložiská Dropbox a Mega. Skupina tiež používa viaceré vlastné moduly na špehovanie svojich cieľov.
Skupina spájaná so Spojenými arabskými emirátmi, ktorá je aktívna od roku 2012. Známa je tým, že cieli na politických aktivistov, novinárov a disidentov na Blízkom východe. Prvýkrát ju identifikoval a opísal Citizen Lab vo svojej analýze spyvérových útokov zverejnenej v roku 2016. V roku 2019 organizácia Amnesty International prišla so záverom, že Stealth Falcon a Project Raven, údajne tvorený bývalými zamestnancami Národnej bezpečnostnej agentúry USA (NSA), sú v skutočnosti tou istou skupinou.
Známa aj ako PROMETHIUM alebo APT‑C‑41. Ide o kyberšpionážnu skupinu aktívnu minimálne od roku 2012. Primárne cieli na subjekty v Turecku, no operuje aj globálne. V minulosti útočila najmä na platformu Windows prostredníctvom svojho rovnomenného malvéru. Koncom roka 2022 však boli skupine pripísané aj dve kampane, v ktorých šírila trojanizované aplikácie pre Android.
Kyberzločinecká skupina, ktorá popri svojich aktivitách vykonáva aj kyberšpionážne operácie. Prvýkrát bola verejne odhalená v marci 2022 po tom, ako cielila na zamestnancov európskych vlád zapojených do pomoci ukrajinským utečencom len niekoľko týždňov po začiatku vojny medzi Ruskom a Ukrajinou.
Kyberšpionážna skupina známa aj ako Inception Framework. Aktívna je minimálne od roku 2014. Predpokladá sa, že ide o odnož staršej kyberšpionážnej skupiny Red October, ktorá podľa bezpečnostného blogu Chronicle (teraz už súčasť Google Security Operations) mohla byť spoločnou operáciou dvoch krajín. Skupina cieli najmä na vlády a firmy v strategických odvetviach, napríklad v obrannom priemysle, v Rusku, Európe a na Kaukaze.
Skupina známa aj ako UNC1151, DEV‑0257, PUSHCHA, Storm‑0257 alebo TA445. Aktívna je minimálne od roku 2016. Predpokladá sa, že operuje z Bieloruska. Väčšina jej operácií bola mierená na krajiny susediace s Bieloruskom, menšia časť bola pozorovaná v iných európskych krajinách. Skupina vedie vplyvové a dezinformačné kampane a útočí na rozličné vládne aj súkromné subjekty, pričom sa zameriava najmä na Ukrajinu, Poľsko a Litvu.
Kyberšpionážna skupina, ktorú ako prvá odhalila spoločnosť ESET. Aktívna je minimálne od roku 2014. Primárne cieli na zahraničné ambasády v Bielorusku. Od roku 2020 sa skupine s vysokou pravdepodobnosťou darí vykonávať útoky typu „adversary‑in‑the‑middle“ na úrovni poskytovateľov internetových služieb (ISP) v rámci Bieloruska s cieľom kompromitovať svoje ciele.
Kyberšpionážna skupina, ktorá bola prvýkrát identifikovaná v roku 2021. Predpokladá sa však, že aktívna je minimálne od roku 2020. Cieli na vlády v Európe a Strednej Ázii. Pri útokoch využíva infikované dokumenty, phishingové webové stránky a vlastný PowerShell backdoor. Od roku 2022 sa skupina špecificky zameriava aj na e‑mailové servery Zimbra a Roundcube. V roku 2023 spoločnosť ESET odhalila, že skupina zneužíva staršie zraniteľnosti XSS v softvéri Roundcube.
Kyberšpionážna skupina aktívna minimálne od roku 2011. Známa je tým, že cieli na vládne subjekty, ako sú armády, ministerstvá zahraničných vecí a štátne podniky vo východnej Európe (vrátane Ruska) a na Balkáne. Skupina pri útokoch na svoje ciele využíva spearphishingové e‑maily. V roku 2020 zneužila zraniteľnosť v prehliadači Internet Explorer, o ktorej bolo v danom čase verejne dostupných len veľmi málo informácií a žiadne prípady reálneho využitia. Je pravdepodobné, že skupina si tento exploit kúpila od sprostredkovateľa.
Skupina známa aj ako False Hunter alebo APT‑Q‑12. Ide o kyberšpionážnu skupinu napojenú na Južnú Kóreu, ktorá je aktívna minimálne od roku 2018. Zameriava sa najmä na významné ciele, ako sú vládne inštitúcie, priemyselné odvetvia a think‑tanky. Skupina láka svoje obete na zaujímavé podujatia, prípadne sa útočníci vydávajú za študentov, ktorí sa zaujímajú o názory na relevantné výskumné témy. Používa vlastné downloadery a modulárny backdoor, ktoré šíri medzi obete prostredníctvom spearphishingových e‑mailov. Pre operácie tejto skupiny je typické viacfázové nasadzovanie downloaderov a vlastný backdoor schopný načítavať pluginy.
Považuje sa za podskupinu skupiny Lazarus, ktorá je spájaná so Severnou Kóreou. Jej aktivity siahajú do roku 2009. Skupina sa primárne zameriava na ciele v Južnej Kórei vrátane vládnych a vojenských subjektov, ako aj komerčných organizácií, napríklad bánk, kryptobúrz a online brokerov. Jej operácie sú orientované buď na kyberšpionáž, alebo na finančný zisk. Medzi verejne známe incidenty tejto skupiny patria útoky na medzinárodný veľtrh leteckej a obrannej techniky ADEX v roku 2015 v Soule a na indickú jadrovú elektráreň Kudankulam (KKNPP) v roku 2019.
