חברת אבטחת המידע ESET מפרסמת את דוח פעילות קבוצות התקיפה (APT) החדש שמתאר את פעולותיהן של קבוצות APT נבחרות שתועדו ע"י חוקרי ESET מאוקטובר 2024 ועד מרץ 2025.
בישראל, נמשכת המגמה של תקיפות APT מצד קבוצות איראניות. חוקרי ESET זיהו קמפיין משולב ומתואם שבוצע בינואר-פברואר 2025 על ידי MuddyWater ו-Lyceum - שתיים מהקבוצות המרכזיות המזוהות עם איראן. במסגרת הקמפיין, הותקפה חברה ישראלית בתחום הייצור, תוך שימוש בכלי שליטה מרחוק לגיטימיים וגניבת סיסמאות באמצעות Mimikatz - כלי מתקדם לשליפת סיסמאות מהזיכרון של מערכות Windows. בעקבות החדירה, השתלטה Lyceum על המשך הפעילות הזדונית בארגון. בנוסף, זוהו בישראל שני מקרי תקיפה נפרדים בהם נעשה שימוש בתעלות תקשורת מוסוות (reverse tunnels) שפותחו על ידי Lyceum.
במקביל, קבוצת CyberToufan ביצעה מתקפת נגד כ-50 ארגונים בישראל, במסגרתי השיגה גישה למשאבי הארגון, החליפה את שומרי המסך במחשבים ואפילו הדפיסה חומרי תעמולה במדפסות המחוברות. הנתונים הללו ממחישים את רמת התחכום והכוונה הפוליטית של חלק מהקבוצות הפועלות נגד ישראל.
קבוצת Gamaredon שומרת על מקומה כגורם האיום ההרסני ביותר מול אוקראינה. היא שיפרה את יכולות ההסתרה של הנוזקות שלה והשיקה את Pterobox, נוזקה לגניבת קבצים שמתבססת על Dropbox. "קבוצת Sandworm הידועה לשמצה התמקדה בעיקר בפריצה של תשתיות חשמל אוקראיניות. במקרים האחרונים, היא הפעילה את נוזקת המחיקה ZEROLOT באוקראינה. התוקפים ניצלו כלל מדיניות קבוצתי ב-Active Directory בארגונים שהותקפו", אומר ז'אן-יאן בוטין, מנהל תחום מחקר האיומים ב-ESET.
קבוצת Sednit שיפרה את היכולות לניצול חולשות Cross-Side Scripting בשירותי דוא"ל מקוונים, והרחיבה את מבצע RoundPress, שבתחילה היה מסוגל לתקוף רק את מערכת Roundcube, אך כיום יכול לתקוף גם את המערכות Horde, MDaemon ו-Zimbra. חברת ESET חשפה כי הקבוצה הצליחה לנצל חולשת יום-אפס בשרת הדוא"ל של MDaemon (CVE-2024-11182) ולהשתמש בה כדי לתקוף חברות אוקראיניות.
מספר מתקפות של קבוצת Sednit שכוונו נגד חברות ביטחוניות בבולגריה ובאוקראינה השתמשו בקמפייני פישינג ממוקדים (Spearphishing) כפיתיון. קבוצה אחרת המזוהה עם רוסיה, RomCom, הציגה יכולות מתקדמות למדי באמצעות הפעלת כלי פריצה המנצלים חולשות יום-אפס ב-Mozilla Firefox (CVE-2024-9680) וב-Microsoft Windows (CVE-2024-49039).
- באסיה, קבוצות APT המזוהות עם סין המשיכו בקמפיינים שלהם כנגד מוסדות ממשלתיים ואקדמיים. באותו הזמן, קבוצות המזוהות עם צפון קוריאה הגבירו את פעילותם כנגד דרום קוריאה, והשקיעו מאמץ משמעותי באנשים פרטיים, חברות פרטיות, שגרירויות ואנשי סגל דיפלומטי.
- קבוצת Mustang Panda שומרת על מקומה כקבוצה הפעילה ביותר, ותוקפת מוסדות ממשלתיים וחברות תעבורה ימית באמצעות נוזקות טעינה בשם Korplug וכונני USB זדוניים. קבוצת DigitalRecyclers המשיכה בתקיפת יישויות ממשלתיות באיחוד האירופי, השתמשה ברשת האנונימיזציה KMA VPN והפעילה את הדלתות האחוריות RClient, HydroRShell ו-GiftBox.
- קבוצת PerplexedGoblin השתמשה בדלת אחורית חדשה למטרות ריגול, אותה חברת ESET כינתה בשם NanoSlate, כדי לתקוף ישות ממשלתית במרכז אירופה, בזמן שקבוצת WebWorm תקפה ארגון ממשלתי סרבי באמצעות SoftEther VPN, מה שמצביע על הפופולריות ההולכת וגדלה של הכלי זה בקרב קבוצות המזוהות עם סין.
- בחלק אחר של אסיה, גורמי איום המזוהים עם צפון קוריאה הפעילו בעיקר קמפיינים בעלי מטרות כספיות. קבוצת DeceptiveDevelopment הרחיבה את טווח המטרות שלה באופן משמעותי, והשתמשה בהצעות עבודה מזויפות בתחומי המטבעות הדיגיטליים, Blockchain והכספים. הקבוצה השתמשה בטכניקות הנדסה חברתית חדשניות כדי להפיץ את נוזקת WeaselStore המיועדת לפלטפורמות רבות ומגוונות.
- גניבת המטבעות הדיגיטליים מ-ByBit, שה-FBI שייך לקבוצת ה-APT בשם TraderTraitor, כללה פריצה לשרשרת האספקה באמצעות Safe{Wallet} והביאה לאובדן של כ-1.5 מיליארד דולר. באותו הזמן, קבוצות אחרות המזוהות עם צפון קוריאה הראו עליות פתאומיות בקצב הפעילות שלהם: בתחילת 2025, הקבוצות Kimusky ו-Konni חזרו לקצב הפעילות הרגיל שלהם לאחר ירידה משמעותית בסוף 2024, והעבירו את המיקוד שלהם מעמותות ומומחי צפון קוריאה דוברי אנגלית לישויות וצוותים דיפלומטיים מדרום קוריאה; קבוצת Andariel חזרה לפני השטח לאחר שנה של חוסר פעילות, באמצעות מתקפה מתוחכמת נגד חברת תוכנה תעשייתית דרום קוריאנית.