Intelligence che rafforza la tua
resilienza
Anticipa e neutralizza le minacce globali grazie a ESET Threat Intelligence, basata
su dati selezionati, ricerca approfondita sugli APT e competenze dirette dei nostri esperti.
Intelligence che rafforza la tua
Come risolviamo le sfide più complesse della tua CTI
Scopri come ESET Threat Intelligence trasforma la consapevolezza in consapevolezza strategica.
Visibilità sulle minacce globali ed emergenti
Scopri come ESET Threat Intelligence trasforma la consapevolezza in consapevolezza strategica.
Vincoli di risorse o mancanza di competenze nei team CTI
L’intelligence verificata da esperti e l’accesso opzionale agli analisti riducono il carico di lavoro e accelerano la comprensione delle minacce.
Monitoraggio degli attori APT e delle campagne in evoluzione
I report sugli APT e i feed di IoC di ESET offrono una consapevolezza situazionale continua.
Tempo di risposta alle minacce eccessivo o feed ingestibili
AI Advisor, accesso a MISP, feed curati e un contesto approfondito sugli APT permettono decisioni più rapide e informate.
Integrazione e automazione della CTI
Formati standardizzati dei feed (STIX 2.1, JSON) consentono un’integrazione semplice con SIEM/SOAR e processi automatizzati.
Prevenzione proattiva, non solo rilevamento
I feed di threat intelligence alimentano controlli preventivi e attività di threat hunting prima che le minacce si concretizzino.
Cosa rende ESET Intelligence unica
750.000
campioni sospetti ricevuti ogni giorno
2,5mld
di URL analizzati ogni giorno
500.000
URL unici bloccati quotidianamente
60mil
di record di metadata elaborati ogni giorno
VISIBILITÀ GLOBALE E UNICA
Con milioni di sensori e una forte visibilità anche in regioni difficili da monitorare, ESET offre una comprensione chiara delle minacce informatiche globali ed emergenti.
FEED CURATI E PRONTI PER L’INTEGRAZIONE
Feed puliti, deduplicati e classificati per livello di affidabilità, disponibili in formati STIX/JSON, si integrano facilmente con strumenti SIEM, SOAR e TIP, riducendo i falsi positivi e il carico di lavoro.
INTELLIGENCE BASATA SU AI E VERIFICATA DA ESPERTI
ESET combina analisi avanzate basate su intelligenza artificiale con ricerche di livello mondiale condotte da esperti per fornire threat intelligence accurata, contestualizzata e realmente azionabile — non semplici dati.
INSIGHT APPROFONDITI E ACCESSO AGLI ANALISTI
Report esclusivi su APT ed eCrime, feed di IoC in tempo reale, insight dell’AI Advisor e sessioni dirette con analisti supportano una difesa proattiva e decisioni strategiche più efficaci.
Scopri il portfolio di intelligence di ESET
APT Reports
Grazie a milioni di sensori e a una visibilità estesa anche in regioni difficili da monitorare, ESET offre una comprensione chiara delle minacce informatiche globali ed emergenti.
eCrime Reports
Intelligence chiara e azionabile sulle operazioni di cybercrime a scopo finanziario e sugli ecosistemi malware.
Feeds
Flussi di dati in tempo reale, curati e pronti per l’automazione e l’integrazione.
Fiducia globale. Competenza comprovata
ESET Threat Intelligence aiuta governi, infrastrutture critiche e grandi imprese globali a vedere di più, rilevare più rapidamente e mantenere la resilienza.
ESET è membro di CISA, collaborando con i difensori cyber di tutto il mondo per supportare la pianificazione coordinata della cyber difesa e la condivisione in tempo reale di threat intelligence.
ESET è tra i contributori più attivi al framework MITRE ATT&CK ed è una delle fonti citate con maggior frequenza.
ESET è certificata con il marchio “Cybersecurity Made in Europe” di ECSO, che conferma una protezione affidabile e sovrana per le organizzazioni che operano in ambienti regolamentati.
ESET collabora con ENISA tramite eventi congiunti di cybersecurity e il contributo dei propri esperti, incluse analisi condivise sulle minacce alla supply chain e insight sul panorama delle minacce europeo.
“La visibilità di ESET su un insieme unico di dati è ciò che la rende attraente nel mondo della CTI.”
— Cliente del settore difesa
Conosci la minaccia.
Anticipa l’attore
La ricerca e la telemetria di ESET rivelano l’infrastruttura, le tattiche e le campagne dietro l’attività APT globale — dallo spionaggio sponsorizzato da stati alle operazioni mirate a specifiche regioni.
Ecco gli attori delle minacce
NON AFFILIATI
ALLINEATI ALLA RUSSIA
ALLINEATI AL PAKISTAN
ALTRI GRUPPI DEL MEDIO ORIENTE
ALTRI GRUPPI DELL’EUROPA ORIENTALE
ALTRI GRUPPI DELL’ASIA ORIENTALE
ALLINEATI ALLA COREA DEL NORD
ALLINEATI ALL’IRAN
ALLINEATI ALL’INDIA
ALLINEATI ALLA CINA
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
ALLINEATI ALL’ASIA CENTRALE
GOLDENJACKAL
Attivo almeno dal 2019. Il toolkit noto del gruppo è usato per spionaggio. Prende di mira enti governativi e diplomatici in Europa, Medio Oriente e Asia meridionale. Il gruppo è poco conosciuto ed è stato descritto pubblicamente solo da Kaspersky nel 2023.
ATTOR
Scoperto dai ricercatori ESET. Attivo almeno dal 2008. Conosciuto per la sua piattaforma di cyber spionaggio eponima, notevole per l’architettura a plugin complessa e le comunicazioni di rete elaborate che fanno uso di Tor. Ha compromesso utenti in Lituania, Russia, Slovacchia, Turchia, Emirati Arabi Uniti, Vietnam e Ucraina. Prende di mira due tipologie di utenti: utenti russofoni sensibili alla privacy e organizzazioni di alto profilo in Europa, incluse missioni diplomatiche e istituzioni governative.
BUHTRAP
Ben noto per aver preso di mira istituzioni finanziarie e aziende in Russia. Dalla fine del 2015 è passato da gruppo puramente criminale (profitto finanziario) ad attore di cyber spionaggio in Europa orientale e Asia centrale. Si ritiene allineato alla Russia perché ha impiegato un exploit zero‑day di Windows contro un obiettivo in Ucraina.
CALLISTO
Anche noto come COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto, BlueCharlie. Gruppo di cyber spionaggio, attivo almeno dal 2015. Mira a funzionari governativi europei e nordamericani, think tank e personale militare. Focalizzato su spearphishing e furto di credenziali di webmail. Nel 2022 ha cercato di rubare credenziali di webmail a funzionari ucraini e a personale di società statali ucraine. Le credenziali sarebbero state usate per leggere email riservate o rubare documenti da servizi cloud. Con ogni probabilità, tali azioni facevano parte di un’operazione di spionaggio legata alla guerra Russia‑Ucraina. Nel 2023 il governo del Regno Unito ha sanzionato due membri del gruppo e lo ha collegato al 18° Centro per la Sicurezza delle Informazioni dell’FSB.