Skupina napojená na Severnú Kóreu, ktorá bola prvýkrát zdokumentovaná v roku 2023. Jej operácie sú orientované primárne na finančný zisk, keďže skupina útočí na softvérových vývojárov na platforme Windows, Linux a macOS s cieľom krádeže kryptomien. Pravdepodobným sekundárnym cieľom je aj kyberšpionáž. Skupina používa falošné profily náborových pracovníkov na sociálnych sieťach a oslovuje softvérových vývojárov, často takých, ktorí pracujú na kryptomenových projektoch. V rámci fiktívneho pracovného pohovoru sa potenciálnym obetiam pošlú trojanizované zdrojové kódy softvérového projektu, ktoré im na zariadenie nasadia backdoory.
Kyberšpionážna skupina napojená na Severnú Kóreu, ktorá je aktívna minimálne od roku 2013. Pôvodne cielila na subjekty spojené s Južnou Kóreou, no v posledných rokoch výrazne rozšírila svoje aktivity aj na Spojené štáty a európske krajiny. Útočí na vládne inštitúcie, výskumné organizácie, kryptomenové spoločnosti a súkromné firmy, pričom jej hlavným cieľom je kyberšpionáž a získavanie spravodajských informácií.
Skupina napojená na Severnú Kóreu, o ktorej analytici prvýkrát informovali v roku 2017. Jej primárnym cieľom sú ruské a juhokórejské politické inštitúcie. Skupina využíva na preniknutie do systému spearphishing a následne vlastný nástroj vzdialenej správy (RAT), ktorý zabezpečuje dlhodobý prístup k zariadeniu obete. Niektorí bezpečnostní výskumníci zaraďujú túto skupinu pod ScarCruft (APT37), Lazarus alebo Kimsuky, avšak podľa spoločnosti ESET tieto tvrdenia nemožno potvrdiť.
Skupina známa aj ako HIDDEN COBRA. Ide o skupinu APT napojenú na Severnú Kóreu, ktorá je aktívna minimálne od roku 2009. Má na svedomí významné bezpečnostné incidenty, ako napríklad hackerský útok na filmové štúdio Sony Pictures Entertainment v roku 2016, kybernetické krádeže v hodnote desiatok miliónov dolárov za rok 2016 či šírenie malvéru WannaCryptor (tiež známeho ako WannaCry) v roku 2017. Táto skupina má od roku 2011 na svojom konte celú sériu útokov zameraných na širokú verejnosť aj kritickú infraštruktúru v Južnej Kórei. Túto skupinu charakterizuje rôznorodosť, početnosť a výstrednosť realizovaných kampaní. Je známa tým, že sa zapája do všetkých troch oblastí kybernetického zločinu: kyberšpionáže, sabotáže a útokov motivovaných finančným ziskom.
Názov, ktorým spoločnosť ESET označuje sériu útokov pripisovaných tejto skupine. Tieto útoky sa objavujú už minimálne od roku 2019 a sú cielené na spoločnosti z oblasti letectva, armády a obrany. Operácia je zaujímavá tým, že pracuje s technikou spearphishingu využitím platformy LinkedIn a zároveň zapája špeciálne metódy, aby sa efektívne vyhýbala odhaleniu. Ako napovedá názov In(ter)ception, jej hlavným cieľom sa zdá byť firemná špionáž.
Skupina známa aj ako APT37 alebo Reaper. Pravdepodobne ide o severokórejskú špionážnu skupinu, ktorá je aktívna minimálne od roku 2012. Jej útoky sú cielené najmä na Južnú Kóreu, ale aj na niektoré ďalšie ázijské krajiny. Primárnym cieľom sa zdajú byť vládne a vojenské organizácie či podniky z rôznych odvetví, ktoré sú zaujímavé z pohľadu Severnej Kórey. Skupina má vo svojom arzenáli širokú škálu downloaderov, nástrojov na exfiltráciu údajov a backdoorov používaných na špionážne účely.
Skupina zameraná na kybernetické sabotáže, pri ktorej sa predpokladá napojenie na Irán. Aktívna je od roku 2020. Útoky sú cielené na obete v Izraeli a Spojených arabských emirátoch. Skupina pôvodne používala wiper maskovaný ako ransomvér, ale neskôr ho upravila na plnohodnotný ransomvér. Zneužíva známe zraniteľnosti v aplikáciách pripojených k internetu na inštaláciu webshellov, pričom pred laterálnym rozšírením do siete vykoná interný prieskum.
Skupina bola predtým sledovaná pod názvami APT35 a APT42 (taktiež aj ako Charming Kitten, TA453 alebo PHOSPHORUS). Ide o skupinu pravdepodobne podporovanú Iránom. Jej cieľom sú vzdelávacie, vládne a zdravotnícke organizácie, ako aj novinári a aktivisti bojujúci za ľudské práva. Najaktívnejšia je v Izraeli, na Blízkom východe a v Spojených štátoch. Počas pandémie sa zameriavala na organizácie zaoberajúce sa ochorením COVID‑19 vrátane Svetovej zdravotníckej organizácie (WHO) a Gilead Pharmaceuticals, ako aj na pracovníkov v oblasti medicínskeho výskumu.
Kyberšpionážna skupina napojená na Irán, ktorá je aktívna minimálne od roku 2017. Prvýkrát bola identifikovaná v roku 2023, keď pri útoku na kurdských diplomatických predstaviteľov využila vlastný backdoor. V roku 2024 v útokoch na kurdských diplomatov pokračovala a medzi svoje ciele zaradila aj irackých vládnych predstaviteľov a regionálneho poskytovateľa telekomunikačných služieb v Uzbekistane. S vysokou mierou istoty sa predpokladá, že ide o podskupinu skupiny OilRig, známej aj ako APT34 alebo Hazel Sandstorm (predtým EUROPIUM), ktorá nesie podobné znaky ako skupiny BladeHawk a FreshFeline.
