- 27,207
- 46
- 8 Ноя 2022
За сухими строками отчёта проступила карта чужих интересов и будущих кризисов.
Мировая карта кибершпионажа за полгода заметно изменилась: одни группы следили за нефтью, морскими маршрутами и оборонными технологиями, другие пытались ударить по энергетике, криптовалютам и цепочкам поставок программного обеспечения.
ESET опубликовала отчёт о действиях APT-групп за четвёртый квартал 2025 года и первый квартал 2026 года. Документ подготовил Жан-Ян Бутен из ESET Research. В отчёте собраны заметные кампании, которые специалисты компании отслеживали с октября 2025-го по март 2026 года.
Связанные с Китаем группы оставались активны по всему миру. По данным ESET, FamousSparrow атаковала государственную структуру Венесуэлы, связанную с морской отраслью. Цель могла заключаться в наблюдении за устойчивостью нефтяных поставок после военной операции США. SteppeDriver, в свою очередь, нацелилась на сирийскую государственную сеть, что авторы отчёта связывают с интересом Пекина к восстановлению Сирии и вопросами безопасности.
ESET также обнаружила PhiliKit, новый вредоносный модуль из набора SPAWN, который связывают с UNC5221 и атаками на <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-устройства Ivanti . Группа NegativeGlimmer, по данным компании, взломала государственные организации в Камбодже и Панаме, а также южнокорейскую компанию в сфере искусственного интеллекта и робототехники.
Иранское направление резко изменилось после начала войны в конце февраля 2026 года. Активность известных иранских APT-групп в телеметрии ESET снизилась, вероятно, из-за интернет-ограничений внутри страны. При этом выросла роль прокси-групп и хактивистов, атаковавших Израиль, США и другие государства, которые Тегеран считает противниками.
Северокорейские группы продолжили охоту на разработчиков и криптовалютную отрасль. Lazarus и DeceptiveDevelopment делали ставку на долгую социальную инженерию, а Kimsuky и Konni чаще использовали быстрые точечные атаки. ESET также зафиксировала возвращение Andariel в Южной Корее, где группа применяла TigerRAT и пыталась распространить вымогательское ПО Rook в инженерной компании.
Отдельно ESET описала кампании Lazarus Operation DreamJob и Operation DangerousPassword. Первая была направлена против европейских производителей беспилотников. Вторая привела к компрометации библиотеки axios для JavaScript, которую еженедельно загружают более 100 млн раз через npm. Злоумышленники получили доступ к учётной записи ведущего сопровождающего проекта и выпустили вредоносные версии библиотеки.
ESET также упомянула фишинговую атаку против японского аналитического центра, Android-шпион Asin для арабоязычных пользователей и взлом оборонной компании в ОАЭ через сервер SmartOffice CRM.
Кибератаки всё меньше похожи на отдельные инциденты и всё больше отражают реальные конфликты, экономические интересы и борьбу за влияние, поэтому защищать теперь приходится не только серверы, но и связи между странами, бизнесом и технологиями.
Мировая карта кибершпионажа за полгода заметно изменилась: одни группы следили за нефтью, морскими маршрутами и оборонными технологиями, другие пытались ударить по энергетике, криптовалютам и цепочкам поставок программного обеспечения.
ESET опубликовала отчёт о действиях APT-групп за четвёртый квартал 2025 года и первый квартал 2026 года. Документ подготовил Жан-Ян Бутен из ESET Research. В отчёте собраны заметные кампании, которые специалисты компании отслеживали с октября 2025-го по март 2026 года.
Связанные с Китаем группы оставались активны по всему миру. По данным ESET, FamousSparrow атаковала государственную структуру Венесуэлы, связанную с морской отраслью. Цель могла заключаться в наблюдении за устойчивостью нефтяных поставок после военной операции США. SteppeDriver, в свою очередь, нацелилась на сирийскую государственную сеть, что авторы отчёта связывают с интересом Пекина к восстановлению Сирии и вопросами безопасности.
ESET также обнаружила PhiliKit, новый вредоносный модуль из набора SPAWN, который связывают с UNC5221 и атаками на <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-устройства Ivanti . Группа NegativeGlimmer, по данным компании, взломала государственные организации в Камбодже и Панаме, а также южнокорейскую компанию в сфере искусственного интеллекта и робототехники.
Иранское направление резко изменилось после начала войны в конце февраля 2026 года. Активность известных иранских APT-групп в телеметрии ESET снизилась, вероятно, из-за интернет-ограничений внутри страны. При этом выросла роль прокси-групп и хактивистов, атаковавших Израиль, США и другие государства, которые Тегеран считает противниками.
Северокорейские группы продолжили охоту на разработчиков и криптовалютную отрасль. Lazarus и DeceptiveDevelopment делали ставку на долгую социальную инженерию, а Kimsuky и Konni чаще использовали быстрые точечные атаки. ESET также зафиксировала возвращение Andariel в Южной Корее, где группа применяла TigerRAT и пыталась распространить вымогательское ПО Rook в инженерной компании.
Отдельно ESET описала кампании Lazarus Operation DreamJob и Operation DangerousPassword. Первая была направлена против европейских производителей беспилотников. Вторая привела к компрометации библиотеки axios для JavaScript, которую еженедельно загружают более 100 млн раз через npm. Злоумышленники получили доступ к учётной записи ведущего сопровождающего проекта и выпустили вредоносные версии библиотеки.
ESET также упомянула фишинговую атаку против японского аналитического центра, Android-шпион Asin для арабоязычных пользователей и взлом оборонной компании в ОАЭ через сервер SmartOffice CRM.
Кибератаки всё меньше похожи на отдельные инциденты и всё больше отражают реальные конфликты, экономические интересы и борьбу за влияние, поэтому защищать теперь приходится не только серверы, но и связи между странами, бизнесом и технологиями.
- Источник новости
- www.securitylab.ru