GAMAREDON
Attivo almeno dal 2013. Responsabile di numerosi attacchi, per lo più contro istituzioni governative ucraine, come evidenziato da rapporti CERT‑UA e altre fonti ufficiali. Il SBU ha collegato il gruppo al 18° Centro FSB operante dalla Crimea occupata. ESET ritiene che questo gruppo collabori con InvisiMole e ne ha documentato la collaborazione con Turla dall’inizio del 2025.
GREENCUBE
Gruppo di cyber spionaggio allineato alla Russia, attivo almeno dal 2022. Specializzato in spearphishing per furto di credenziali e esfiltrazione di email tramite vulnerabilità XSS in Roundcube. Target tipici: organizzazioni governative e difesa in Grecia, Polonia, Serbia e Ucraina.
INVISIMOLE
Gruppo di cyber spionaggio allineato alla Russia, Attivo almeno dal 2013. Conosciuto per attacchi di spionaggio mirato ad istituzioni governative, enti militari e missioni diplomatiche. Focus soprattutto su Ucraina, con attività in crescita dal 2021; ha preso di mira anche Armenia, Bielorussia, Grecia e Russia. ESET ritiene che collabori con Gamaredon (collegato all’FSB).
OPERATION TEXONTO
Campagna di disinformazione/PSYOPS che prende di mira ucraini e dissidenti in Russia. Inoltre, ESET ha rilevato campagne di spearphishing contro una società ucraina della difesa e un’agenzia dell’UE nel 2023, con l’obiettivo di rubare credenziali per account Microsoft Office 365. Operation Texonto non è attualmente attribuita a uno specifico attore della minaccia. Tuttavia, date le TTP, il targeting e la diffusione dei messaggi, esiste un’alta probabilità che la campagna sia stata condotta da un gruppo allineato agli interessi della Russia.
ROMCOM
Conosciuto anche come Storm‑0978, Tropical Scorpius o UNC2596. Un gruppo allineato alla Russia che conduce sia operazioni di cybercrime opportunistico contro specifici settori aziendali, sia operazioni di spionaggio mirato, raccogliendo informazioni. Collegato alla distribuzione del cosiddetto ransomware “Cuba” almeno dal 2022. Più recentemente, è stato impegnato nel prendere di mira il governo e il settore della difesa ucraino, gli alleati della NATO e diverse organizzazioni governative in Europa.
SAINTBEAR
Conosciuto anche come UAC‑0056, UNC2589, EmberBear, LorecBear, Lorec53 o TA471. Gruppo di cyber spionaggio che prende di mira Ucraina e Georgia. Attivo almeno dal 2021. Si ritiene che sia allineato alla Russia. Particolarmente interessato a obiettivi di alto profilo, principalmente nel settore governativo ucraino. Distribuisce infostealer e backdoor su macchine compromesse. Osservato mentre distribuiva Cobalt Strike nel 2022. Valutato con alta confidenza come responsabile dell’attacco WhisperGate nel 2022.
SANDWORM
Gruppo di minaccia allineato alla Russia che esegue vari attacchi distruttivi. Comunemente attribuito all’Unità 74455 della Direzione Principale dell’Intelligence russa (GRU). Conosciuto soprattutto per gli attacchi contro il settore energetico ucraino nel 2015 e 2016, che causarono blackout. ESET traccia le attività del gruppo sotto vari sottogruppi: il sottogruppo TeleBots, principalmente interessato ad attaccare entità finanziarie in Ucraina; GreyEnergy, noto per l’uso massiccio del malware omonimo contro obiettivi di infrastrutture critiche, rilevato in aziende energetiche in Polonia, Ucraina e Georgia. Nel 2018, il gruppo lanciò l’attacco di cancellazione dati Olympic Destroyer contro gli organizzatori dei Giochi Olimpici invernali di PyeongChang. Usa malware avanzati come Industroyer, in grado di comunicare con apparecchiature nelle aziende energetiche tramite protocolli di controllo industriale. Nel 2020, il Dipartimento di Giustizia degli Stati Uniti pubblicò un’incriminazione contro sei hacker russi, sostenendo che avessero preparato e condotto vari attacchi del gruppo.
SEDNIT
Conosciuto anche come APT28, Fancy Bear, Forest Blizzard o Sofacy. Attivo almeno dal 2004. Il Dipartimento di Giustizia degli Stati Uniti ha indicato il gruppo come uno dei responsabili dell’hack del Democratic National Committee (DNC) poco prima delle elezioni USA del 2016 e lo ha collegato al GRU. Presunto anche responsabile dell’attacco alla rete televisiva globale TV5Monde, della fuga di email dell’Agenzia Mondiale Antidoping (WADA) e di molti altri incidenti. Il gruppo ha un set diversificato di strumenti malware nel suo arsenale, ma oggi conduce principalmente campagne di phishing mirato. Tuttavia, è stato ancora osservato mentre distribuiva impianti avanzati personalizzati.
THE DUKES
Conosciuto anche come APT29, Cozy Bear o Nobelium. Un famigerato gruppo di cyber spionaggio, attivo almeno dal 2008. Secondo il NCSC‑UK, è associato al SVR (Servizio di Intelligence Estero della Federazione Russa). Conosciuto come uno dei gruppi che hanno hackerato il DNC statunitense nel periodo precedente alle elezioni del 2016. Nel 2019, ESET ha esposto una sua vasta operazione di spionaggio che prendeva di mira diversi ministeri degli affari esteri europei. Conosciuto per l’attacco supply‑chain del 2020 tramite SolarWinds, che ha portato alla compromissione di importanti organizzazioni, inclusi numerosi enti governativi USA. Responsabile di diverse campagne di spearphishing nel 2021, rivolte a diplomatici in Europa.
TURLA
Conosciuto anche come Snake. Un gruppo di cyber spionaggio attivo almeno dal 2004, forse risalente alla fine degli anni ’90. Si ritiene che faccia parte dell’FSB. Si concentra principalmente su obiettivi di alto profilo, come governi ed entità diplomatiche, in Europa, Asia centrale e Medio Oriente. È noto per aver violato importanti organizzazioni come il Dipartimento della Difesa degli Stati Uniti nel 2008 e la società svizzera della difesa RUAG nel 2014.
UAC-0099
Gruppo di cyber spionaggio che prende di mira organizzazioni governative, istituzioni finanziarie e media in Ucraina. Attivo almeno dal 2022. In base ai target, si ritiene con confidenza media che il gruppo sia allineato agli interessi russi. Distribuisce tipicamente LONEPAGE, un downloader PowerShell chiamato così per la presenza della parola “page” nei link C&C (command and control).
VERMIN
Conosciuto anche come UAC‑0020. Gruppo di minaccia allineato alla Russia, noto per attacchi di cyber spionaggio contro target governativi e militari in Ucraina. Attivo almeno dal 2015. Si ritiene che il gruppo sia associato alla cosiddetta Repubblica Popolare di Luhansk.
ZEBROCY
Conosciuto anche come UAC‑0063 o TAG‑110. Gruppo allineato alla Russia, noto per attacchi di cyber spionaggio contro obiettivi governativi, militari e legati agli affari esteri in Asia Centrale e Ucraina. Attivo almeno dal 2015. Il toolkit malware Zebrocy è utilizzato per campagne di attacco mirate e contiene tutte le capacità necessarie allo spionaggio, come keylogging, screenshot, ricognizione, enumerazione file ed esfiltrazione, e altro. È sviluppato in modo modulare, consentendo aggiornamenti e l’esecuzione di nuovi moduli.