Skupina známa kybernetickými útokmi cielenými na izraelské organizácie. Podľa predpokladov sídli v Turecku, no vykonáva útoky zodpovedajúce záujmom iránskej vlády. Existuje prepojenie medzi touto skupinou a skupinou Frankenstein, ktorá v minulosti podporovala záujmy palestínskych území a ktorej konanie tiež zodpovedá cieľom iránskej vlády. Skupina sa podieľa na hackerských operáciách, únikoch a ničení údajov.
Kampaň riadená skupinou APT‑C‑50. V rámci nej skupina od roku 2016 vykonávala mobilné sledovacie operácie proti iránskym občanom, o čom v roku 2018 informovala spoločnosť Check Point. V roku 2019 spoločnosť Trend Micro identifikovala kampaň zameranú na Blízky východ, ktorá bola pravdepodobne spojená so skupinou Domestic Kitten a ktorá dostala názov Bouncing Golf. V tom istom roku informovala spoločnosť Qianxin o ďalšej kampani skupiny Domestic Kitten, ktorá bola opäť cielená na Irán. V roku 2020 spoločnosť 360 Core Security zverejnila informácie o sledovacích aktivitách Domestic Kitten, ktoré boli mierené na protivládne skupiny na Blízkom východe. Posledná verejne dostupná správa je z roku 2021 a zverejnila ju spoločnosť Check Point.
Skupina známa aj ako MosesStaff. Ide o iránsku kyberšpionážnu skupinu, ktorá cieli na rôzne sektory v Izraeli, Taliansku, Indii, Nemecku, Čile, Turecku, Spojených arabských emirátoch a Spojených štátoch amerických. Aktívna je minimálne od roku 2021, keď použila dovtedy neznámy backdoor proti dvom spoločnostiam v Izraeli. V tom istom roku použila pri útoku na izraelské ciele ransomvér. Skupina využíva neopravené známe zraniteľnosti v Microsoft Exchange serveroch pripojených k internetu ako primárny spôsob preniknutia do siete, po ktorom nasleduje laterálne šírenie a nasadenie vlastného backdooru.
Skupina známa aj ako C5, Smoke Sandstorm, TA455 alebo UNC1549. Ide o kyberšpionážnu skupinu, ktorá koná v súlade so záujmami iránskej vlády. Aktívna je minimálne od roku 2022. Cieli na organizácie na Blízkom východe (najmä v Izraeli, Ománe a Saudskej Arábii) a v Spojených štátoch amerických, a to predovšetkým v oblasti letectva, kozmonautiky a obranného priemyslu. Jej postupy sa prekrývajú s technikami skupiny Tortoiseshell, ktorá je napojená na organizáciu elektronického boja a kybernetickej obrany (EWCD) iránskeho zboru islamských revolučných gárd (IRGC), a rovnako aj s technikami skupiny APT33, ktorá je taktiež spájaná s IRGC‑EWCD. Medzi typické metódy tejto skupiny patrí spearphishing s použitím typosquattingu domén (zámerné preklepy v názve), sprejovanie hesiel a vývoj a nasadzovanie vlastných backdoorov.
Skupina známa aj ako HEXANE alebo Storm‑0133. Ide o podskupinu skupiny OilRig, aktívnu minimálne od roku 2017. Jej útoky sú mierené na organizácie na Blízkom východe, pričom sa osobitne zameriava na izraelské ciele vrátane národných a lokálnych vládnych inštitúcií a zdravotníckych organizácií. Medzi hlavné nástroje spájané s touto skupinou patria rôzne backdoory a downloadery, ktoré využívajú legitímne cloudové služby na komunikáciu s riadiacimi C&C servermi.
Kyberšpionážna skupina spájaná s iránskym ministerstvom spravodajských služieb a bezpečnosti (MOIS). Aktívna je minimálne od roku 2017. Jej útoky sú orientované na Blízky východ a Severnú Ameriku, predovšetkým na telekomunikačných operátorov, vládne organizácie či ropný a energetický priemysel. Skupina často používa backdoory na báze skriptov ako PowerShell. Jej najbežnejšou metódou preniknutia do systému sú spearphishingové e‑maily s prílohami v podobe PDF súborov, ktoré obsahujú odkazy smerujúce na úložiská typu Egnyte a OneHub.
Skupina známa aj ako APT34 alebo Hazel Sandstorm (predtým EUROPIUM). Ide o kyberšpionážnu skupinu, ktorá podľa všeobecných predpokladov sídli v Iráne. Aktívna je minimálne od roku 2014. Skupina cieli na vlády krajín Blízkeho východu a rôzne priemyselné sektory vrátane chemického, energetického, finančného a telekomunikačného odvetvia. Medzi jej významné kampane patrí DNSpionage z rokov 2018 a 2019, ktorá cielila na obete v Libanone a Spojených arabských emirátoch, kampaň HardPass z rokov 2019 až 2020, ktorá využívala sieť LinkedIn na útoky na energetický a vládny sektor na Blízkom východe, útok na telekomunikačnú organizáciu na Blízkom východe z roku 2020 a útoky na organizácie na Blízkom východe z roku 2023. Okrem týchto incidentov spoločnosť ESET sleduje aj ďalšie aktivity súvisiace so skupinou OilRig pod samostatnými podskupinami: Lyceum, ShroudedSnooper a BladedFeline.
