Отчет ESET о деятельности APT за 4-й квартал 2025 г. – 1-й квартал 2026 г. содержит краткий обзор значимых действий отдельных групп, представляющих угрозу APT (Advanced Persistent Threat), зафиксированных исследователями ESET в период с октября 2025 г. по март 2026 г. Операции, описанные в данном отчете, являются типичными для более широкого спектра угроз, которые мы исследовали в течение этого периода, иллюстрируют ключевые тенденции и события и содержат лишь небольшую часть данных по кибербезопасности, предоставляемых клиентам ESET Threat Intelligence APT Reports.
В течение отслеживаемого периода злоумышленники, связанные с Китаем, оставались весьма активными по всему миру, проводя шпионские кампании, частично обусловленные геополитическими событиями, затрагивающими экономические и безопасности интересы Пекина. После военной операции США в Венесуэле и на фоне продолжающейся нестабильности в регионе Персидского залива мы заметили признаки того, что группы, связанные с Китаем, мобилизовались для улучшения осведомленности Пекина о событиях в морской, энергетической и политической сферах за рубежом. В одном примечательном случае FamousSparrow атаковала венесуэльскую государственную структуру, связанную с морскими делами, вероятно, с целью отслеживания устойчивости поставок нефти после вмешательства США. Мы также заметили, что SteppeDriver атаковала сеть сирийского правительства; эта активность может отражать как коммерческий интерес Китая к проектам восстановления Сирии, так и опасения по поводу безопасности в связи с присутствием в этой стране уйгурских боевиков. На VirusTotal мы обнаружили PhiliKit, новый имплантант, который, по нашей оценке, является частью набора инструментов SPAWN группы UNC5221, нацеленного на устройства Ivanti VPN, в то время как наше отслеживание NegativeGlimmer показало, что эта группа взломала правительственные учреждения в Камбодже и Панаме, а также компанию, занимающуюся искусственным интеллектом и робототехникой, в Южной Корее. Последнее нападение в Южной Корее соответствует постоянному интересу Пекина к стратегическим технологиям, приоритетным в рамках политики промышленного развития «Сделано в Китае 2025».
Война в Иране, начавшаяся в конце февраля 2026 года, стала определяющим событием для деятельности, связанной с Ираном, в этот период. Парадоксально, но конфликт совпал со снижением активности со стороны известных APT-групп, связанных с Ираном, в нашей телеметрии, скорее всего потому, что ограничения в интернете, введенные иранским режимом, затруднили их способность эффективно действовать. В то же время такая обстановка, по-видимому, способствовала мобилизации прокси-акторов и хактивистов, нацеленных на Израиль, США и другие государства, рассматриваемые как враждебные Тегерану. Мы также зафиксировали необычный всплеск активности против израильских целей, который мы не смогли с уверенностью связать с ранее известными группами. Две группы неизвестного происхождения, Rusty Boots и MoKhargosh, продемонстрировали как шпионские возможности, так и разрушительный потенциал — включая развертывание утилиты для стирания данных типа bootkit и сохранение инструментов для нанесения ущерба для последующего использования — в то время как третья группа, MOØN Badr, по-видимому, ограничивалась целевым шпионажем.
Злоумышленники, связанные с Северной Кореей, оставались активными на нескольких фронтах. Несколько групп продолжали нацеливаться на разработчиков и экосистему криптовалют с помощью схем социальной инженерии, которые могут принести как прямую финансовую выгоду, так и возможности для компрометации цепочки поставок программного обеспечения. Lazarus и DeceptiveDevelopment продолжали инвестировать в построение долгосрочных отношений с ценными целями, в то время как Kimsuky и Konni предпочитали более быстрые и оппортунистические атаки. Мы также обнаружили повторное появление Andariel в Южной Корее, где группа развернула TigerRAT и пыталась распространить вымогательское ПО Rook в инженерной компании, которая, по-видимому, производит оборудование, связанное с обращением с жидким водородом и атомной промышленностью — технологии, которые, очевидно, представляют интерес для баллистических и ядерных амбиций Пхеньяна.
Мы также отслеживали продолжающуюся эволюцию кампаний Lazarus, включая Operation DreamJob и Operation DangerousPassword. Первая была направлена на европейских производителей дронов; вторая привела к взлому широко используемой библиотеки JavaScript axios, которая имеет более 100 миллионов еженедельных загрузок в реестре npm и имеет критическое значение для веб-приложений и мобильных приложений по всему миру. Злоумышленники использовали скомпрометированные учетные данные ведущего разработчика, чтобы опубликовать вредоносные версии библиотеки, которые внедряли троянский код в затронутые системы, прежде чем их обнаружили и удалили. Параллельно с этим ScarCruft взломала игровую платформу, обслуживающую регион Яньбянь в Китае, вероятно, с целью сбора разведданных о лицах, представляющих интерес для северокорейского режима, включая беженцев и перебежчиков.
Злоумышленники, связанные с Россией, по-прежнему уделяли основное внимание Украине и организациям, связанным с оборонными усилиями страны. Sednit использовала свои имплантаты Covenant и BeardShell против украинского военного персонала, производителей дронов и организаций, занимающихся исследованиями и разработками в области дронов, а также нацелилась на логистические и транспортные компании за пределами Украины. Sandworm активизировала свою разрушительную деятельность зимой, запустив в Украине несколько новых программ-уничтожителей против целей в государственном и частном секторах. Особого внимания заслуживает инцидент по уничтожению данных, произошедший в декабре 2025 года и затронувший польскую энергетическую компанию, который мы с умеренной степенью уверенности приписываем Sandworm. Хотя разрушительные атаки со стороны связанных с Россией злоумышленников за пределами Украины остаются редкими, этот случай выделяется тем, что затронул критически важную инфраструктуру в стране-члене НАТО. Учитывая роль Польши в стабилизации электроснабжения Украины, возможно, что операция была направлена на создание нагрузки на энергосистему Украины в зимний период.
Мы также отследили несколько заслуживающих внимания кампаний, проводимых менее известными и неатрибутированными кластерами. К ним относятся фишинговая атака «браузер в браузере» против японского аналитического центра, шпионское ПО для Android, которое мы назвали Asin и которое нацелено на арабоязычных пользователей через приложения, якобы предлагающие функции отслеживания конфликтов, а также взлом оборонной компании в Объединенных Арабских Эмиратах через сервер CRM SmartOffice с последующим развертыванием настраиваемых инструментов для последующей эксплуатации и обратного прокси.
Продукты ESET защищают системы наших клиентов от вредоносной деятельности, описанной в этом отчете. Представленная здесь аналитическая информация основана в основном на собственных телеметрических данных ESET и проверена исследователями ESET.
Отчеты ESET о деятельности APT содержат лишь часть данных разведки в области кибербезопасности, представленных в отчетах ESET Threat Intelligence APT. Для получения дополнительной информации посетите веб-сайт ESET Threat Intelligence .
