Le attività dei gruppi APT selezionati tra il quarto trimestre 2022 e il primo trimestre 2023 sono state oggetto di indagine e analisi da parte dei ricercatori di ESET. Le minacce hanno riguardato diversi paesi e settori, con un aumento delle attività in Europa e Asia.
Attacchi mirati in Europa e Asia
I gruppi di minacce cinesi, come Ke3chang e Mustang Panda, si sono concentrati su organizzazioni europee, utilizzando nuove varianti di malware e backdoor. Anche il gruppo MirrorFace ha preso di mira il Giappone con nuovi metodi di distribuzione del malware. Allo stesso tempo, i gruppi legati all’India, SideWinder e Donot Team, hanno continuato a colpire istituzioni governative nel sud dell’Asia e nel settore dell’istruzione in Cina.
Attività nel Medio Oriente e Corea del Sud
Nel Medio Oriente, il gruppo iraniano MuddyWater ha cambiato strategia, passando dall’utilizzo di SimpleHelp a script PowerShell. In Israele, OilRig ha impiegato una nuova backdoor chiamata Mango e il downloader SC5k. I gruppi legati alla Corea del Nord, come ScarCruft, Andariel e Kimsuky, hanno continuato a concentrarsi su entità sudcoreane e correlate, utilizzando i loro strumenti abituali.
Gruppi APT russi attivi in Ucraina e paesi dell’UE
I gruppi APT legati alla Russia, come Sandworm, Gamaredon, Sednit e i Dukes, sono stati particolarmente attivi in Ucraina e nei paesi dell’Unione Europea. Sandworm ha utilizzato wiper, tra cui uno nuovo chiamato SwiftSlicer, mentre gli altri gruppi hanno impiegato email di spearphishing che, nel caso dei Dukes, hanno portato all’esecuzione di un impianto di red team noto come Brute Ratel.