Známa aj ako Scarred Manticore alebo Storm‑0861. Ide o podskupinu skupiny OilRig, aktívnu minimálne od roku 2019. Microsoft ju prvýkrát identifikoval počas deštruktívnych útokov na albánsku vládu v rokoch 2021 – 2022, keď zaistila počiatočný prienik do siete pre ďalšie podskupiny OilRigu zneužitím aplikácií pripojených k internetu. V roku 2023 skupina uskutočnila útoky na vládne a vojenské organizácie a telekomunikačné spoločnosti na Blízkom východe.
Skupina známa aj ako Crimson Sandstorm, Imperial Kitten, TA456 alebo Yellow Liderc. Ide o kyberšpionážnu skupinu aktívnu minimálne od roku 2019. Na preniknutie do systému využíva skupina techniky sociálneho inžinierstva a phishingové e‑maily. Vo veľkej miere sa spolieha na makrá balíka Microsoft Office a nasadenie škodlivého kódu v počiatočnom štádiu na účely prieskumu systému a siete. Cieli najmä na námorné, prepravné a logistické odvetvia v Spojených štátoch, Európe a na Blízkom východe.
Kyberšpionážna skupina zameraná na ropný, plynárenský a strojársky sektor na Blízkom východe. Aktívna je minimálne od roku 2019, keď bol objavený jej prvý backdoor. V roku 2021 bolo pozorované použitie ďalších nástrojov skupiny.
Skupina známa aj ako APT‑C‑35 alebo SectorE02. Ide o skupinu napojenú na Indiu, ktorá je aktívna minimálne od roku 2016. Správa organizácie Amnesty International z roku 2021 prepojila malvér tejto skupiny s indickou spoločnosťou zaoberajúcou sa kybernetickou bezpečnosťou, ktorá mohla predávať spyvér alebo poskytovať služby nájomných hackerov vládam v regióne. Skupina cieli na organizácie v Južnej Ázii použitím malvéru pre systémy Windows a Android, pričom väčšina jej obetí je z Pakistanu, Bangladéša, Srí Lanky, Nepálu a Číny. Kampane sú zamerané na špionáž, pričom skupina využíva charakteristickú štruktúru malvéru, ktorého hlavným cieľom je zber a exfiltrácia údajov.
Názov, ktorý ESET používa pre podskupinu skupiny APT15 zameranú predovšetkým na vládne organizácie a telekomunikačné spoločnosti v Afrike a na Blízkom východe. Aktívna je minimálne od roku 2017. V roku 2022 spoločnosť Bitdefender zdokumentovala aktivity tejto skupiny namierené na telekomunikačný sektor na Blízkom východe. V roku 2023 kybernetická organizácia Unit 42 zverejnila analýzu útoku skupiny na vládne siete v Iráne. V roku 2021 ESET preukázal prepojenia medzi touto skupinou a skupinou, ktorú spoločnosť Kaspersky sleduje pod názvom CloudComputating a ktorá je aktívna minimálne od roku 2012. ESET zaznamenal aj viaceré prepojenia s ďalšími podskupinami APT15, ako sú Mirage, Ke3chang a DigitalRecyclers.
Skupina APT napojená na Čínu, ktorá uskutočňuje kyberšpionážne operácie proti čínskym aj japonským jednotlivcom a organizáciám. Aktívna je minimálne od roku 2018. Skupinu objavili výskumníci spoločnosti ESET v roku 2020, keď detegovali podozrivé súbory na systéme v Číne. Útočníci tejto skupiny dokážu vykonávať útoky typu „adversary‑in‑the‑middle“, v rámci ktorých šíria malvér prostredníctvom aktualizácií legitímneho softvéru a skrývajú umiestnenie svojich riadiacich C&C serverov zachytávaním komunikácie generovanej malvérom.
Skupina známa aj ako Volt Typhoon alebo Vanguard Panda. Ide o kyberšpionážnu skupinu napojenú na Čínu, ktorá je aktívna minimálne od roku 2022. Cieli najmä na obranný priemysel a kritické organizácie v Spojených štátoch amerických. Skupina sa prvýkrát dostala do širšej pozornosti v roku 2023 po tom, čo boli odhalené jej útoky na kritickú infraštruktúru na ostrove Guam, americkom území v západnom Pacifiku, kde sa nachádza viacero amerických vojenských základní.
Ide o kyberšpionážnu skupinu napojenú na Čínu, ktorá je aktívna minimálne od začiatku roka 2022. Zameriava sa predovšetkým na vládne inštitúcie v juhovýchodnej Ázii. Skupina je známa svojimi zdokumentovanými komponentmi TONEINS, TONESHELL a PUBLOAD, využívaním verejne dostupných nástrojov a exfiltračnými technikami zapájajúcimi cloudové služby a služby zdieľania súborov. Niektoré z jej aktivít sa pripisujú skupine Mustang Panda (známej aj ako Earth Preta alebo Stately Taurus). ESET však tieto aktivity priraďuje k samostatnej skupine.
Kyberzločinecká skupina, ktorá bola prvýkrát verejne nahlásená v roku 2024, avšak podľa telemetrie spoločnosti ESET siahajú stopy jej aktivít už do začiatku roka 2022. Skupina realizuje kyberšpionážne operácie proti vládnym inštitúciám a technologickému sektoru v Rusku a proti think‑tankom v Spojených štátoch. Jej operácie sa vyznačujú spearphishingovými e‑mailmi, ktoré v prílohe obsahujú archív. Skupina využíva techniku „side‑loading“ s tromi rôznymi komponentmi na doručenie hlavného backdooru a následné prijímanie príkazov zneužitím cloudových služieb, ako sú Yandex, OneDrive alebo Dropbox.
