In het nieuwste APT Activity Report van ESET zie je hoe cyberdreigingen zich ontwikkelen – van gerichte sabotage tot psychologische oorlogsvoering. Met name Iran-aligned groepen vallen op door hun disruptieve operaties na oktober 2023. Dit rapport biedt strategisch inzicht in de werkwijze van state-sponsored aanvallers en hun impact op overheden en vitale sectoren wereldwijd.
📌 Belangrijkste inzichten in 1 minuut
-
Grote toename van impactgerichte aanvallen door Iran-aligned APT-groepen na het conflict tussen Hamas en Israël
-
Rusland blijft gericht op spionage en desinformatie, met name binnen de EU en Oekraïne
-
Noord-Korea voert supply-chain-aanvallen uit op softwarebedrijven om cryptovaluta te stelen
-
China-aligned groepen richten zich op sectoren als transport en onderwijs met misbruik van kwetsbaarheden
-
Nieuwe APT-groepen (zoals CeranaKeeper) en onbekende aanvallers (zoals SturgeonPhisher) duiken op met innovatieve methodes
Van spionage naar sabotage: Iran-aligned groepen verhogen de druk
Sinds oktober 2023 is er een duidelijke koerswijziging zichtbaar bij Iraanse APT-groepen als MuddyWater en Agrius. Waar zij zich voorheen vooral richtten op spionage en ransomware, zijn zij overgestapt op zichtbaar destructieve aanvallen. Denk aan het verspreiden van wipers, publieke ‘name-and-shame’-acties en sabotage van vitale infrastructuur in Israël. Deze shift laat zien hoe cyberoperaties steeds vaker worden ingezet als strategisch wapen in geopolitieke conflicten.
Voor organisaties in gevoelige sectoren onderstreept dit de noodzaak van proactieve monitoring en crisisvoorbereiding – vooral als de dreiging afkomstig is van state-sponsored actoren met politieke motieven.
Russische focus: desinformatie en destabilisatie
Russische APT-groepen zoals Gamaredon, Sandworm en Turla blijven actief op Oekraïens grondgebied, maar richten hun blik ook op de Europese Unie. De aanvalstechnieken blijven grotendeels klassiek – spearphishing, verouderde kwetsbaarheden – maar worden steeds vaker gecombineerd met psychologische operaties, zoals bij ‘Operation Texonto’. Deze PSYOP-campagne richt zich op het zaaien van twijfel over verkiezingen en veiligheidssituaties in Oekraïne en Rusland.
CISO’s en beleidsmakers binnen de EU doen er goed aan om naast technische weerbaarheid ook te investeren in bewustwording en communicatieprotocollen, om weerstand te bieden tegen informatieoorlogen.
Supply chain in het vizier van Noord-Korea
Lazarus en andere Noord-Korea-aligned groepen hebben zich toegelegd op het compromitteren van softwareleveranciers en opensource-repositories. Door het verspreiden van gemanipuleerde software-installers – soms ondertekend met legitieme certificaten – weten ze malware bij duizenden gebruikers te krijgen. De doelwitten? Voornamelijk cryptoprojecten en defensiegerelateerde bedrijven.
Voor CTO’s en security officers betekent dit dat vertrouwen in leveranciers alleen niet meer volstaat: monitoring en validatie van build-processen en software-integriteit worden cruciaal.
Chinese groepen mikken op sectoren met geopolitieke waarde
China-aligned actoren zoals Mustang Panda, Flax Typhoon en Gelsemium blijven wereldwijd actief, met opvallende focus op Taiwan en Europese transportbedrijven. De gebruikte aanvalsmethoden zijn technisch verfijnd en vaak gericht op langdurige toegang via onder andere VPN’s, Exchange-kwetsbaarheden en USB-dropperbestanden. De gelekte data van I-SOON biedt daarnaast een zeldzaam inkijkje in het commerciële ecosysteem achter Chinese cyberoperaties – inclusief overheidsopdrachten en spionagecampagnes tegen universiteiten.
Voor beleidsmakers toont dit aan hoe verstrengeld staatsbelangen, commerciële cyberbedrijven en APT’s kunnen zijn. Het is essentieel om bij risicobeoordelingen ook indirecte dreigingen via derde partijen mee te nemen.
Nieuwe namen, nieuwe dreigingen
Het rapport introduceert ook minder bekende spelers zoals SturgeonPhisher (mogelijk gelinkt aan Kazachstan) en Winter Vivern (gelieerd aan Belarus), die respectievelijk phishingaanvallen uitvoerden in het Midden-Oosten en een zero-day in Roundcube misbruikten. Dit onderstreept de verbreding van het APT-landschap: ook kleinere staten en onbekende entiteiten beschikken inmiddels over geavanceerde capabilities.