Het nieuwste ESET APT Activity Report geeft een overzicht van de activiteiten van geselecteerde APT-groepen die door onze onderzoekers zijn gevolgd tussen april en september 2025. Het rapport laat zien hoe deze groepen hun technieken blijven verfijnen en hoe geopolitieke spanningen direct terug te zien zijn in de cyberwereld. De beschreven aanvallen vertegenwoordigen slechts een klein deel van alle inlichtingen die ESET verzamelt, maar geven een duidelijk beeld van de belangrijkste trends die we momenteel zien.
Aan China-gelieerde APT-groepen blijven actief
Chinese hackersgroepen blijven opereren in lijn met de strategische belangen van Peking. We zagen een duidelijke toename in het gebruik van zogeheten man-in-the-middle-aanvallen, waarbij communicatie tussen slachtoffer en ontvanger wordt onderschept en gemanipuleerd. Groepen als PlushDaemon, SinisterEye, Evasive Panda en TheWizards maakten hier veel gebruik van.
Een andere groep, FamousSparrow, richtte zich op overheden in Latijns-Amerika, mogelijk als reactie op de groeiende Amerikaanse invloed in die regio. Mustang Panda bleef actief in Zuidoost-Azië, de Verenigde Staten en Europa, vooral binnen de overheid en maritieme sector.
Ook Flax Typhoon voerde gerichte aanvallen uit op de zorgsector in Taiwan via kwetsbare webservers. Daarnaast richtte Speccom zich op de energiesector in Centraal-Azië, vermoedelijk om meer inzicht te krijgen in door China gefinancierde projecten in die regio.
Iraanse actoren verfijnen spearphishingtechnieken
De Iraanse groep MuddyWater verbeterde haar spearphishingtechnieken door e-mails te versturen vanuit gehackte mailboxen binnen de doelorganisatie zelf. Dat maakt de berichten extra geloofwaardig en vergroot de kans op succes aanzienlijk. Andere Iraanse groepen, zoals BladedFeline en GalaxyGato, bleven actief en introduceerden nieuwe infrastructuren en backdoors om hun aanvallen effectiever te maken.
Noord-Korea verbreedt zijn werkgebied
Noord-Koreaanse hackers richten zich nog altijd op de cryptovalutasector om inkomsten te genereren voor het regime, maar ze voeren ook steeds meer spionagecampagnes uit. Groepen als Lazarus, Kimsuky en Konni breidden hun activiteiten uit naar Zuid-Korea en zelfs Oezbekistan. Daarbij werden nieuwe aanvalstechnieken ingezet en ook macOS-systemen kwamen voor het eerst in beeld als doelwit.
Rusland intensiveert aanvallen op Europa en Oekraïne
Russisch-gelieerde groepen bleven zich richten op Oekraïne en breidden hun aanvallen uit naar Europese organisaties. Spearphishing is nog steeds hun favoriete methode om toegang te krijgen tot systemen. De groep RomCom viel op door misbruik te maken van een onbekende kwetsbaarheid in WinRAR, waarmee ze malware verspreidden via geïnfecteerde bestanden.
Gamaredon voerde de afgelopen maanden meer aanvallen uit dan ooit en werkte daarbij samen met andere Russische groepen. Sandworm ging nog een stap verder door vernietigende aanvallen uit te voeren op de energie- en logistieke sector in Oekraïne, evenals op bedrijven in de graansector. Opvallend was ook een campagne waarbij een Russische groep zich voordeed als ESET om slachtoffers te misleiden via e-mail en zelfs via Signal-berichten.
De opkomst van nieuwe- en minder bekende groepen
Naast bekende namen doken ook nieuwe groepen op. Zo misbruikte FrostyNeighbor een kwetsbaarheid in het e-mailsysteem Roundcube en richtte zich op bedrijven in Polen en Litouwen. Sommige phishingmails leken zelfs door AI te zijn opgesteld. In Irak ontdekte ESET een nieuwe Android-spywarefamilie, Wibag, die zich voordeed als de YouTube-app en gevoelige informatie kon stelen van apps als WhatsApp, Telegram en Instagram.
De dreigingen die in dit rapport worden beschreven, worden allemaal gedetecteerd door ESET-producten en bevestigd door onze eigen telemetrie. Het rapport laat duidelijk zien hoe actief statelijke hackersgroepen wereldwijd zijn en hoe hun methoden zich blijven ontwikkelen.
Lees het volledige rapport hier: [Volledig rapport lezen]