TRANSPARENT TRIBE
Conosciuto anche come Operation C‑Major, Mythic Leopard, ProjectM, APT36 o Earth Karkaddan. Gruppo di cyber spionaggio che prende di mira l’Esercito indiano e asset correlati in India, oltre ad attivisti e società civile in Pakistan. Attribuzioni deboli a un collegamento con il Pakistan sono state fatte da Trend Micro e altri. Il gruppo utilizza social engineering e phishing per distribuire malware. Storicamente, ha distribuito backdoor, in particolare CrimsonRAT, contro vittime che utilizzano Windows, con uso occasionale della backdoor Android AndroRAT.
ARID VIPER
Conosciuto anche come APT‑C‑23, Desert Falcons o Two‑tailed Scorpion. Gruppo di cyber spionaggio noto per prendere di mira paesi del Medio Oriente. Attivo almeno dal 2013. Prende principalmente di mira vittime palestinesi e israeliane, inclusi forze dell’ordine, militari e governo, ma anche attivisti e studenti. Distribuisce un vasto arsenale di malware per piattaforme Android, iOS e Windows, incluse diverse backdoor personalizzate. Si ritiene che il gruppo sia affiliato a Hamas e operi dalla Striscia di Gaza.
BAHAMUT
Gruppo APT specializzato in cyber spionaggio. Si ritiene che il suo obiettivo sia rubare informazioni sensibili. Riferito anche come gruppo mercenario che offre servizi di hack‑for‑hire a un’ampia gamma di clienti. Tipicamente prende di mira entità e individui in Medio Oriente e Asia meridionale tramite messaggi di spearphishing e applicazioni false come vettore di attacco iniziale.
BIBIGUN
Gruppo hacktivista sostenuto da Hamas. Apparso per la prima volta durante la guerra Israele‑Hamas del 2023. Il gruppo è noto per distribuire wiper contro obiettivi israeliani, utilizzando sia binari Windows che Linux. Il wiper iniziale del gruppo è stato scoperto da Security Joes nel 2023, e un altro è stato scoperto da ESET e segnalato nello stesso anno.
BLADEHAWK
Gruppo di minaccia di cyber spionaggio del Medio Oriente, scoperto nel 2020. Storicamente ha preso di mira il gruppo etnico curdo del nord dell’Iraq. Il gruppo ha utilizzato malware sia per Windows sia per Android per prendere di mira le sue vittime. Nel 2021, ESET aveva descritto una campagna di spionaggio del gruppo, distribuita tramite contenuti pro‑curdi su Facebook, che prendeva di mira utenti mobili con backdoor Android.
POLONIUM
Gruppo di cyber spionaggio documentato per la prima volta nel 2022. Si ritiene che il gruppo abbia sede in Libano e prenda principalmente di mira organizzazioni israeliane. Il suo set di strumenti consiste in sette backdoor personalizzate, inclusa una che abusa dei servizi cloud OneDrive e Dropbox per il comando e controllo, e altre che utilizzano Dropbox e Mega. Il gruppo ha anche utilizzato diversi moduli personalizzati per spiare i suoi obiettivi.
STEALTH FALCON
Gruppo di minaccia associato agli Emirati Arabi Uniti. Attivo dal 2012. Noto per prendere di mira attivisti politici, giornalisti e dissidenti in Medio Oriente. Scoperto e descritto per la prima volta da Citizen Lab nella sua analisi degli attacchi spyware pubblicata nel 2016. Nel 2019, Amnesty International ha concluso che Stealth Falcon e Project Raven, un’iniziativa che presumibilmente impiegava ex‑operatori della NSA, sono lo stesso gruppo.
STRONGPITY
Conosciuto anche come PROMETHIUM o APT‑C‑41. Gruppo di cyber spionaggio attivo almeno dal 2012. Prende di mira principalmente entità situate in Turchia, ma ha operato in tutto il mondo. Storicamente ha preso di mira la piattaforma Windows con il suo malware omonimo. Tuttavia, alla fine del 2022, due campagne che distribuivano app Android trojanizzate sono state attribuite al gruppo.
ASYLUM AMBUSCADE
Un gruppo di cybercrime che ha condotto operazioni di cyber spionaggio parallelamente. Diventato pubblico per la prima volta nel marzo 2022 dopo che il gruppo ha preso di mira personale governativo europeo coinvolto nell’assistenza ai rifugiati ucraini, poche settimane dopo l’inizio della guerra Russia‑Ucraina.
CLOUD ATLAS
Conosciuto anche come Inception Framework. Gruppo di cyber spionaggio attivo almeno dal 2014. Si ritiene anche che sia uno spin‑off di Red October, un vecchio gruppo di cyber spionaggio che era probabilmente una collaborazione bi‑nazionale, secondo il blog di sicurezza Chronicle (ora parte di Google Security Operations). Il gruppo prende principalmente di mira governi e aziende in settori strategici come la difesa in Russia, Europa e Caucaso.
FROSTY NEIGHBOR
Conosciuto anche come UNC1151, DEV‑0257, PUSHCHA, Storm‑0257 o TA445. Attivo almeno dal 2016. Presumibilmente opera dalla Bielorussia. La maggior parte delle operazioni del gruppo ha preso di mira paesi confinanti con la Bielorussia; una piccola parte è stata osservata in altri paesi europei. Conduce campagne di influenza e disinformazione, ma ha anche compromesso diverse entità governative e del settore privato, con un focus su Ucraina, Polonia e Lituania.
MOUSTACHED BOUNCER
Gruppo di cyber spionaggio rivelato per la prima volta da ESET. Attivo almeno dal 2014. Prende di mira principalmente ambasciate straniere in Bielorussia. Dal 2020, il gruppo è stato probabilmente in grado di effettuare attacchi adversary‑in‑the‑middle a livello di ISP, all’interno della Bielorussia, per compromettere i suoi obiettivi.
WINTER VIVERN
Gruppo di cyber spionaggio scoperto per la prima volta nel 2021. Si ritiene che sia attivo almeno dal 2020. Prende di mira governi in Europa e Asia centrale. Il gruppo utilizza documenti malevoli, siti di phishing e una backdoor PowerShell personalizzata per compromettere i suoi obiettivi. Dal 2022 ha anche preso specificamente di mira server e‑mail Zimbra e Roundcube. Nel 2023, ESET ha osservato il gruppo sfruttare vecchie vulnerabilità XSS in Roundcube.
XDSPY
Gruppo di cyber spionaggio attivo almeno dal 2011. Noto per prendere di mira entità governative come eserciti, ministeri degli affari esteri e aziende statali in Europa orientale (inclusa la Russia) e nei Balcani. Il gruppo utilizza email di spearphishing per compromettere i suoi obiettivi. Nel 2020 ha sfruttato una vulnerabilità in Internet Explorer quando non esisteva un proof‑of‑concept pubblico e poche informazioni erano disponibili. È probabile che il gruppo abbia acquistato l’exploit da un broker.