Kyberzločinecká skupina, ktorú objavila spoločnosť ESET. Aktívna je minimálne od roku 2018. Pravidelne vykonáva špionážne operácie proti vládnym organizáciám v Európe. S nízkou mierou istoty sa predpokladá, že skupina je napojená na Ke3chang a BackdoorDiplomacy.
Skupina známa aj ako BRONZE HIGHLAND, Daggerfly a StormBamboo. Ide o skupinu APT napojenú na Čínu, ktorá je aktívna minimálne od roku 2012. Realizuje kyberšpionážne operácie proti krajinám a organizáciám, ktoré sa stavajú proti záujmom Číny podporou hnutí za nezávislosť, napríklad v tibetskej diaspóre. Cieli tiež na náboženské a akademické inštitúcie na Taiwane a v Hongkongu a podporovateľov demokracie v Číne. Spoločnosť ESET zaznamenala rozšírenie niektorých aktivít skupiny aj na krajiny ako Vietnam, Mjanmarsko a Južná Kórea. Skupina má na konte pôsobivý zoznam použitých techník vrátane útokov na dodávateľský reťazec či útokov typu watering‑hole a DNS hijacking. Preukazuje tiež vysokú úroveň schopností vo vývoji malvéru, čo dokazuje jej arzenál multiplatformových backdoorov pre Windows, macOS a Android.
Kyberšpionážna skupina napojená na Čínu, ktorá je podľa predpokladov aktívna minimálne od roku 2019. Pôvodne bola známa útokmi na hotely po celom svete, avšak cielila aj na vlády, medzinárodné organizácie, obchodné skupiny, technické spoločnosti a právnické firmy. Skupina je jediným známym používateľom backdooru SparrowDoor. Je prepojená so skupinou Earth Estries, hoci presná povaha tohto prepojenia nie je úplne známa. Bola tiež verejne spájaná so skupinou Salt Typhoon, avšak vzhľadom na absenciu akýchkoľvek technických indikátorov ich ESET sleduje ako samostatné skupiny.
Skupina známa aj ako Earth Lusca, TAG‑22, Aquatic Panda alebo Red Dev 10. Ide o kyberšpionážnu skupinu, ktorú podľa predpokladov prevádzkuje čínska firma I‑SOON a ktorá spadá pod skupinu Winnti Group. ESET zverejnil analýzu tejto skupiny začiatkom roka 2020, keď intenzívne útočila na univerzity v Hongkongu počas tamojších občianskych protestov. Opísali sme aj jej globálnu kampaň zameranú na vlády, mimovládne organizácie a think‑tanky naprieč Áziou, Európou a Spojenými štátmi. Skupina je tiež známa útokmi typu watering‑hole.
Skupina známa aj ako ETHEREAL PANDA. Ide o skupinu APT napojenú na Čínu, ktorá je aktívna minimálne od roku 2021. Jej útoky sú najčastejšie cielené na taiwanské organizácie. Skupina využíva webshell China Chopper, nástroj Juicy Potato na zvyšovanie oprávnení a jeho variácie, ako aj nástroj Mimikatz. Na obchádzanie detekcie vo veľkej miere používa binárne súbory operačného systému LOLBins (Living Off the Land Binaries).
Skupina APT napojená na Čínu. Výskumníci spoločnosti ESET jej dali tento názov z dôvodu dlhodobého používania falošných súborov písiem v adresári C:\Windows\Fonts (minimálne od roku 2022), ktoré obsahovali skrytý škodlivý kód spúšťaný konkrétnymi loadermi. Skupina cieli prevažne na vládne organizácie v Kirgizsku, Uzbekistane, Kazachstane a Pakistane.
Skupina APT napojená na Čínu, ktorá cieli na rôzne odvetvia vo východnej Európe a Strednej Ázii. Skupina používa backdoor Zmm a trójskeho koňa pre vzdialený prístup Trochilus RAT. Backdoor Zmm vyvíja skupina StartupNation, ktorá zároveň vyvíja aj Mikroceen RAT používaný skupinou APT SixLittleMonkeys.
Skupina známa aj ako Soft Cell, Alloy Taurus, Red Moros alebo Othorene. Skupina APT napojená na Čínu, ktorá cieli na poskytovateľov telekomunikačných služieb a vládne organizácie po celom svete. Známa je aj útokmi na akademický sektor. Vo svojom arzenáli má vlastný backdoor napísaný v C++, webshell IIS založený na webshelli China Chopper, rôzne nástroje na krádež prihlasovacích údajov vychádzajúce z Mimikatz a množstvo bežne dostupných nástrojov.
Kyberšpionážna skupina napojená na Čínu, ktorá je aktívna minimálne od roku 2014. V tom istom roku spoločnosť G DATA zverejnila správu o operácii TooHash, ktorej obete podľa dokumentov použitých v kampani pochádzali z východnej Ázie. Útočníci používali spearphishingové správy s prílohami, pričom zneužili v tom čase známu zraniteľnosť v Microsoft Office, ako aj tri komponenty, z ktorých dva boli podpísané ukradnutým certifikátom. V roku 2016 spoločnosť Verint Systems informovala na konferencii HITCON o novej aktivite v rámci operácie TooHash, pri ktorej skupina stále využívala ten istý exploit balíka Microsoft Office ako v roku 2014.
Skupina aktívna minimálne od roku 2023. Ide o kyberšpionážnu skupinu napojenú na Čínu, ktorá sa zameriava na vývoj backdoorov a využíva legitímne služby ako Discord, Slack a file.io na komunikáciu s riadiacimi C&C servermi a exfiltráciu údajov. Podľa telemetrie spoločnosti ESET skupina od roku 2025 cieli na vládne inštitúcie v Mongolsku.
