ESET APT 活动报告(2024 年第 4 季度至 2025 年第 1 季度)总结了 ESET 研究人员从 2024 年 10 月到 2025 年 3 月底记录的选定高级持续威胁 (APT) 组织的显著活动。突出显示的作代表了我们在此期间调查的更广泛的威胁情况,说明了主要趋势和发展,并且仅包含提供给 ESET 私有 APT 报告客户的网络安全情报数据的一小部分。
在监测期间,与中国结盟的威胁行为者继续从事持续的间谍活动,重点是欧洲组织。Mustang Panda 仍然是最活跃的,通过 Korplug 加载程序和恶意 USB 驱动器以政府机构和海上运输公司为目标。DigitalRecyclers 继续以欧盟政府实体为目标,采用 KMA VPN 匿名网络并部署 RClient、HydroRShell 和 GiftBox 后门。PerplexedGoblin 使用其新的间谍后门(我们将其命名为 NanoSlate)针对中欧政府实体,而 Webworm 则使用 SoftEther VPN 瞄准了塞尔维亚政府组织,强调了该工具在中国结盟团体中的持续流行。此外,我们认为,可能偶尔部署勒索软件以获取经济利益的 ShadowPad 集群主要从事间谍活动。我们还强调了 Worok 经常使用共享的间谍工具集,例如 HDMan、PhantomNet 和 Sonifake,解决了涉及这些工具的活动对其他组织的第三方归因不一致的问题。
以 MuddyWater 为首的伊朗盟友仍然高度活跃,该公司经常利用远程监控和管理 (RMM) 软件进行鱼叉式网络钓鱼攻击。值得注意的是,MuddyWater 与 OilRig 子公司 Lyceum 密切合作,以一家以色列制造公司为目标。BladedFeline 重新访问了它之前的受害者,乌兹别克斯坦的一家电信公司,恰逢伊朗的外交接触。CyberToufan 进行了破坏性作,对以色列的多个组织部署了擦除器攻击。
与朝鲜结盟的威胁行为者在以经济为动机的活动中特别活跃。DeceptiveDevelopment 显着扩大了其定位范围,主要在加密货币、区块链和金融领域使用虚假职位列表。该组织采用创新的社会工程技术,例如 ClickFix 攻击和伪造的 GitHub 问题帖子,来分发多平台 WeaselStore 恶意软件。FBI 将 Bybit 加密货币盗窃归咎于 TraderTraitor,涉及 Safe{Wallet} 的供应链泄露,造成约 15 亿美元的损失。与此同时,其他与朝鲜结盟的团体的行动节奏出现了波动:2025 年初,Kimsuky 和 Konni 在 2024 年底明显下降后恢复到了正常的活动水平,将目标从讲英语的智库、非政府组织和朝鲜专家转移到主要关注韩国实体和外交人员;而 Andariel 在一年不活跃后重新浮出水面,对一家韩国工业软件公司发起了复杂的攻击。
与俄罗斯结盟的威胁行为者,特别是 Sednit 和 Gamaredon,主要针对乌克兰和欧盟国家开展了激进的活动。Sednit 改进了对 Web 邮件服务中跨站点脚本 (XSS) 漏洞的利用,将 Operation RoundPress 从 Roundcube 扩展到包括 Horde、MDaemon 和 Zimbra。我们发现,该组织成功利用了 MDaemon 邮件服务器 (CVE-2024-11182) 中的零日漏洞 (CVE-2024-11182) 来攻击乌克兰公司,而 RomCom 则通过部署针对 Mozilla Firefox (CVE-2024-9680) 和 Microsoft Windows (CVE-2024-49039) 的零日漏洞来展示高级功能。所有这些漏洞均由 ESET 研究人员报告给相应的供应商。Gamaredon 仍然是针对乌克兰最多产的行为者,增强了恶意软件混淆并引入了 PteroBox,这是一种利用 Dropbox 的文件窃取程序,而臭名昭著的 Sandworm 组织加强了对乌克兰能源公司的破坏性行动,通过 Active Directory 组策略部署了一个名为 ZEROLOT 的新擦除器,并在早期入侵阶段使用 RMM 工具。
最后,鲜为人知的团体的值得注意的活动包括 APT-C-60,主要针对可能与朝鲜有联系的日本个人,以及由尚未确定身份的威胁行为者进行的高度针对性的网络钓鱼活动,冒充世界经济论坛和选举网站,旨在从乌克兰官员和外交官那里获取敏感信息。此外,StealthFalcon 还在土耳其和巴基斯坦开展了以间谍活动为重点的行动。
ESET 产品会检测到 ESET APT 活动报告 2024 年第 4 季度至 2025 年第 1 季度中描述的恶意活动;共享情报主要基于专有的 ESET 遥测数据,并已经过 ESET 研究人员的验证。
ESET APT 活动报告仅包含 ESET APT Reports PREMIUM 中提供的网络安全智能数据的一小部分。有关详细信息,请访问 ESET Threat Intelligence 网站。