APT-C-60
Conosciuto anche come False Hunter o APT‑Q‑12. Gruppo di cyber spionaggio allineato alla Corea del Sud, attivo almeno dal 2018. Si concentra principalmente su obiettivi di alto profilo come governi, industrie commerciali e think tank. Il gruppo utilizza eventi potenzialmente interessanti, o i suoi operatori si fingono studenti che chiedono opinioni su temi di ricerca, per attirare i target. Opera downloader personalizzati e una backdoor modulare distribuita tramite email di spearphishing. Le sue operazioni sono caratterizzate dall’impiego di molteplici fasi di downloader e da una backdoor personalizzata capace di caricare plugin.
ANDARIEL
Considerato un sottogruppo di Lazarus (collegato alla Corea del Nord). Le sue attività risalgono al 2009. Il gruppo si concentra principalmente su obiettivi sudcoreani, sia governativi che militari, oltre a aziende come banche, exchange di criptovalute e broker online. I suoi obiettivi sono orientati al cyber spionaggio o al guadagno finanziario. Tra gli incidenti pubblici del gruppo vi sono gli attacchi contro il Seoul International Aerospace & Defense Exhibition (ADEX) nel 2015 e la centrale nucleare indiana KKNPP nel 2019.
DECEPTIVE DEVELOPMENT
Gruppo allineato alla Corea del Nord, documentato per la prima volta nel 2023. I suoi operatori sono focalizzati principalmente sul guadagno finanziario, prendendo di mira sviluppatori software su Windows, Linux e macOS per rubare criptovalute, con un possibile obiettivo secondario di cyber spionaggio. Il gruppo utilizza falsi profili di recruiter sui social media. Contatta sviluppatori software, spesso coinvolti in progetti crypto, fornendo potenziali vittime con codebase infette che distribuiscono backdoor come parte di un finto processo di colloquio di lavoro.
KIMSUCKY
Gruppo di cyber spionaggio legato alla Corea del Nord. Attivo almeno dal 2013. Il gruppo inizialmente prendeva di mira entità legate alla Corea del Sud; tuttavia, negli ultimi anni, ha esteso le sue attività includendo Stati Uniti ed Europa. Prende di mira entità governative, istituti di ricerca, aziende crypto e aziende private, con l’obiettivo principale di cyber spionaggio e raccolta di intelligence.
KONNI
Gruppo di minaccia allineato alla Corea del Nord. Segnalato per la prima volta dagli analisti nel 2017. Prende di mira principalmente istituzioni politiche russe e sudcoreane. Utilizza spesso attacchi di spearphishing per ottenere l’accesso iniziale e si affida a una Remote Administration Tool (RAT) personalizzata per la persistenza e il mantenimento dell’accesso sulla macchina della vittima. Mentre alcuni ricercatori collocano il gruppo sotto gli ombrelli ScarCruft (APT37), Lazarus o Kimsuky, ESET non è in grado di corroborare tali affermazioni.
LAZARUS
Conosciuto anche come HIDDEN COBRA. Gruppo APT legato alla Corea del Nord. Attivo almeno dal 2009. Responsabile di incidenti di alto profilo come l’attacco a Sony Pictures Entertainment, furti cyber del valore di decine di milioni di dollari nel 2016, l’epidemia WannaCryptor (nota come WannaCry) nel 2017 e una lunga storia di attacchi distruttivi contro infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. La diversità, il numero e l’eccentricità nell’implementazione delle campagne definiscono questo gruppo, così come il suo coinvolgimento in tutti e tre i pilastri delle attività cybercriminali: cyber spionaggio, cyber sabotaggio e ricerca di profitto finanziario.
OPERATION IN(TER)CEPTION
Nome usato da ESET per una serie di attacchi attribuiti al gruppo. Questi attacchi sono in corso almeno dal 2019, prendendo di mira aziende aerospaziali, militari e della difesa. L’operazione è degna di nota per l’uso di spearphishing basato su LinkedIn e trucchi efficaci per rimanere sotto il radar. Come suggerisce il nome In(ter)ception, il suo obiettivo principale sembra essere lo spionaggio aziendale.
SCARCRUFT
Conosciuto anche come APT37 o Reaper. Sospettato di essere un gruppo di spionaggio nordcoreano. Attivo almeno dal 2012. Si concentra principalmente sulla Corea del Sud, ma prende di mira anche altri paesi asiatici. Il gruppo sembra essere interessato principalmente a organizzazioni governative e militari, e aziende in vari settori legati agli interessi nordcoreani. Il suo set di strumenti contiene un’ampia gamma di downloader, strumenti di esfiltrazione e backdoor usate per lo spionaggio.
AGRIUS
Gruppo di cyber sabotaggio con presunta affiliazione all’Iran. Attivo dal 2020. Ha preso di mira vittime in Israele e negli Emirati Arabi Uniti. Il gruppo ha inizialmente distribuito un wiper camuffato da ransomware, ma successivamente lo ha modificato in un ransomware completo. Sfrutta vulnerabilità note in applicazioni esposte su internet per installare webshell, quindi conduce ricognizione interna prima di muoversi lateralmente.
BALLISTIC BOBCAT
In precedenza tracciato come APT35 e APT42 (noto anche come Charming Kitten, TA453 o PHOSPHORUS). Presunto attore iraniano di livello nazionale che prende di mira organizzazioni nei settori dell’istruzione, governo e sanità, oltre ad attivisti per i diritti umani e giornalisti. Più attivo in Israele, Medio Oriente e Stati Uniti. Durante la pandemia ha preso di mira organizzazioni legate al COVID‑19, inclusa l’Organizzazione Mondiale della Sanità e Gilead Pharmaceuticals, oltre a personale di ricerca medica.
BLADEDFELINE
Gruppo di cyber spionaggio allineato all’Iran. Attivo almeno dal 2017. Scoperto per la prima volta nel 2023, prendeva di mira funzionari diplomatici curdi con la sua backdoor. Nel 2024 ha continuato a prendere di mira quegli stessi funzionari curdi, insieme a funzionari governativi iracheni e un fornitore regionale di telecomunicazioni in Uzbekistan. Valutato con alta confidenza come sottogruppo di OilRig – noto anche come APT34 o Hazel Sandstorm (precedentemente EUROPIUM) – che condivide attributi con BladeHawk e FreshFeline.
CYBERTOUFAN
Gruppo di minaccia noto per i suoi attacchi informatici contro organizzazioni israeliane. Si ritiene che il gruppo abbia sede in Türkiye ma conduca attacchi che sono allineati agli obiettivi del governo iraniano. Vi è una connessione tra il gruppo e Frankenstein, un gruppo che storicamente ha lavorato per sostenere gli interessi dei Territori Palestinesi ed è anch’esso allineato agli interessi iraniani. Il gruppo è stato coinvolto in operazioni di hack‑and‑leak, violazioni di dati e distruzione di dati.
DOMESTIC KITTEN
Una campagna condotta dal gruppo APT‑C‑50. Nella campagna, il gruppo ha condotto operazioni di sorveglianza mobile contro cittadini iraniani dal 2016, come riportato da Check Point nel 2018. Nel 2019, Trend Micro ha identificato una campagna malevola, probabilmente collegata a Domestic Kitten, che prendeva di mira il Medio Oriente, chiamando la campagna Bouncing Golf. Poco dopo, nello stesso anno, Qianxin ha riportato una campagna Domestic Kitten che prendeva nuovamente di mira l’Iran. Nel 2020, 360 Core Security ha divulgato attività di sorveglianza da parte di Domestic Kitten contro gruppi anti‑governativi in Medio Oriente. L’ultimo report pubblico disponibile è del 2021, di Check Point.
