ESET Research在2025年第二季度和第三季度调查和分析的部分APT小组活动概览
ESET APT活动报告2025年第二季度至2025年第三季度总结了ESET研究人员在2025年4月至9月期间记录的选定高级持续威胁(APT)组的显著活动。重点展示的行动代表了我们在此期间调查的更广泛威胁格局。它们展示了主要趋势和发展,仅包含了提供给ESET APT客户的网络安全情报数据的一小部分。
在受监控期间,亲华的APT集团继续推进北京的地缘政治目标。我们观察到,在初次接近和横向移动方面,越来越多的对手中间技术被采用,如PlushDaemon、SinisterEye、Evasive Panda和TheWizards等团体。作为对特朗普政府在拉丁美洲战略利益的回应,也可能受到美中权力斗争的影响,FamousSparrow展开了拉丁美洲巡回活动,针对该地区多个政府实体。野马熊猫在东南亚、美国和欧洲保持高度活跃,专注于政府、工程和海运运输领域。Flax Typhoon通过利用面向公众的网络服务器和部署网络壳,针对台湾的医疗行业进行攻击,试图攻破受害者。该组织经常维护其SoftEther VPN基础设施,并开始使用开源代理BUUT。与此同时,Speccom将目标锁定在中亚的能源领域,目的是提高对中国资助业务的曝光度,减少中国对海运进口的依赖。该组织工具中的一个后门BLOODALCHEMY似乎受到多个与中国结盟的威胁行为者的青睐。
我们观察到与伊朗结盟的MuddyWater鱼叉式钓鱼活动持续增加。该组织采用了内部发送鱼叉式网络钓鱼邮件的技术——从目标组织内被攻破的收件箱——成功率显著提高。其他与伊朗结盟的团体依然活跃:BladedFeline采用了新基础设施,而GalaxyGato则部署了改进版的C5后门。GalaxyGato 还在其活动中引入了一个有趣的变化,利用 DLL 搜索命令劫持来窃取凭证。
与朝鲜结盟的威胁行为者针对加密货币领域,尤其是将行动范围扩展至乌兹别克斯坦——这是此前未曾被其影响范围的国家。近几个月来,我们记录了DeceptiveDevelopment、Lazarus、Kimsuky和Konni等组织的多项新活动,旨在进行间谍活动、推进平壤的地缘政治优先事项,并为政权创造收入。金苏基尝试使用ClickFix技术针对外交机构、韩国智库和学术界,而康尼则在macOS系统上采用了特殊关注的社交工程技术。
亲俄的团体继续关注乌克兰及与乌克兰有战略联系的国家,同时扩大其对欧洲实体的行动。鱼叉式网络钓鱼仍然是他们主要的攻破手段。值得注意的是,RomCom利用WinRAR中的零日漏洞部署恶意DLL并设置了多种后门。我们向WinRAR报告了该漏洞,WinRAR迅速修复了。该集团的业务主要集中在欧盟和加拿大的金融、制造、防务和物流领域。加马雷登依然是针对乌克兰最活跃的APT小组,其行动强度和频率明显增加。这一活动激增恰逢与俄罗斯亲近APT组织罕见合作的时刻相符,Gamaredon选择性地部署了Turla的一个后门。Gamaredon的工具集,可能也受到合作的推动,持续发展,例如引入了新的文件窃取工具或隧道服务。
Sandworm与Gamaredon类似,重点关注乌克兰——但动机是破坏而非网络间谍。该组织对政府机构、能源和物流行业公司,尤其是粮食行业,部署了数据清除器(ZEROLOT、Sting),更重要的是针对粮食行业——其可能目标是削弱乌克兰经济。另一个与俄罗斯结盟的威胁者InedibleOchotense发起了冒充ESET的鱼叉式钓鱼活动。该行动涉及电子邮件和Signal消息,传递一个被木马化的ESET安装程序,该安装程序导致合法ESET产品及Kalambur后门被下载。
最后,一些较不知名的团体的显著活动包括FrostyNeighbor利用Roundcube中的XSS漏洞。波兰和立陶宛公司成为冒充波兰企业的鱼叉式网络钓鱼邮件攻击目标。这些邮件采用了项目符号和表情符号的独特使用和组合,结构让人联想到AI生成的内容,暗示可能在活动中使用了人工智能。交付的有效负载包括一个凭证窃取器和电子邮件消息窃取器。我们还识别出一个此前未知的伊拉克安卓间谍软件家族,命名为Wibag。Wibag伪装成YouTube应用,目标是Telegram和WhatsApp等消息平台,以及Instagram、Facebook和Snapchat。其功能包括键盘记录、短信泄露、通话记录、位置数据、联系人、屏幕录制,以及WhatsApp通话和普通电话录音。有趣的是,间谍软件管理面板的登录页面显示的是伊拉克国家安全局的标志。
ESET APT 活动报告 2025–2025 年第三季度描述的恶意活动被 ESET 产品检测;共享智能主要基于专有的ESET遥测数据,并已经过ESET研究人员的验证。
ESET APT活动报告仅包含ESET威胁情报APT报告中网络安全情报数据的一小部分。欲了解更多信息,请访问ESET威胁情报网站。