A ESET lançou o seu mais recente Relatório de Atividade APT, que destaca as atividades de grupos APT (Ameaça Persistente Avançada) selecionados e documentados por investigadores da ESET de outubro de 2024 a março de 2025. Grupos alinhados com a Rússia, nomeadamente o Sednit e o Gamaredon, mantiveram campanhas agressivas visando principalmente a Ucrânia e países da União Europeia.

O Gamaredon continuou a ser o grupo APT mais prolífico a visar a Ucrânia, melhorando a ofuscação de malware e introduzindo o PteroBox, um stealer (malware que rouba ficheiros) que utiliza o Dropbox.

"O infame grupo Sandworm concentrou-se fortemente no comprometimento das infraestruturas energéticas ucranianas. Em casos recentes, implantou o ZEROLOT na Ucrânia. Para isso, os atacantes abusaram da Política de Grupo do Active Directory nas organizações afetadas", afirmou Jean-Ian Boutin, Diretor de Investigação de Ameaças da ESET.

Já o Sednit refinou a sua exploração de vulnerabilidades de scripts entre sites em serviços de webmail, expandindo a Operação RoundPress da Roundcube para incluir Horde, MDaemon e Zimbra. Na investigação da ESET, este grupo explorou com sucesso uma vulnerabilidade de dia zero no Servidor de Email MDaemon contra empresas ucranianas. Foram também registados ataques do Sednit contra empresas de defesa localizadas na Bulgária e na Ucrânia utilizaram campanhas de spearphishing de email como isco.

Outro grupo alinhado com a Rússia, o RomCom, demonstrou capacidades avançadas ao explorar vulnerabilidades de dia zero contra o Microsoft Windows e o Mozilla Firefox.

Também foram registadas campanhas na Ásia, por grupos APT alinhados com a China, sobretudo contra instituições governamentais e académicas. “Ao mesmo tempo, os agentes de ameaças alinhados com a Coreia do Norte aumentaram significativamente as suas operações dirigidas à Coreia do Sul, dando especial ênfase a indivíduos, empresas privadas, embaixadas e pessoal diplomático”, refere a especialista em cibersegurança.

O mais ativo foi o Mustang Panda, visando instituições governamentais e empresas de transporte marítimo através de loaders (malware que carrega malware adicional) Korplug e unidades USB maliciosas.

O DigitalRecyclers continuou a visar entidades governamentais da UE, implementando os backdoors (ferramentas para ultrapassar ciberproteção) RClient, HydroRShell e GiftBox. O PerplexedGoblin utilizou o seu novo backdoor de espionagem, que a ESET designou por NanoSlate, contra uma entidade governamental da Europa Central, enquanto o Webworm visou uma organização governamental sérvia utilizando a VPN SoftEther, enfatizando a contínua popularidade desta ferramenta entre os grupos alinhados com a China.

O DeceptiveDevelopment, também alinhado com a Coreia do Norte, alargou significativamente o seu alvo, utilizando ofertas de emprego falsas principalmente nos setores de criptomoeda, blockchain e finança. O grupo utilizou técnicas inovadoras de engenharia social para distribuir o malware multiplataforma WeaselStore. O roubo de criptomoedas Bybit, atribuído pelo FBI ao grupo TraderTraitor, envolveu um comprometimento da cadeia de abastecimento da Safe{Wallet} que causou perdas de aproximadamente 1,5 mil milhões de dólares.

Outros grupos alinhados com a Coreia do Norte registaram flutuações no seu ritmo operacional: no início de 2025, o Kimsuky e o Konni voltaram aos seus níveis de atividade habituais após um declínio notável no final de 2024, desviando o seu alvo dos think tanks de língua inglesa, ONGs e especialistas da Coreia do Norte para se concentrarem principalmente em entidades e pessoal diplomático sul-coreanos; e o Andariel ressurgiu, após um ano de inatividade, com um ataque sofisticado contra uma empresa de software industrial sul-coreana.

Os grupos APT alinhados com o Irão mantiveram o seu foco principal na região do Médio Oriente, visando predominantemente organizações governamentais e entidades dos setores da indústria e da engenharia em Israel. Para além disso, a ESET observou um aumento global significativo nos ciberataques contra empresas de tecnologia, em grande parte atribuído ao aumento da atividade do DeceptiveDevelopment.