FRESHFELINE
Conosciuto anche come MosesStaff. Gruppo iraniano di cyber spionaggio che prende di mira vari settori in Israele, Italia, India, Germania, Cile, Turchia, Emirati Arabi Uniti e Stati Uniti. Attivo almeno dal 2021, quando ha distribuito una backdoor precedentemente sconosciuta contro due aziende in Israele. Nel 2021, ha distribuito ransomware contro vittime in Israele. Il gruppo prende di mira server Microsoft Exchange esposti su internet con vulnerabilità note e non patchate come metodo principale di ingresso, seguito da movimento laterale e distribuzione della propria backdoor personalizzata.
GALAXY GATO
Conosciuto anche come C5, Smoke Sandstorm, TA455 o UNC1549. Gruppo di cyber spionaggio allineato agli interessi del governo iraniano. Attivo almeno dal 2022. Il gruppo prende di mira organizzazioni in Medio Oriente (inclusi, ma non limitati a, Israele, Oman e Arabia Saudita) e negli Stati Uniti nei settori aerospaziale, aviazione e difesa. I suoi metodi si sovrappongono a quelli di Tortoiseshell, un gruppo collegato all’unità IRGC Electronic Warfare and Cyber Defense (EWCD) dell’Iran, e APT33, anch’esso collegato all’IRGC‑EWCD. I metodi tipici del gruppo includono spearphishing con domini di typosquatting, password spraying e sviluppo e distribuzione di backdoor personalizzate.
LYCEUM
Conosciuto anche come HEXANE o Storm‑0133. Un sottogruppo di OilRig, attivo almeno dal 2017. Il gruppo ha preso di mira organizzazioni in Medio Oriente, con particolare attenzione a organizzazioni israeliane, incluse entità governative nazionali e locali e organizzazioni nel settore sanitario. Principali strumenti attribuiti al gruppo includono varie backdoor e una serie di downloader che utilizzano servizi cloud legittimi per il comando e controllo.
MUDDYWATER
Gruppo di cyber spionaggio collegato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS). Attivo almeno dal 2017. Il gruppo prende di mira vittime in Medio Oriente e Nord America, con un focus su telecomunicazioni, enti governativi e settori oil & energy. I suoi operatori utilizzano frequentemente backdoor basate su script, come PowerShell. Il loro metodo preferito per l’accesso iniziale è tramite email di spearphishing con allegati – spesso PDF con link che puntano a repository di file come Egnyte e OneHub.
OILRIG
Conosciuto anche come APT34 o Hazel Sandstorm (precedentemente EUROPIUM). Gruppo di cyber spionaggio comunemente ritenuto basato in Iran. Attivo almeno dal 2014. Il gruppo prende di mira governi del Medio Oriente e vari settori business, inclusi chimico, energia, finanza e telecomunicazioni. Le sue campagne degne di nota includono la campagna DNSpionage del 2018 e 2019, prendendo di mira vittime in Libano ed Emirati Arabi Uniti; la campagna HardPass del 2019–2020, usando LinkedIn per prendere di mira vittime mediorientali nei settori energia e governo; l’attacco del 2020 contro un’organizzazione di telecomunicazioni in Medio Oriente; e gli attacchi del 2023 contro organizzazioni in Medio Oriente. Oltre a questi incidenti, ESET traccia altre attività correlate a OilRig sotto sottogruppi separati: Lyceum, ShroudedSnooper e BladedFeline.
SHROUDED SNOOPER
Conosciuto anche come Scarred Manticore o Storm‑0861. Un sottogruppo di OilRig attivo almeno dal 2019. Identificato per la prima volta da Microsoft negli attacchi distruttivi 2021–2022 contro il governo albanese, avendo fornito accesso iniziale alla rete per altri sottogruppi di OilRig sfruttando applicazioni esposte pubblicamente. Nel 2023, il gruppo ha condotto attacchi contro organizzazioni governative, militari e aziende di telecomunicazione in Medio Oriente.
TORTOISESHELL
Conosciuto anche come Crimson Sandstorm, Imperial Kitten, TA456 o Yellow Liderc. Gruppo di cyber spionaggio attivo almeno dal 2019. Il gruppo utilizza social engineering e email di phishing per l’accesso iniziale e si affida pesantemente a macro di Microsoft Office e impianti di prima fase, che vengono utilizzati per ricognizione di sistema e rete. I target tipici includono settori marittimo, spedizioni e logistica negli Stati Uniti, Europa e Medio Oriente.
WILDPRESSURE
Gruppo di cyber spionaggio che prende di mira vittime in Medio Oriente nei settori oil, gas ed engineering. Attivo almeno dal 2019, quando è stata scoperta la sua prima backdoor. Nel 2021, il gruppo è stato osservato mentre distribuiva strumenti aggiuntivi.
DONOT TEAM
Conosciuto anche come APT‑C‑35 o SectorE02. Un attore di minaccia allineato all’India, attivo almeno dal 2016. Un report del 2021 di Amnesty International ha collegato il malware del gruppo a una società di cybersecurity indiana che potrebbe vendere lo spyware o offrire servizi di hacker‑a‑noleggio a governi nella regione. Il gruppo prende di mira organizzazioni dell’Asia meridionale usando malware per Windows e Android, con la maggior parte delle vittime situate in Pakistan, Bangladesh, Sri Lanka, Nepal e Cina. Le sue campagne si concentrano sullo spionaggio, utilizzando il suo framework malware caratteristico, il cui scopo principale è raccogliere ed esfiltrare dati.
BACKDOOR DIPLOMACY
Nome usato da ESET per un sottogruppo APT15 che prende principalmente di mira organizzazioni governative e aziende di telecomunicazioni in Africa e Medio Oriente. Attivo almeno dal 2017. Nel 2022, Bitdefender ha documentato le attività del gruppo contro l’industria delle telecomunicazioni in Medio Oriente. Nel 2023, Unit 42 ha condiviso la sua analisi sulla compromissione delle reti governative in Iran da parte del gruppo. Nel 2021, ESET ha dimostrato collegamenti tra il gruppo e ciò che Kaspersky traccia come CloudComputating, un gruppo attivo almeno dal 2012. ESET ha anche osservato molteplici collegamenti con altri sottogruppi APT15, come Mirage, Ke3chang e DigitalRecyclers.
BLACKWOOD
Un gruppo APT allineato alla Cina che conduce operazioni di cyber spionaggio contro individui e aziende cinesi e giapponesi. Attivo almeno dal 2018. Nel 2020, i ricercatori ESET hanno scoperto il gruppo dopo aver rilevato file sospetti su un sistema in Cina. Gli operatori del gruppo hanno la capacità di condurre attacchi adversary‑in‑the‑middle, che permettono loro di distribuire il loro impianto tramite aggiornamenti a software legittimo e di nascondere la posizione dei server di comando e controllo intercettando il traffico generato dall’impianto.
