Έκθεση ESET: APT ομάδες συνδέουν την κυβερνοκατασκοπεία με ενέργεια, ναυτιλία, drones και AI

Η ESET δημοσίευσε τη νέα έκθεση APT Activity Report Q4 2025–Q1 2026, στην οποία συγκεντρώνει δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που κατέγραψαν οι ερευνητές της από τον Οκτώβριο του 2025 έως τον Μάρτιο του 2026. Η έκθεση συνδέει μέρος της καταγεγραμμένης δραστηριότητας με γεωπολιτικές εξελίξεις, κυρίως σε Βενεζουέλα, περιοχή του Κόλπου, Συρία, Ουκρανία, Ισραήλ και Νότια Κορέα.

Η κινεζική δραστηριότητα στο επίκεντρο της έκθεσης

Σύμφωνα με την ESET, οι ομάδες που συνδέονται με την Κίνα παρέμειναν ιδιαίτερα ενεργές κατά την περίοδο που εξετάζεται. Η εταιρεία αναφέρει ενδείξεις κινητοποίησης China-aligned actors μετά τη στρατιωτική επιχείρηση των ΗΠΑ στη Βενεζουέλα και εν μέσω αστάθειας στην περιοχή του Κόλπου, με στόχο τη συλλογή πληροφοριών γύρω από τη ναυτιλία, την ενέργεια και πολιτικές εξελίξεις στο εξωτερικό.

Στο ίδιο πλαίσιο, η ESET αναφέρει ότι η FamousSparrow στόχευσε κρατικό φορέα της Βενεζουέλας που σχετίζεται με ναυτιλιακά ζητήματα, πιθανότατα για την παρακολούθηση της ανθεκτικότητας των πετρελαϊκών μεταφορών μετά την αμερικανική επέμβαση. Η SteppeDriver, επίσης ομάδα που η ESET συνδέει με την Κίνα, φέρεται να επικεντρώθηκε σε κυβερνητικό δίκτυο στη Συρία, δραστηριότητα που η εταιρεία συνδέει με εμπορικό ενδιαφέρον για έργα ανασυγκρότησης αλλά και με ανησυχίες ασφαλείας γύρω από Ουιγούρους μαχητές στη χώρα.

Η έκθεση αναφέρεται και στην οικογένεια κακόβουλου λογισμικού SPAWN της UNC5221, την οποία η ESET επίσης συνδέει με την Κίνα. Σύμφωνα με τα ευρήματα, το SPAWN χρησιμοποιήθηκε εναντίον κρατικών φορέων στην Καμπότζη και τον Παναμά, καθώς και εναντίον εταιρείας τεχνητής νοημοσύνης και ρομποτικής στη Νότια Κορέα. Η ESET ερμηνεύει τη στόχευση αυτή ως συμβατή με το ενδιαφέρον του Πεκίνου για στρατηγικές τεχνολογίες που εντάσσονται στις προτεραιότητες του «Made in China 2025».

Βόρεια Κορέα, Ιράν και Ρωσία στο υπόλοιπο τοπίο APT

Για τη Βόρεια Κορέα, η ESET καταγράφει συνέχιση της δραστηριότητας εναντίον developers και του οικοσυστήματος των κρυπτονομισμάτων, κυρίως μέσω κοινωνικής μηχανικής. Η εταιρεία αναφέρει επίσης επανεμφάνιση της Andariel σε επιθέσεις κατά της Νότιας Κορέας. Σύμφωνα με την έκθεση, η ομάδα χρησιμοποίησε το TigerRAT και επιχείρησε να διαδώσει το ransomware Rook σε εταιρεία που φαίνεται να κατασκευάζει εξοπλισμό σχετικό με τη διαχείριση υγρού υδρογόνου και τη βιομηχανία πυρηνικής ενέργειας.

Στην περίπτωση του Ιράν, η ESET αναφέρει ότι η σύγκρουση που ξέσπασε στα τέλη Φεβρουαρίου 2026 συνέπεσε με μείωση της δραστηριότητας καθιερωμένων Iran-aligned APT ομάδων στην τηλεμετρία της. Ως πιθανή εξήγηση αναφέρει τους περιορισμούς πρόσβασης στο διαδίκτυο που επέβαλε το ιρανικό καθεστώς. Παράλληλα, η εταιρεία καταγράφει αύξηση δραστηριότητας από διαμεσολαβητές και χακτιβιστές εναντίον στόχων στο Ισραήλ, στις Ηνωμένες Πολιτείες και σε άλλα κράτη που θεωρούνται εχθρικά προς την Τεχεράνη.

Η ESET αναφέρει επίσης δύο ομάδες άγνωστης προέλευσης, τις Rusty Boots και MoKhargosh, οι οποίες εμφάνισαν τόσο κατασκοπευτικές δυνατότητες όσο και επιθετικά εργαλεία εναντίον ισραηλινών στόχων. Μεταξύ άλλων, η έκθεση κάνει λόγο για wiper τύπου bootkit και για διατήρηση εργαλείων καταστροφής δεδομένων για πιθανή μελλοντική χρήση. Η εταιρεία αναφέρει ακόμη παραβίαση σε εταιρεία του αμυντικού τομέα στα Ηνωμένα Αραβικά Εμιράτα και επίθεση εναντίον αραβόφωνων χρηστών μέσω Android spyware, με πιθανή στόχευση δημοσιογράφων ή επαγγελματιών OSINT.

Οι ομάδες που συνδέονται με τη Ρωσία, σύμφωνα με την ESET, συνέχισαν να επικεντρώνονται κυρίως στην Ουκρανία και σε οργανισμούς που υποστηρίζουν την αμυντική της προσπάθεια. Η Sednit φέρεται να χρησιμοποίησε τα εργαλεία Covenant και BeardShell εναντίον ουκρανικού στρατιωτικού προσωπικού, κατασκευαστών drones και οργανισμών έρευνας και ανάπτυξης μη επανδρωμένων αεροσκαφών. Η ίδια δραστηριότητα, σύμφωνα με την έκθεση, επεκτάθηκε και σε εταιρείες logistics και μεταφορών εκτός Ουκρανίας.

Η Sandworm, την οποία η ESET επίσης εντάσσει στη ρωσική δραστηριότητα, φέρεται να ενέτεινε τις καταστροφικές επιχειρήσεις της κατά τη διάρκεια του χειμώνα, χρησιμοποιώντας νέα wipers εναντίον κρατικών και ιδιωτικών φορέων στην Ουκρανία. Η έκθεση ξεχωρίζει ένα περιστατικό καταστροφής δεδομένων τον Δεκέμβριο του 2025, το οποίο έπληξε πολωνική εταιρεία ενέργειας και το οποίο η ESET αποδίδει στη Sandworm με μέτριο βαθμό βεβαιότητας.

Η ESET σημειώνει ότι τα στοιχεία της έκθεσης βασίζονται κυρίως σε ιδιόκτητα δεδομένα τηλεμετρίας και σε ανάλυση των ερευνητών της. Αυτό σημαίνει ότι τα ευρήματα πρέπει να διαβαστούν ως τεχνική αποτύπωση της εταιρείας για συγκεκριμένες APT δραστηριότητες και όχι ως πλήρης καταγραφή του συνόλου της κρατικά υποστηριζόμενης κυβερνοδραστηριότητας στο ίδιο διάστημα.