Kyberšpionážna skupina napojená na Čínu, ktorá je aktívna minimálne od roku 2009. Svoj názov získala podľa častých odkazov na Google v kóde a je známa využívaním tzv. drive‑by kompromitácií (malvér sa stiahne bez vedomia používateľa pri bežnej návšteve webu). Skupina má v arzenáli malvér pre systémy Windows, OS X aj Android. Skupina bola prvýkrát zdokumentovaná v roku 2014, keď použila backdoor pre OS X pri útokoch na rôzne technologické a technické podniky po celom svete, ako aj na mimovládne organizácie orientované na Áziu. V roku 2020 spoločnosť Lookout objavila štyri backdoory pre systém Android, ktoré boli použité pri kybernetických útokoch cielených na Ujgurov, Tibeťanov a moslimské komunity po celom svete. Tieto útoky boli pripísané skupine na základe prelínajúcej sa sieťovej infraštruktúry. Hoci viaceré zdroje tvrdia, že skupina je prepojená so skupinou APT15, výskumníci spoločnosti ESET nedisponujú dostatočnými dôkazmi na potvrdenie tohto prepojenia, a preto ju naďalej sledujú ako samostatnú skupinu.
Ke3chang je názov, ktorý spoločnosť ESET používa pre podskupinu skupiny APT15 zameranú primárne na vládne organizácie a diplomatické misie v Európe a Latinskej Amerike. Pomenovanie skupiny vychádza zo správy spoločnosti Mandiant o operácii Ke3chang z roku 2013. ESET tento názov používa aj pre následné aktivity APT15, ktoré v rokoch 2016 až 2021 zaznamenali a nahlásili rôzne bezpečnostné organizácie. Operácie tejto skupiny sa vyznačujú počiatočným nasadením jednoduchých backdoorov s obmedzenými schopnosťami, pričom v ďalšej fáze útočníci skupiny manuálne spúšťajú príkazy a na prieskum využívajú vstavané a verejne dostupné nástroje.
Známa aj ako SuperJumper. Ide o sieť ORB (Operational Relay Box) bežiacu na virtuálnych privátnych serveroch (VPS) po celom svete. Aktívna je minimálne od roku 2023. Túto skrytú infraštruktúru využíva viacero Čínou podporovaných útočníckych skupín vrátane DigitalRecyclers a BackdoorDiplomacy, aby anonymizovali svoju sieťovú komunikáciu a zakryli svoj skutočný pôvod.
Skupina APT napojená na Čínu, ktorú objavila spoločnosť ESET v roku 2024. Jej cieľom sú vládne inštitúcie v Malajzii, na ktorých vykonáva kyberšpionážnu činnosť. Skupina používa jedinečný vlastný malvér, pomocou ktorého zhromažďuje históriu z webových prehliadačov obetí a podľa nej rozhoduje, kam nasadiť backdoor využívajúci cloudovú službu Microsoft OneDrive. Skupina tiež zneužíva skupinovú politiku (Group Policy) služby Active Directory na distribúciu svojho malvéru a následné laterálne šírenie. Skupina sa v menšej miere prelína so skupinou ToddyCat, konkrétne pokiaľ ide o cesty k súborom a používanie SoftEther VPN. Celkový arzenál nástrojov oboch skupín sa však líši.
Skupina známa aj ako Lotus Panda a Billbug. Ide o skupinu APT napojenú na Čínu, ktorá cieli na vládne a námorné organizácie v juhovýchodnej Ázii. Prvýkrát bola odhalená v roku 2015. Skupina používa backdoor Elsentric a rôzne ďalšie nástroje, ako sú Impacket a Venom proxy.
Skupina známa aj ako APT27 alebo Emissary Panda. Ide o kyberšpionážnu skupinu, ktorá cieli najmä na vládne inštitúcie, telekomunikačné spoločnosti a medzinárodné organizácie. Aktívna je v Strednej Ázii, na Blízkom východe, v Mongolsku, Hongkongu a Severnej Amerike. Jednou z charakteristických techník tejto skupiny je využívanie tzv. side‑loadingu knižnice DLL na načítanie vlastných backdoorov.
Skupina známa aj ako Earth Kasha, ktorá je aktívna minimálne od roku 2019. Táto skupina napojená na Čínu cieli predovšetkým na firmy a organizácie v Japonsku, ale aj na subjekty v iných krajinách s väzbami na Japonsko. ESET ju považuje za podskupinu fungujúcu v rámci APT10. Podľa dostupných správ skupina útočí na médiá, spoločnosti pôsobiace v oblasti obrany, think‑tanky, diplomatické organizácie, finančné a akademické inštitúcie, ako aj výrobcov. Zameriava sa na špionáž a exfiltráciu súborov, ktoré sú pre ňu hodnotné.
Skupina známa aj ako TA416, RedDelta, PKPLUG, Earth Preta alebo Stately Taurus. Ide o kyberšpionážnu skupinu, ktorá pravdepodobne sídli v Číne. Primárne cieli na vládne inštitúcie a mimovládne organizácie. Preslávila sa síce kampaňou namierenou na Vatikán v roku 2020, no väčšina jej obetí pochádza z východnej a juhovýchodnej Ázie, obzvlášť z Mongolska. Vo svojich kampaniach skupina často spúšťa zdieľaný malvér pomocou vlastných loaderov.
Skupina známa aj ako APT31. Ide o kyberšpionážnu skupinu napojenú na Čínu, ktorá cieli primárne na vládne subjekty v Európe. Používa vlastný škodlivý kód, ktorý nasadzuje rôznymi spôsobmi vrátane techník side‑loadingu knižnice DLL a BYOVS (Bring Your Own Vulnerable Software). Za zmienku stojí, že skupina disponuje širokým arzenál vlastných nástrojov, z ktorých niektoré ešte neboli pozorované v reálnom prostredí.