BRONZE SILHOUETTE
Conosciuto anche come Volt Typhoon o Vanguard Panda. Gruppo di cyber spionaggio allineato alla Cina, attivo almeno dal 2022. Prende principalmente di mira l’industria della difesa e organizzazioni critiche negli Stati Uniti. Reso pubblico per la prima volta nel 2023, dopo essere stato scoperto mentre attaccava infrastrutture critiche a Guam, un territorio statunitense nel Pacifico occidentale che ospita diverse basi militari USA.
CERANA KEEPER
Gruppo di cyber spionaggio allineato alla Cina, attivo almeno dall’inizio del 2022. Prende principalmente di mira entità governative nel Sud‑Est asiatico. Il gruppo è noto per i suoi componenti documentati TONEINS, TONESHELL e PUBLOAD, per l’uso di strumenti pubblicamente disponibili e per tecniche di esfiltrazione che utilizzano servizi cloud e di file‑sharing. Alcune delle sue attività sono state attribuite a Mustang Panda (conosciuto anche come Earth Preta o Stately Taurus). Tuttavia, ESET attribuisce queste attività a un gruppo separato.
CLOUDSORCERER
Un attore di minacce riportato per la prima volta pubblicamente nel 2024; tuttavia, i dati di telemetria ESET contengono tracce dell’attività del gruppo dall’inizio del 2022. Il gruppo conduce operazioni di cyber spionaggio contro organizzazioni governative e il settore tecnologico in Russia, e think tank negli Stati Uniti. Le sue operazioni sono caratterizzate da email di spearphishing con un archivio allegato. Il gruppo utilizza la tecnica del trident side‑loading per distribuire la sua backdoor principale e successivamente abusa di servizi cloud come Yandex, OneDrive o Dropbox per ricevere comandi.
DIGITAL RECYCLERS
Un attore di minacce scoperto da ESET. Attivo almeno dal 2018. Il gruppo conduce regolarmente operazioni di spionaggio contro organizzazioni governative in Europa. Si ritiene con bassa confidenza che il gruppo sia collegato a Ke3chang e BackdoorDiplomacy.
EVASIVE PANDA
Conosciuto anche come BRONZE HIGHLAND, Daggerfly e StormBamboo. Gruppo APT allineato alla Cina, operativo almeno dal 2012. Il suo obiettivo è il cyber spionaggio contro paesi e organizzazioni che si oppongono agli interessi cinesi attraverso movimenti di indipendenza come quelli della diaspora tibetana, istituzioni religiose e accademiche a Taiwan e Hong Kong, e sostenitori della democrazia in Cina. ESET ha talvolta osservato le sue operazioni estendersi a paesi come Vietnam, Myanmar e Corea del Sud. Il gruppo ha accumulato una notevole lista di metodi di attacco, come attacchi supply‑chain e watering‑hole, e hijacking DNS. Dimostra anche una forte capacità di sviluppo malware, come mostrato nella sua vasta collezione di backdoor multipiattaforma per Windows, macOS e Android.
FAMOUSSPARROW
Gruppo di cyber spionaggio allineato alla Cina. Si ritiene attivo almeno dal 2019. Il gruppo era inizialmente noto per prendere di mira hotel in tutto il mondo, ma ha anche preso di mira governi, organizzazioni internazionali, gruppi commerciali, aziende di ingegneria e studi legali. È l’unico utente noto della backdoor SparrowDoor. Il gruppo è collegato al gruppo Earth Estries, ma la natura esatta del collegamento non è completamente nota. È stato anche collegato pubblicamente a Salt Typhoon, ma, a causa dell’assenza di indicatori tecnici, ESET li traccia come entità separate.
FISHMONGER
Conosciuto anche come Earth Lusca, TAG‑22, Aquatic Panda o Red Dev 10. Gruppo di cyber spionaggio che si ritiene operato dal contractor cinese I‑SOON e appartenente all’ombrello Winnti Group. ESET ha pubblicato un’analisi del gruppo all’inizio del 2020, quando prendeva pesantemente di mira università a Hong Kong durante le proteste civiche. Abbiamo descritto una campagna globale che prendeva di mira governi, ONG e think tank in Asia, Europa e Stati Uniti. Il gruppo è noto anche per operare attacchi watering‑hole.
FLAX TYPHOON
Conosciuto anche come ETHEREAL PANDA. Gruppo APT allineato alla Cina, attivo almeno dal 2021. Prende di mira principalmente organizzazioni taiwanesi. Il gruppo utilizza la webshell China Chopper, lo strumento di escalation dei privilegi Juicy Potato e le sue molteplici varianti, così come Mimikatz. Utilizza estensivamente living‑off‑the‑land binaries (LOLBins) per eludere il rilevamento.
FONTGOBIN
Gruppo APT allineato alla Cina. I ricercatori ESET hanno scelto questo nome a causa dell’uso prolungato del gruppo (almeno dal 2022) di file di font falsi nella directory C:\Windows\Fonts come payload nascosti per un particolare set di loader. Prende di mira prevalentemente entità governative in Kirghizistan, Uzbekistan, Kazakistan e Pakistan.
FONTFUNKYGORILLAS
Gruppo APT allineato alla Cina che prende di mira vari settori in Europa orientale e Asia centrale. Il gruppo utilizza la backdoor Zmm e il RAT Trochilus. La backdoor Zmm è sviluppata dal gruppo StartupNation, che sviluppa anche la RAT Mikroceen utilizzata dal gruppo APT SixLittleMonkeys.
GALLIUM
Conosciuto anche come Soft Cell, Alloy Taurus, Red Moros o Othorene. Gruppo APT allineato alla Cina che prende di mira fornitori di telecomunicazioni e organizzazioni governative in tutto il mondo. Noto anche per aver preso di mira il settore accademico. Il suo set di strumenti include una backdoor personalizzata in C++, una webshell IIS basata su China Chopper, vari strumenti di furto di credenziali basati su Mimikatz e diversi strumenti off‑the‑shelf.
GELSEMIUM
Gruppo di cyber spionaggio allineato alla Cina. Attivo almeno dal 2014. In quell’anno, G DATA ha pubblicato un white paper sull’Operazione TooHash, una campagna le cui vittime sembravano essere situate nell’Asia orientale in base ai documenti utilizzati nella campagna. Gli operatori hanno utilizzato spearphishing con allegati che sfruttavano una vulnerabilità allora vecchia in Microsoft Office, oltre a tre componenti, due dei quali firmati con un certificato rubato. Nel 2016, Verint Systems ha presentato a HITCON, parlando di una nuova attività dell’operazione TooHash menzionata due anni prima, ancora sfruttando lo stesso exploit contro Microsoft Office.
GOPHERWHISPER
Attivo almeno dal 2023. Gruppo di cyber spionaggio allineato alla Cina che si concentra sulla creazione di backdoor e sull’uso di servizi legittimi come Discord, Slack e file.io per comunicazioni di comando e controllo e per l’esfiltrazione. Dal 2025, la telemetria ESET mostra che il gruppo ha preso di mira istituzioni governative in Mongolia.
