Het APT Activity Report van ESET onthult hoe statelijke actoren onopgelapte kwetsbaarheden benutten voor digitale spionage. Dit rapport brengt campagnes in kaart van onder meer Rusland, China en Noord-Korea, met nadruk op aanvallen op overheden en infrastructuur in Europa, Azië en het Midden-Oosten.
📌 Belangrijkste inzichten in 1 minuut
-
Exploitatie van bekende kwetsbaarheden in Roundcube, WinRAR, Outlook en Zimbra als dominante toegangsvectoren
-
China-aligned groepen voeren grootschalige cyberspionagecampagnes uit tegen EU-overheden en minderheden
-
Russisch georiënteerde groepen gebruiken Telegram niet alleen als doelwit, maar ook als kanaal voor propagandaverspreiding
-
Noord-Koreaanse groepen richten zich op cryptocurrency en defensie, met malware die werkt op Windows, macOS én Linux
-
Iran-aligned groepen verschuiven focus van technische diepgang naar operationele snelheid – met name richting Israël en Saoedi-Arabië
Bekende bugs, nieuwe dreiging: kwetsbaarheden strategisch ingezet
In dit rapportperiode valt op hoe APT-groepen bekende softwarekwetsbaarheden benutten om toegang te krijgen tot gevoelige overheidsnetwerken. Denk aan WinRAR (gebruikt door o.a. Sednit, Konni en SturgeonPhisher), Roundcube en Outlook voor Windows. Deze aanvallen onderstrepen hoe belangrijk het is om niet alleen nieuwe dreigingen, maar ook oude kwetsbaarheden actief te monitoren en patchen.
Voor CISO’s en CIO’s betekent dit dat patchmanagement een strategisch proces moet zijn, met heldere prioritering van risico’s op basis van threat intelligence.
China’s digitale schaduwoorlog: breed, langdurig, geraffineerd
Chinese APT-groepen blijven wereldwijd actief in langdurige spionagecampagnes. Naast bekende groepen als Mustang Panda en TA410 identificeerde ESET ook nieuwe actoren zoals DigitalRecyclers en TheWizards, die zich richten op Europese overheden en Chinese dissidenten. De campagnes combineren spearphishing, software supply chain attacks en adversary-in-the-middle-technieken, met inzet van malware zoals Korplug, BadBazaar en Spellbinder.
Voor organisaties met gevoelige (geo)politieke profielen is het zaak om monitoring uit te breiden naar minder zichtbare dreigingen zoals waterhole-aanvallen en aangepaste software-updates.
Rusland: van cyberspionage naar cyberpropaganda
Gamaredon en Sandworm blijven gericht op Oekraïne, met nieuwe varianten van datavernietigende malware zoals SharpNikoWiper. Opvallend is de inzet van Telegram, niet alleen als doelwit voor datadiefstal, maar ook als propagandakanaal voor het promoten van sabotage-acties. Sednit voerde daarnaast phishingcampagnes uit op EU-instellingen via e-mailfraude met parlementaire agenda’s als lokaas.
Voor overheidsorganisaties en beleidsmakers betekent dit: cybersecurity is ook een communicatiekwestie. Bewustwording en weerbaarheid tegen digitale desinformatie horen thuis in elke cyberstrategie.
Noord-Korea: multinationale malware en cryptodiefstal
Lazarus, Kimsuky en Andariel blijven actief in Zuid-Korea, Japan en op cryptocurrencyplatformen. Zij maken steeds vaker gebruik van supply chain-aanvallen, geavanceerde spearphishing en cross-platform malware (zoals SimpleTea), waarmee ze zowel Windows, Linux als macOS-systemen besmetten. Lazarus misleidt slachtoffers met valse vacaturesites, terwijl Konni inspeelt op fiscale thema’s in Zuid-Korea.
CTO’s in tech en financiële sectoren doen er goed aan hun softwareketen en gebruikersgedrag extra te monitoren – niet alleen voor zero-days, maar ook voor social engineering.
Iraanse dreiging verschuift naar snelheid boven subtiliteit
MuddyWater en OilRig blijven actief in het Midden-Oosten, met campagnes gericht op Israël en Saoedi-Arabië. Waar OilRig gebruikmaakt van zorgvuldig ontwikkelde C#/C++ backdoors, lijkt MuddyWater zich meer te richten op snelle initiële toegang en credential harvesting. ESET signaleert dat deze groepen vaker samenwerken in een hybride structuur, waarbij technische en tactische componenten gescheiden zijn.
Organisaties in de regio of met partners daar doen er goed aan hun detectie- en responseprocedures te herzien op dit soort gelaagde aanvallen.