Skupina napojená na Čínu, ktorá je aktívna minimálne od roku 2018. Uskutočňuje špionážne operácie cielené na jednotlivcov a organizácie v Číne, na Taiwane, v Hongkongu, Južnej Kórei, Spojených štátoch amerických a na Novom Zélande. Skupina používa vlastný backdoor a jej hlavnou technikou preniknutia do systému je zneužitie legitímnych aktualizácií, keď sa komunikácia presmeruje na servery kontrolované útočníkmi prostredníctvom škodlivého kódu nasadeného na úrovni siete. Okrem toho skupina získava prístup aj zneužívaním zraniteľností vo webových serveroch a v roku 2023 uskutočnila útok na dodávateľský reťazec.
Skupina APT aktívna minimálne od roku 2014. Cieli na vládny, obranný a telekomunikačný sektor v Strednej Ázii, Indii a Pakistane. Predpokladá sa, že je súčasťou jednotky 69010 Ľudovej oslobodzovacej armády. Je jednou zo skupín s prístupom k backdooru ShadowPad.
Skupina APT napojená na Čínu, ktorá je aktívna minimálne od roku 2008. Vykonáva kybernetickú špionáž a sledovacie operácie na území Číny, pričom cieli na tamojších občanov aj zahraničné osoby, spoločnosti, vzdelávacie inštitúcie a vládne subjekty. Aktivity tejto skupiny spadajú pod operácie pripisované skupine LuoYu (známej aj ako CASCADE PANDA). Skupina využíva techniku „adversary‑in‑the‑middle“ a ťaží z prístupu k centrálnej infraštruktúre internetu v Číne, vďaka čomu dokáže zneužívať legitímne softvérové aktualizácie a nasadzovať škodlivý kód pre systémy Windows a Android.
Skupina APT, ktorá cieli na subjekty vo východnej a juhovýchodnej Ázii. Aktívna je minimálne od roku 2020. Spoločnosť ESET sa domnieva, že skupina sídli v Číne. Jej charakteristickým nástrojom je modulárny malvér navrhnutý s dôrazom na zaistenie nenápadného vzdialeného prístupu.
Skupina APT, ktorej taktiky, techniky a postupy sa čiastočne prelínajú so skupinou APT41 (známou aj ako BARIUM). Hoci skupina pôsobí predovšetkým vo východnej a juhovýchodnej Ázii, cieli aj na organizácie z rôznych odvetví po celom svete, obzvlášť na akademickú sféru. Je tiež jednou zo skupín s prístupom k backdooru ShadowPad.
Skupina známa aj ako IndigoZebra alebo SMAC, ktorá je aktívna minimálne od roku 2013. Podľa dostupných správ je táto Čínou podporovaná skupina zodpovedná za útoky na politické subjekty v niektorých krajinách Strednej Ázie, konkrétne v Afganistane, Uzbekistane a Kirgizsku. Výskumníci spoločnosti ESET zaznamenali útoky skupiny aj v Rovníkovej Guinei, Rusku, Tadžikistane a Izraeli.
Skupina, ktorá vyvíja a udržiava malvér pre viaceré skupiny APT napojené na Čínu. Aktívna je minimálne od roku 2016. Spoločnosť ESET sa domnieva, že skupina poskytuje svoj softvér skupinám APT napojeným na Čínu, ktoré sledujeme pod názvami SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 a TA410. Skupina vyvinula súbor nástrojov HDMan, malvér Mikroceen RAT (známy aj ako BYEBY), backdoor Zmm a backdoor BeRAT.
Špionážna skupina napojená na Čínu, ktorá operuje z autonómnej oblasti Vnútorné Mongolsko v Čínskej ľudovej republike. Skupinu objavila spoločnosť ESET v roku 2024, keď cielila na predajcu áut vo Francúzsku. Útočila aj na vládne inštitúcie v Mongolsku a na právnickú firmu v Južnej Amerike. Využíva širokú škálu nástrojov, pričom väčšina sa zvykne pri Čínou podporovaných skupinách opakovať. Táto skupina je tiež zákazníkom StartupNation.
Zastrešujúca kyberšpionážna skupina známa predovšetkým útokmi na organizácie pôsobiace v sektore verejných služieb v USA a na diplomatické subjekty na Blízkom východe a v Afrike. Aktívna je minimálne od roku 2018 a prvýkrát bola verejne odhalená v roku 2019. Tvoria ju tri podskupiny, ktoré ESET označuje ako JollyFrog, LookingFrog a FlowingFrog. V roku 2020 bola skupine TA410 pripísaná aj novoobjavená a veľmi komplexná rodina malvéru FlowCloud.
Skupina APT známa aj ako ThunderCats. Je aktívna minimálne od roku 2014. Jej cieľom sú vládne organizácie vo východnej Ázii, obzvlášť v Mongolsku a Rusku. Spoločnosť ESET sa domnieva, že skupina operuje z Pekingu v Čínskej ľudovej republike. Skupina používa vlastné backdoory aj zdieľané nástroje. Je tiež jednou zo skupín s prístupom k backdooru ShadowPad.
Skupina APT napojená na Čínu, ktorá je aktívna minimálne od roku 2021. Podniká kyberšpionážne operácie cielené na jednotlivcov, spoločnosti v hazardnom priemysle aj neznáme subjekty na Filipínach, v Spojených arabských emirátoch a v Číne. Výskumníci spoločnosti ESET objavili túto skupinu po tom, čo sa do populárnej čínskej aplikácie Sogou Pinyin stiahla škodlivá aktualizácia. Skupina dokáže vykonávať útoky typu „adversary‑in‑the‑middle“, ktoré jej umožňujú presmerovať sieťovú komunikáciu a nasadzovať vlastný malvér prostredníctvom aktualizácií.
