ESET APT Activity Report poskytuje pravidelný přehled společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby. Aktuální vydání mapuje období od října 2025 do března 2026.
Co jsou APT skupiny?Skupiny zaměřující se na pokročilé přetrvávající hrozby (Advanced Persistent Threats – APT) jsou seskupení útočníků, obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Zaměřují se na cílené a sofistikované kybernetické operace ve snaze proniknout do systémů vysoko postavených cílů (vládní organizace, korporace) a nepozorovaně v nich zůstat delší dobu. Činí tak většinou za účelem dlouhodobé kybernetické špionáže a odcizení citlivých údajů. APT skupiny disponují širokou škálou poznatků, pokročilými nástroji a technikami, díky nimž dokáží zneužívat zero-day zranitelnosti. |
Rusko: cílem kyberútočníků byly drony i energetická infrastruktura
Útočníci napojení na Rusko se ve sledovaném období zaměřovali dál hlavně na Ukrajinu a subjekty, které se podílejí na obraně této země.
APT skupina Sednit nasadila své útočné nástroje Covenant a BeardShell proti ukrajinskému vojenskému personálu, výrobcům dronů a organizacím z výzkumu a vývoje dronů. Zároveň cílila i na logistické a dopravní společnosti mimo Ukrajinu.
Skupina Sandworm zintenzivnila během zimy své destruktivní aktivity a na Ukrajině nasadila několik nových wiperů proti cílům z vládního i soukromého sektoru. Zvlášť pozoruhodný byl incident z prosince 2025, za kterým pravděpodobně stála právě skupina Sandworm – útočníci během něj zasáhli polskou energetickou společnost.
Přečtěte si také: Hackeři z Ruska provedli kyberútok na Polsko a jeho energetiku
Přestože jsou destruktivní kyberútoky mimo Ukrajinu vzácné, tento případ je výjimečný tím, že zasáhl kritickou infrastrukturu členského státu NATO. Vzhledem k roli Polska při pomoci se stabilizací dodávek elektřiny na Ukrajině je možné, že cílem této operace bylo zatížit ukrajinskou elektrickou síť během zimního období.
Čína: průmyslová špionáž
Útočníci spojovaní s Čínou byli ve sledovaném období aktivní po celém světě. Prováděli špionážní kampaně, na které měl vliv geopolitický vývoj dopadající na ekonomické a bezpečnostní zájmy Pekingu.
Po vojenské operaci USA ve Venezuele a uprostřed pokračující nestability v oblasti Perského zálivu bezpečnostní experti z ESETu zaznamenali, že se skupiny spojované s Čínou mobilizovaly, aby zlepšily přehled Pekingu o zahraničním vývoji v oblasti námořní dopravy, energetiky a politiky. Skupina FamousSparrow v jednom případě zacílila na venezuelský vládní subjekt z oblasti námořnictví, pravděpodobně s cílem sledovat odolnost ropných dodávek po zásahu USA.
APT skupina SteppeDriver pak zacílila na syrskou vládní síť, což může být důsledkem jak čínského obchodního zájmu o projekty obnovy v Sýrii, tak bezpečnostních obav týkajících se ujgurských bojovníků působících v této zemi.
Na platformě VirusTotal experti z ESETu objevili nový škodlivý kód PhiliKit, který podle jejich hodnocení patří k nástrojům sady SPAWN skupiny UNC5221. Zaměřuje se jejich pomocí na virtuální privátní síť Ivanti VPN. Sledováním skupiny NegativeGlimmer pak experti odhalili kompromitaci vládních subjektů v Kambodži a Panamě, stejně jako jedné společnosti zaměřené na umělou inteligenci a robotiku v Jižní Koreji. Zacílení na Jižní Koreu je v souladu s dlouhodobým zájmem Pekingu o strategické technologie, který upřednostňuje v rámci průmyslové rozvojové politiky Made in China 2025.
Írán: aktivity kyberútočníků ovlivnila válka
Válka v Íránu, která začala na konci února 2026, primárně určovala aktivity útočníků napojených na íránský režim. V čase konfliktu experti paradoxně sledovali pokles aktivity u známých íránských APT skupin. S největší pravděpodobností to bylo proto, že omezení internetu ze strany Íránu negativně ovlivnilo jejich schopnost vést efektivně své operace. Toto prostředí současně nahrávalo mobilizaci hacktivistických útočníků, kteří cílili na Izrael, USA a další státy vnímané jako nepřátele Teheránu.
Zároveň narostl objem aktivit zaměřených na izraelské cíle, které experti z ESETu nemohli s jistotou přiřadit ke známým skupinám z dřívějších útoků. Dvě nezařazené skupiny útočníků, Rusty Boots a MoKhargosh, prokázaly jak špionážní schopnosti, tak ukázaly svůj destruktivní potenciál – včetně nasazení wiperu ve stylu bootkitu a uchovávání destruktivních nástrojů pro pozdější použití. Třetí skupina, MOØN Badr, se pravděpodobně zaměřuje pouze na cílenou špionáž.
Severní Korea: sociální inženýrství jako součást útoku
Útočníci napojení na režim v Severní Koreji zůstali aktivní na několika frontách. Více skupin nadále cílilo na vývojáře a kryptoměnový ekosystém prostřednictvím sociálního inženýrství. Tyto metody mohou přinést jak přímý finanční zisk, tak příležitosti ke kompromitaci softwarového dodavatelského řetězce.
APT skupiny Lazarus a DeceptiveDevelopment pokračovaly v budování dlouhodobých vztahů s vysoce hodnotnými cíli. Skupiny Kimsuky a Konni pak upřednostňovaly rychlejší, oportunistické útoky. Znovu se na scéně objevila také skupiny Andariel, a to v útoku na Jižní Koreu. Proti společnosti, která zřejmě vyrábí zařízení pro manipulaci s kapalným vodíkem a jaderný průmysl, nasadila malware TigerRAT a pokusila se šířit ransomware Rook. Jedná se o oblasti a technologie, které jsou zjevně v zájmu Pchjongjangu.
Experti z ESETu sledovali také pokračující vývoj kampaní skupiny Lazarus, včetně operací DreamJob a DangerousPassword. První z nich cílila na evropské výrobce dronů a druhá vedla ke kompromitaci široce využívané knihovny v JavaScriptu, která má více než 100 milionů stažení týdně v NPM registru a je klíčová pro webové i mobilní aplikace po celém světě. Útočníci zneužili kompromitované přihlašovací údaje hlavního správce k publikování škodlivých verzí knihovny. Než byly tyto verze odhaleny a odstraněny, vkládaly do napadených systémů trojanizovaný kód.
APT skupina ScarCruft dále kompromitovala herní platformu z regionu Yanbian v Číně, pravděpodobně s cílem sběru zpravodajských informací o osobách zajímavých pro severokorejský režim, včetně uprchlíků a dezertérů.
