A ESET, empresa europeia líder em soluções de cibersegurança, lançou o seu mais recente relatório de atividade APT, que resume as atividades notáveis de grupos de ameaça persistente avançada (APT) que foram documentadas pelos seus investigadores desde o último trimestre de 2023 até ao final do primeiro semestre de 2024.
As operações destacadas são representativas do cenário mais amplo de ameaças que a ESET investigou durante este período, ilustrando as principais tendências e desenvolvimentos, e contêm apenas uma fração dos dados de inteligência de cibersegurança fornecidos aos clientes dos relatórios privados de APT da ESET.
No período de tempo monitorizado, vários agentes de ameaças alinhados com a China exploraram vulnerabilidades em aplicações de acesso público, como VPNs e firewalls, e software, como o Confluence e o Microsoft Exchange Server, para acesso inicial a alvos em vários setores. Com base na fuga de dados da I-SOON (Anxun), a ESET confirmou que este contratante chinês está efetivamente envolvido em ciberespionagem.
A ESET acompanhou uma parte das atividades da empresa no âmbito do grupo FishMonger. A ESET apresentou também um novo grupo APT alinhado com a China, o CeranaKeeper, que se distingue pelas suas características únicas, mas que possivelmente partilha um quartel-general digital com o grupo Mustang Panda.
Após o ataque liderado pelo Hamas a Israel em outubro de 2023, a ESET detetou um aumento significativo da atividade de grupos de ciberameaças alinhados com o Irão. Especificamente, a MuddyWater e o Agrius passaram do seu anterior foco na ciberespionagem e no ransomware, respetivamente, para estratégias mais agressivas que envolvem a intermediação de acesso e ataques de impacto. Entretanto, as atividades do OilRig e do Ballistic Bobcat registaram uma quebra, o que sugere uma mudança estratégica para operações mais visíveis e mais “ruidosas” dirigidas a Israel.
Os grupos alinhados com a Coreia do Norte continuaram a visar as empresas aeroespaciais e de defesa e a indústria da criptomoeda, melhorando as suas capacidades de ciberespionagem através da realização de ataques à cadeia de abastecimento, desenvolvimento de instaladores de software trojanizado e de novas estirpes de malware e da exploração de vulnerabilidades de software.
Os grupos alinhados com a Rússia têm centrado as suas atividades na espionagem dentro da União Europeia e em ataques à Ucrânia. Além disso, a campanha da Operação Texonto, uma operação psicológica (PSYOP) descoberta por investigadores da ESET, tem vindo a espalhar informações falsas sobre os protestos relacionados com as eleições russas e a situação na cidade ucraniana de Kharkiv, fomentando a incerteza entre os ucranianos tanto dentro como fora do país.
A ESET também destacou uma campanha no Médio Oriente levada a cabo pelo SturgeonPhisher, um grupo que a empresa acredita estar alinhado com os interesses do Cazaquistão. O relatório revela ainda um ataque a um website de notícias regional sobre Guilguite-Baltistão, uma região disputada administrada pelo Paquistão e, por último, a exploração de uma vulnerabilidade de dia zero no Roundcube pelo Winter Vivern, um grupo que a ESET considera estar alinhado com os interesses da Bielorrússia.
As atividades maliciosas descritas neste relatório de atividade APT foram detetadas por produtos da ESET; a informação compartilhada foi baseada principalmente em dados de telemetria proprietários da ESET e verificada pelos seus investigadores. Leia o relatório completo aqui.