Il nuovo report evidenzia un’intensificazione delle attività di spionaggio e sabotaggio: i gruppi allineati alla Cina ampliano le operazioni in LATAM, mentre quelli legati alla Russia concentrano gli attacchi su Ucraina e UE, con una campagna di spearphishing che ha sfruttato il nome di ESET
ESET, leader globale nel mercato della cybersecurity, ha pubblicato il nuovo APT Activity Report, che evidenzia le attività di alcuni gruppi APT monitorati dai ricercatori ESET nel periodo compreso tra aprile e settembre 2025. In questi mesi, i gruppi APT allineati alla Cina hanno continuato ad agire in linea con gli obiettivi geopolitici di Pechino. ESET ha osservato un uso crescente della tecnica adversary-in-the-middle sia per l’accesso iniziale sia per i movimenti laterali, in quella che appare come una risposta al rinnovato interesse strategico dell’amministrazione Trump per l’America Latina e, più in generale, come un riflesso della continua rivalità tra Stati Uniti e Cina. Il gruppo FamousSparrow ha lanciato una campagna contro l’America Latina, prendendo di mira numerose entità governative nella regione. In Europa, le entità governative hanno continuato a rappresentare un obiettivo privilegiato per le operazioni di cyber spionaggio dei gruppi APT allineati alla Russia, che hanno intensificato le proprie attività contro l’Ucraina e diversi Stati membri dell’UE.
In particolare, anche i bersagli non ucraini dei gruppi filorussi presentavano legami strategici o operativi con l’Ucraina, a conferma del ruolo centrale che il Paese continua a rivestire negli interessi di intelligence russi. Il gruppo RomCom ha sfruttato una vulnerabilità zero-day in WinRAR per distribuire DLL malevole e installare diverse backdoor, prendendo di mira soprattutto i settori finanziario, manifatturiero, della difesa e della logistica nell’UE e in Canada. Considerando l’elevato costo degli exploit zero-day, i gruppi Gamaredon e Sandworm hanno invece preferito ricorrere allo spearphishing come metodo principale di compromissione. Gamaredon è rimasto il gruppo APT più attivo contro l’Ucraina, con un evidente aumento dell’intensità e della frequenza delle operazioni. Sandworm, anch’esso focalizzato sull’Ucraina, ha invece perseguito obiettivi distruttivi, concentrando gli attacchi su enti governativi, energia, logistica e settore agricolo, con il probabile intento di indebolire l’economia ucraina.
Il gruppo FrostyNeighbor, allineato alla Bielorussia, ha sfruttato una vulnerabilità XSS in Roundcube. Aziende polacche e lituane sono state prese di mira da email di spearphishing che imitavano comunicazioni di imprese polacche. I messaggi si distinguevano per l’uso combinato di elenchi puntati ed emoji, una struttura che ricorda quella dei contenuti generati da AI, suggerendo quindi un possibile impiego dell’AI nella campagna. I payload distribuiti includevano un credential stealer e un email message stealer.
“È interessante notare che un gruppo APT allineato alla Russia, InedibleOchotense, ha condotto una campagna di spearphishing impersonando ESET. L’attacco prevedeva l’invio di email e messaggi via Signal contenenti un installer ESET trojanizzato, che installava il legittimo prodotto ESET insieme alla backdoor Kalambur”, spiega Jean-Ian Boutin, Director of Threat Research di ESET.
In Asia, i gruppi APT hanno continuato a colpire entità governative e i settori tecnologico, ingegneristico e manifatturiero, in linea con quanto osservato nel periodo precedente. I gruppi APT allineati alla Corea del Nord sono rimasti altamente attivi contro la Corea del Sud e il suo settore tecnologico, con particolare attenzione alle criptovalute, che rappresentano una fonte di finanziamento cruciale per il regime.
“I gruppi allineati alla Cina restano molto attivi, con campagne che ESET ha recentemente osservato in Asia, Europa, America Latina e Stati Uniti. Questa estensione globale dimostra come gli attori APT allineati a Pechino continuino a essere mobilitati per supportare una vasta gamma di priorità geopolitiche del Paese”, aggiunge Boutin.
Tra giugno e settembre, ESET ha inoltre osservato numerose operazioni del gruppo FamousSparrow in America Latina, rivolte soprattutto contro entità governative. Queste attività rappresentano la parte principale delle operazioni attribuite al gruppo nel periodo analizzato, suggerendo che la regione sia stata il suo principale obiettivo operativo negli ultimi mesi. Le vittime identificate comprendono diverse entità governative in Argentina, una in Ecuador, una in Guatemala, varie in Honduras e una a Panama.
I prodotti ESET proteggono i sistemi dei clienti dalle attività malevole descritte nel report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET, verificati dai ricercatori che redigono report tecnici approfonditi e aggiornamenti periodici sulle attività dei singoli gruppi APT. Queste analisi di threat intelligence, note come ESET APT Reports, supportano le organizzazioni incaricate di proteggere cittadini, infrastrutture critiche e asset di alto valore da attacchi informatici condotti da criminali e attori statali. Ulteriori informazioni sugli ESET APT Reports e sulla fornitura di threat intelligence tattica e strategica di alta qualità e immediata applicabilità sono disponibili alla pagina ESET Threat Intelligence.
