Van oktober 2024 tot en met maart 2025 volgden ESET-onderzoekers de activiteiten van diverse APT-groepen wereldwijd. In dit rapport delen zij scherpe analyses van de meest opvallende tactieken, doelwitten en dreigingstrends, met nadruk op Europa, Israël, Zuid-Korea en de crypto-industrie.
📌 Belangrijkste inzichten in 1 minuut
-
China richtte zich op EU-overheden en maritieme sector (Mustang Panda, Worok)
-
Iran combineerde RMM-software met wipers; focus op Israël
-
Noord-Korea’s ‘ClickFix’-aanvallen troffen cryptobedrijven wereldwijd
-
Rusland gebruikte zero-days in e-mailsoftware en wipers tegen Oekraïne
-
Nieuwe phishingcampagnes gericht op diplomaten en overheidsfunctionarissen
China-aligned groepen intensiveren spionage in Europa
China-ondersteunde actoren voerden een breed scala aan cyberoperaties uit tegen Europese overheden, met name in Centraal- en Oost-Europa. Groepen als Mustang Panda en DigitalRecyclers richtten zich op maritieme transportbedrijven en overheidsinstellingen, vaak via USB-drives of spearphishingcampagnes. Hun methodes variëren van klassieke backdoors (zoals NanoSlate) tot de inzet van ShadowPad voor mogelijk dubbel gebruik: spionage én ransomware.
Iran combineert dreigingstactieken met diplomatieke timing
Iran-aligned groepen, zoals MuddyWater en Lyceum, zetten veelvuldig remote monitoring en management (RMM) software in via phishinglinks, vaak gekoppeld aan PDF-bijlagen. Opvallend was de samenwerking tussen MuddyWater en Lyceum bij een aanval op een Israëlisch maakbedrijf. De timing viel samen met geopolitieke toenadering tot doelwitten als Kenia en Oezbekistan, wat duidt op een sterke verwevenheid tussen diplomatie en cyberspionage.
Noord-Korea kiest voor financieel gewin met creatieve methodes
De groep DeceptiveDevelopment gebruikte zogenaamde ClickFix-aanvallen en valse GitHub-issues om malware zoals WeaselStore te verspreiden. Deze richtten zich op ontwikkelaars bij crypto- en fintechbedrijven wereldwijd. Daarnaast vond een supply-chain aanval plaats op Safe{Wallet}, waardoor via Bybit voor 1,5 miljard dollar aan crypto werd buitgemaakt – een van de grootste incidenten tot nu toe.
Rusland intensiveert aanvallen op Oekraïne en EU met zero-days en wipers
Russische APT-groepen zoals Sednit, Gamaredon en Sandworm richtten zich voornamelijk op Oekraïne en EU-lidstaten. Sednit perfectioneerde XSS-aanvallen op webmailsoftware; RomCom gebruikte zero-days in Firefox en Windows om malware te verspreiden zonder gebruikersinteractie. Sandworm viel Oekraïense energiebedrijven aan met de nieuwe wiper ‘ZEROLOT’, verspreid via Active Directory Group Policy.
Opkomst van nieuwe campagnes: van Japan tot Davos
Naast bekende spelers kwamen ook kleinere groepen in beeld. APT-C-60, waarschijnlijk Zuid-Koreaans, viseerde Japanners met banden naar Noord-Korea. Tegelijkertijd werden hooggeplaatste diplomaten doelwit van hypergerichte phishingcampagnes via Signal en valse Davos-uitnodigingen. Ook Stealth Falcon was actief in Türkiye en Pakistan met infostealers gericht op browserdata.