Skupina APT známa aj ako BRONZE BUTLER alebo REDBALDKNIGHT, ktorá je podľa predpokladov aktívna minimálne od roku 2006. Cieli najmä na krajiny v regióne APAC. Skupina je známa svojimi kyberšpionážnymi operáciami, ktoré sa zameriavajú na krádež utajovaných informácií a duševného vlastníctva.
Skupina napojená na Čínu používajúca vlastný modulárny malvér, ktorý spoločnosť ESET pomenovala GrapHop.
Skupina napojená na Čínu, ktorá je aktívna minimálne od roku 2023. Vykonáva kyberšpionážne operácie cielené na subjekty na Blízkom východe. Čiastočne sa prelína so Space Pirates a skupinou, ktorá používa backdoor Zardoor. Má prístup k rôznym škodlivým kódom a je tiež zákazníkom StartupNation.
Známa aj ako ToddyCat. Skupinu objavili výskumníci spoločnosti ESET v roku 2021 počas vyšetrovania útokov na Microsoft Exchange servery, v ktorých útočníci zneužívali zraniteľnosť ProxyLogon. V súvislosti s tým sa predpokladá, že ide o skupinu APT napojenú na Čínu. Podľa spoločnosti Kaspersky je aktívna minimálne od roku 2020. V minulosti cielila na organizácie v Nepále, Vietname, Japonsku, Bangladéši a na Ukrajine. Skupina pri svojich útokoch zvyčajne kombinuje používanie vlastného malvéru a verejne dostupných hackerských nástrojov.
Kyberšpionážna skupina, o ktorej prvýkrát informovala spoločnosť Symantec v roku 2022. Je prepojená s ďalšími Čínou podporovanými skupinami APT, ako sú SixMonkeys a FishMonger. Skupina využíva známe rodiny malvéru a je tiež zákazníkom StartupNation.
Skupina aktívna minimálne od roku 2012. Je známe, že sídli v čínskom meste Čcheng‑tu v provincii S’-čchuan. Má na svojom konte viacero významných útokov na dodávateľský reťazec v odvetví videohier a vývoja softvéru. Tieto útoky viedli k distribúcii trojanizovaných programov, ktoré boli použité na kompromitáciu ďalších obetí. Skupina je tiež známa kompromitovaním rôznych cieľov v ďalších sektoroch ako zdravotníctvo a vzdelávanie.
Kyberšpionážna skupina napojená na Čínu, ktorá je aktívna minimálne od roku 2020. Spoločnosť ESET sa domnieva, že skupina operuje z Pekingu. Zameriava sa najmä na ciele v Mongolsku, no útočila už aj na subjekty v Kirgizsku, Vietname, Turecku, Indonézii a Namíbii. Cieli na vládne a iné organizácie vo verejnom sektore, ako aj na súkromné spoločnosti. Skupina používa vlastné aj verejne dostupné nástroje. Niektoré nástroje a charakteristiky má spoločné s inými Čínou podporovanými skupinami, obzvlášť so skupinou TA428. Má prístup k backdooru ShadowPad a patrí medzi zákazníkov skupiny StartupNation, ktorá vyvíja škodlivý softvér pre viaceré čínske skupiny.
Skupina známa aj ako YoroTrooper. Ide o kyberšpionážnu skupinu aktívnu minimálne od roku 2021. Zameriava sa najmä na spearphishing a krádež prihlasovacích údajov k webmailovým službám. Cieli na vládnych predstaviteľov, think‑tanky a zamestnancov štátnych podnikov v krajinách susediacich s Kaspickým morom, pričom najčastejším cieľom je Ruská federácia. Vzhľadom na úzke zameranie skupiny sa predpokladá, že operuje z niektorej stredoázijskej krajiny. Na základe výberu obetí a ďalších technických indikátorov spoločnosť ESET s nízkou mierou istoty predpokladá napojenie skupiny na Kazachstan a jeho záujmy.
SPRÁVA SPOLOČNOSTI ESET O BEZPEČNOSTNÝCH HROZBÁCH ZA DRUHÝ POLROK 2025
Podrobný pohľad na globálne trendy v oblasti hrozieb, regionálne aktivity skupín APT a vývoj malvéru pozorovaný prostredníctvom telemetrie spoločnosti ESET.
Súhrn aktivít skupín APT
Najnovšie informácie o aktívnych kampaniach skupín APT na celom svete.
WeLiveSecurity: Najdôležitejšie správy a výskum
Odborné analýzy a komentáre od výskumníkov spoločnosti ESET o najnovších kybernetických hrozbách, objavoch a bezpečnostných trendoch.
ESET Research Podcast: Pohľad na globálne prostredie hrozieb
Pridajte sa k našim analytikom, ktorí diskutujú o atribúcii, nástrojoch a zmenách v globálnej aktivite útočníkov.
Technická špecifikácia reportov ESET Threat Intelligence o APT
Objavte naše informačné kanály zamerané na APT.
SPOJTE SA S NAMI
Chcete sa dozvedieť viac? Zanechajte nám svoje kontaktné údaje a my sa vám ozveme s ďalšími informáciami. Radi vás prevedieme demo verziou, prediskutujeme s vami overenie konceptu alebo zodpovieme akékoľvek otázky.
Ďakujeme, Vaša požiadavka bola odoslaná. S odpoveďou Vás budeme kontaktovať v pracovných dňoch, akonáhle to bude možné.