GREF
Gruppo di cyber spionaggio allineato alla Cina, attivo almeno dal 2009. Nominato per l’uso abbondante di riferimenti a Google nel suo codice e noto per l’uso di compromissioni drive‑by. L’arsenale del gruppo include malware per utenti Windows, OS X e Android. Documentato per la prima volta nel 2014, quando ha utilizzato una backdoor OS X per prendere di mira aziende di elettronica e ingegneria in tutto il mondo, così come ONG con interessi in Asia. Nel 2020, Lookout ha scoperto quattro backdoor Android utilizzate per prendere di mira uiguri, tibetani e popolazioni musulmane in tutto il mondo, attribuite al gruppo sulla base di infrastrutture di rete sovrapposte. Sebbene diverse fonti affermino che il gruppo sia associato al gruppo APT15, i ricercatori ESET non hanno prove sufficienti per supportare tale collegamento e continuano quindi a tracciarlo come gruppo separato.
KE3CHANG
Ke3chang (pronunciato ke‑tri‑chang) è il nome che ESET utilizza per un sottogruppo APT15 che prende principalmente di mira organizzazioni governative e missioni diplomatiche in Europa e America Latina. Il nome si basa su un report Mandiant del 2013 sull’Operazione Ke3chang, e lo utilizziamo per successive attività APT15 riportate da varie organizzazioni tra il 2016 e il 2021. Le operazioni del gruppo sono caratterizzate dalla distribuzione di semplici backdoor di prima fase con capacità limitate, e da un successivo affidamento su operatori umani per eseguire ulteriori comandi manuali, utilizzando utilità integrate o pubblicamente disponibili per la ricognizione.
KMA-VPN
Rete di Operational Relay Box (ORB) che opera su server VPS in tutto il mondo. Attiva almeno dal 2023. Diversi attori della minaccia allineati alla Cina, inclusi DigitalRecyclers e BackdoorDiplomacy, utilizzano questa rete covert per anonimizzare il loro traffico di rete e nascondere la vera origine.
LONGNOSEDGOBLIN
Gruppo APT allineato alla Cina scoperto da ESET nel 2024. Prende di mira entità governative in Malesia con l’obiettivo di condurre cyber spionaggio. Il gruppo distribuisce malware personalizzati unici per raccogliere la cronologia del browser delle vittime e decidere dove distribuire una backdoor che sfrutta il servizio cloud Microsoft OneDrive. Inoltre, utilizza le Group Policy di Active Directory per distribuire il suo malware e condurre movimento laterale. Vi è una leggera sovrapposizione con il gruppo APT ToddyCat, sulla base di percorsi dei file e dell’uso della VPN SoftEther. Tuttavia, i set di strumenti complessivi sono differenti.
LOTUS BLOSSOM
Conosciuto anche come Lotus Panda e Billbug. Gruppo APT allineato alla Cina che prende di mira organizzazioni governative e marittime nel Sud‑Est asiatico. Scoperto per la prima volta nel 2015. Utilizza la backdoor Elsentric e vari altri strumenti, come Impacket e Venom proIT.
LUCKYMOUSE
Conosciuto anche come APT27 o Emissary Panda. Gruppo di cyber spionaggio che prende principalmente di mira governi, aziende di telecomunicazioni e organizzazioni internazionali. Attivo in Asia Centrale, Medio Oriente, Mongolia, Hong Kong e Nord America. Una delle tecniche distintive del gruppo è l’uso di DLL side‑loading per caricare le sue backdoor.
MIRRORFACE
Conosciuto anche come Earth Kasha. Attivo almeno dal 2019. Un attore allineato alla Cina che prende principalmente di mira aziende e organizzazioni in Giappone, così come entità altrove con legami con il Giappone. ESET lo considera un sottogruppo sotto l’ombrello APT10. Si ritiene che il gruppo abbia preso di mira media, aziende legate alla difesa, think tank, organizzazioni diplomatiche, istituzioni finanziarie, istituzioni accademiche e aziende manifatturiere. Si concentra sullo spionaggio e sull’esfiltrazione di file di interesse.
MUSTANG PANDA
Conosciuto anche come TA416, RedDelta, PKPLUG, Earth Preta o Stately Taurus. Un gruppo di cyber spionaggio che si ritiene basato in Cina. Prende principalmente di mira entità governative e ONG. Sebbene sia noto per la sua campagna del 2020 contro il Vaticano, le sue vittime si trovano principalmente in Asia orientale e sud‑orientale, con un focus sulla Mongolia. Nelle sue campagne, il gruppo utilizza frequentemente loader personalizzati per malware condivisi.
PERPLEXED GOBLIN
Conosciuto anche come APT31. Un gruppo di cyber spionaggio allineato alla Cina che prende principalmente di mira entità governative in Europa. Utilizza un impianto personalizzato che può essere distribuito in vari modi, inclusa una catena di DLL side‑loading e una catena bring‑your‑own‑vulnerable‑software (BYOVS). Va notato che il gruppo dispone di un arsenale più ampio di strumenti personalizzati, alcuni dei quali non sono ancora stati osservati in the wild.
PLUSHDAEMON
Attore di minaccia allineato alla Cina, attivo almeno dal 2018. Il gruppo conduce operazioni di spionaggio contro individui ed entità in Cina, Taiwan, Hong Kong, Corea del Sud, Stati Uniti e Nuova Zelanda. Utilizza una backdoor personalizzata e la sua tecnica principale di accesso iniziale consiste nel dirottare aggiornamenti legittimi reindirizzando il traffico verso server controllati dagli attaccanti attraverso un impianto di rete. Inoltre, il gruppo ottiene l’accesso tramite vulnerabilità nei server web e ha condotto un attacco supply‑chain nel 2023.
RED FOXTROT
Gruppo APT attivo almeno dal 2014. Prende di mira governi, difesa e settori delle telecomunicazioni in Asia centrale, India e Pakistan. Si ritiene faccia parte dell’Unità 69010 dell’Esercito Popolare di Liberazione (PLA). È uno dei gruppi con accesso alla backdoor ShadowPad.
SINISTEREYE
Gruppo APT allineato alla Cina, attivo almeno dal 2008. Conduce operazioni di cyber spionaggio e sorveglianza in Cina, prendendo di mira individui, aziende, istituzioni educative e entità governative nazionali e straniere. Le attività del gruppo sono un sottoinsieme delle operazioni attribuite all’APT LuoYu (conosciuto anche come CASCADE PANDA). Utilizza attacchi adversary‑in‑the‑middle, tramite accesso alla dorsale Internet cinese, per dirottare aggiornamenti software e distribuire i suoi impianti per Windows e Android.
SNEAKY DRAGON
Un gruppo APT che prende di mira entità in Asia orientale e sud‑orientale. Attivo almeno dal 2020. ESET ritiene che abbia sede in Cina. Lo strumento caratteristico del gruppo è un malware modulare progettato con enfasi nel fornire accesso remoto stealth.
SPARKLING GOBLIN
Un gruppo APT le cui tattiche, tecniche e procedure (TTP) si sovrappongono parzialmente con APT41 (conosciuto anche come BARIUM). Mentre il gruppo opera principalmente in Asia orientale e sud‑orientale, prende di mira anche organizzazioni in una vasta gamma di settori in tutto il mondo, con particolare attenzione al settore accademico. È anche uno dei gruppi con accesso alla backdoor ShadowPad.
SPECCOM
Conosciuto anche come IndigoZebra o SMAC. Attivo almeno dal 2013. Secondo diversi report, questo gruppo APT allineato alla Cina è responsabile di attacchi contro entità politiche in alcuni paesi dell’Asia centrale, in particolare Afghanistan, Uzbekistan e Kirghizistan. I ricercatori ESET hanno anche osservato le sue attività in Guinea Equatoriale, Russia, Tagikistan e Israele.
