Tussen oktober 2025 en maart 2026 zagen ESET-onderzoekers hackersgroepen die banden hebben met buitenlandse overheden actief bleven rond strategische sectoren, overheden, energie, technologie en softwareketens.
De belangrijkste punten uit het rapport:
- Aan China gelieerde groepen voerden wereldwijd spionagecampagnes uit rond energie, scheepvaart, overheid en geavanceerde technologie.
- Aan Noord-Korea gelieerde groepen richtten zich op ontwikkelaars, cryptoplatformen en softwareketens.
- Aan Rusland-gelieerde dreigingsactoren bleven vooral Oekraïne en aan defensie gerelateerde organisaties aanvallen.
- Aanvallen op veelgebruikte software en leveranciers laten zien dat dreigingen zich snel kunnen verspreiden naar andere organisaties.
Aan China-gelieerde groepen blijven wereldwijd actief
Volgens ESET Research waren aan China-gelieerde dreigingsgroepen in de onderzochte periode zeer actief. Hun campagnes lijken sterk verbonden met geopolitieke en economische belangen van Beijing.
Zo werden onder meer doelen gezien in Venezuela, Syrië, Cambodja, Panama en Zuid-Korea. De aanvallen richtten zich op maritieme organisaties, overheidsnetwerken en strategische technologie. In Zuid-Korea werd bijvoorbeeld een AI- en roboticabedrijf aangevallen. Dit past bij de blijvende interesse in technologieën die belangrijk zijn voor economische en industriële ontwikkeling.
Doellanden en sectoren
Noord-Korea richt zich op ontwikkelaars en software
Ook aan Noord-Korea gelieerde groepen bleven actief. Zij gebruikten onder meer social engineering om ontwikkelaars en organisaties binnen het crypto-ecosysteem te benaderen. Zulke aanvallen kunnen direct financieel gewin opleveren, maar ook toegang geven tot softwareomgevingen of klanten.
Een belangrijk voorbeeld uit het rapport is de aanval op de veelgebruikte JavaScript-library axios. Door misbruik van de gegevens van een maintainer konden kwaadaardige versies van deze softwarebibliotheek worden gepubliceerd. Omdat axios wereldwijd in web- en mobiele applicaties wordt gebruikt, laat dit zien hoe groot de impact van een aanval op softwareketens kan zijn.
Aan Rusland-gelieerde groepen focussen op Oekraïne
Aan Rusland gelieerde dreigingsactoren bleven zich vooral richten op Oekraïne en organisaties die verbonden zijn aan de Oekraïense defensie-inspanningen. Daarbij ging het onder meer om militair personeel, droneproducenten en organisaties die werken aan droneonderzoek en -ontwikkeling.
ESET beschrijft ook destructieve aanvallen waarbij nieuwe wiper malware werden ingezet tegen Oekraïense overheids- en private organisaties. Opvallend is daarnaast een aanval met wiper malware bij een Pools energiebedrijf in december 2025. ESET schrijft dit incident met middelhoge zekerheid toe aan Sandworm, de beruchte groep die vaker destructieve aanvallen uitvoert en ook meermaals aanvallen uitvoerde op het elektriciteitsnet in Oekraïne. Dat maakt duidelijk dat geopolitieke cyberdreiging ook buiten directe conflictgebieden impact kan hebben.
Bronnen van aanvallen
Aan Iran-gelieerde activiteit verandert door conflict
Het rapport laat ook zien dat het conflict in Iran invloed had op cyberactiviteiten. Door internetrestricties in Iran nam de activiteit van gevestigde aan Iran gelieerde APT-groepen in ESET-telemetrie af. Tegelijkertijd nam de activiteit van proxy- en hacktivistische actoren toe, vooral richting Israël, de Verenigde Staten en andere landen die door Teheran als vijandig worden gezien.
ESET zag daarnaast een opvallende toename van aanvallen op Israëlische doelwitten die niet met zekerheid aan bekende groepen konden worden gekoppeld. Sommige van deze aanvallen hadden niet alleen spionage als doel, maar ook destructief potentieel.
Het nieuwste ESET APT Activity Report maakt duidelijk dat geopolitieke ontwikkelingen een grote invloed hebben op het cyberdreigingslandschap. APT-groepen blijven actief tegen overheden, technologiebedrijven, energieorganisaties en softwareketens. Daarmee onderstreept het rapport hoe belangrijk het is om cyberrisico’s continu te blijven volgen en organisaties digitaal weerbaar te houden.
Download het volledige ESET APT Activity Report via het ESET Insights Platform.