STARTUP NATION
Un gruppo responsabile dello sviluppo e della manutenzione del malware per diversi gruppi APT allineati alla Cina. Attivo almeno dal 2016. ESET ritiene che il gruppo foranisca il suo software ai gruppi APT allineati alla Cina tracciati come SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 e TA410. Ha sviluppato il toolset HDMan, la RAT Mikroceen (nota anche come BYEBY), la backdoor Zmm e la backdoor BeRAT.
STEPPE DRIVER
Gruppo di cyber spionaggio allineato alla Cina, operante dalla Regione Autonoma della Mongolia Interna della Repubblica Popolare Cinese. ESET ha scoperto il gruppo nel 2024 quando ha preso di mira una concessionaria di automobili in Francia. Ha preso di mira anche entità governative in Mongolia e uno studio legale in Sud America. Utilizza un’ampia gamma di strumenti, la maggior parte dei quali condivisi tra gruppi allineati alla Cina. Il gruppo è anche un cliente di StartupNation.
TA410
Un gruppo ombrello di cyber spionaggio noto principalmente per prendere di mira organizzazioni statunitensi del settore utilities e organizzazioni diplomatiche in Medio Oriente e Africa. Attivo almeno dal 2018. Reso pubblico per la prima volta nel 2019. È composto da tre sottogruppi che ESET ha chiamato JollyFrog, LookingFrog e FlowingFrog. Nel 2020, la nuova e molto complessa famiglia malware FlowCloud è stata attribuita al gruppo TA410.
TA428
Conosciuto anche come ThunderCats. Gruppo APT, attivo almeno dal 2014. Prende di mira governi in Asia orientale, con un focus particolare su Mongolia e Russia. ESET ritiene che operi da Pechino, nella Repubblica Popolare Cinese. Il gruppo utilizza backdoor personalizzate e strumenti condivisi. È uno dei gruppi con accesso alla backdoor ShadowPad.
THE WIZARDS
Gruppo APT allineato alla Cina, attivo almeno dal 2021. Conduce operazioni di cyber spionaggio contro individui, aziende del settore del gioco d’azzardo e entità sconosciute nelle Filippine, Emirati Arabi Uniti e Cina. I ricercatori ESET hanno scoperto questo attore della minaccia quando un aggiornamento malevolo è stato scaricato da una popolare applicazione cinese nota come Sogou Pinyin. Il gruppo ha capacità per condurre attacchi adversary‑in‑the‑middle, che gli consentono di reindirizzare il traffico e distribuire il suo malware personalizzato tramite aggiornamenti.
TICK
Conosciuto anche come BRONZE BUTLER o REDBALDKNIGHT. Gruppo APT sospettato di essere attivo almeno dal 2006. Prende di mira principalmente paesi nella regione APAC. Il gruppo è di interesse per le sue operazioni di cyber spionaggio, che si concentrano sul furto di informazioni classificate e proprietà intellettuale.
TRAPPED GOBLIN
Un gruppo allineato alla Cina che utilizza malware modulare personalizzato, chiamato da ESET GrapHop.
UNSOLICITED BOOKER
Attore di minacce allineato alla Cina, attivo almeno dal 2023. Il gruppo conduce operazioni di cyber spionaggio in Medio Oriente. Il gruppo si sovrappone con Space Pirates e con l’attore della minaccia che utilizza la backdoor Zardoor. Ha accesso a vari impianti ed è anche un cliente di StartupNation.
WEBSIIC
Conosciuto anche come ToddyCat. Scoperto dai ricercatori ESET nel 2021 durante un’indagine su attacchi contro server Microsoft Exchange, tramite abuso della vulnerabilità ProITLogon. Sulla base di ciò, è molto probabile che sia un gruppo APT allineato alla Cina. Secondo Kaspersky, il gruppo è attivo almeno dal 2020. I suoi target precedenti includono organizzazioni in Nepal, Vietnam, Giappone, Bangladesh e Ucraina. Gli attacchi del gruppo combinano tipicamente l’uso di malware proprietario e strumenti di hacking disponibili pubblicamente.
WEBWORM
Gruppo di cyber spionaggio riportato per la prima volta da Symantec nel 2022. È collegato ad altri gruppi APT allineati alla Cina come SixMonkeys e FishMonger. Il gruppo utilizza famiglie malware ben note. È anche un cliente di StartupNation.
WINNTI GROUP
Attivo almeno dal 2012. Conosciuto per avere sede nella città cinese di Chengdu, nella provincia di Sichuan. Responsabile di attacchi supply‑chain di alto profilo contro l’industria dei videogiochi e del software, che hanno portato alla distribuzione di numerosi software trojanizzati utilizzati poi per compromettere ulteriori vittime. Il gruppo è noto anche per aver compromesso vari target in diversi settori, come sanità e istruzione.
WOROK
Gruppo di cyber spionaggio allineato alla Cina, attivo almeno dal 2020. ESET ritiene che operi da Pechino. Il gruppo si concentra principalmente su target in Mongolia, ma ha preso di mira anche entità in Kirghizistan, Vietnam, Türkiye, Indonesia e Namibia. Prende di mira organizzazioni governative e del settore pubblico, così come aziende private. Il gruppo utilizza strumenti personalizzati e strumenti disponibili pubblicamente. Condivide ulteriori strumenti e caratteristiche con altri gruppi allineati alla Cina, in particolare TA428. Degno di nota, ha accesso alla backdoor ShadowPad ed è un cliente del gruppo fornitore di software StartupNation.
STURGEONPHISHER
Conosciuto anche come YoroTrooper. Gruppo di cyber spionaggio attivo almeno dal 2021. Il gruppo si concentra su spearphishing e furto di credenziali webmail. Prende di mira funzionari governativi, think tank e dipendenti di aziende statali in paesi che confinano con il Mar Caspio, con la Federazione Russa come paese maggiormente preso di mira. Dato il targeting ristretto, il gruppo probabilmente opera da un paese dell’Asia centrale. Sulla base della vittimologia e di altri indicatori tecnici, ESET valuta il gruppo con bassa confidenza come allineato agli interessi del Kazakhstan.
Rimani informato. Rimani avanti
ESET THREAT REPORT H2 2025
Un’analisi approfondita delle tendenze globali delle minacce, dell’attività APT regionale e degli sviluppi malware osservati tramite la telemetria ESET.
APT Activity Summary
Ultimi approfondimenti sulle campagne APT attive in tutto il mondo.
WeLiveSecurity: Top stories and research
Analisi esperte e commenti dei ricercatori ESET sulle ultime minacce informatiche, scoperte e tendenze di sicurezza.
ESET Research Podcast: Exploring the global threat landscape
Unisciti ai nostri analisti mentre discutono di attribuzione, strumenti e cambiamenti nell’attività globale.
(disponibile solo in lingua inglese)
Panoramica della soluzione
Ottieni una visione approfondita della soluzione con descrizioni dettagliate e punti salienti delle funzionalità.
CONTATTACI
Curioso di saperne di più? Condividi i tuoi dati di contatto e ti ricontatteremo con ulteriori informazioni.
Possiamo accompagnarti in una demo, discutere una proof of concept o rispondere a qualsiasi domanda tu possa avere.