Segons l'informe dels investigadors d'ESET, els grups APT vinculats a Rússia van continuar participant en operacions dirigides específicament a Ucraïna, utilitzant netejadors de dades destructius i programari ransomware durant aquest període. Goblin Panda, un grup afiliat a la Xina, va començar a copiar l'interès de Mustang Panda pels països europeus. Els grups vinculats a l'Iran també operen a un alt nivell. Juntament amb Sandworm, altres grups russos d'APT com Callisto, Gamaredon van continuar els seus atacs de pesca contra ciutadans d'Europa de l'Est.
Els aspectes més destacats de l'Informe d'activitat d'ESET APT són els següents:
ESET ha detectat que a Ucraïna el famós grup Sandworm està utilitzant un programari d'esborrat de dades desconegut anteriorment contra una empresa del sector energètic. Les operacions dels grups APT solen ser realitzades per participants estatals o patrocinats per l'estat. L'atac es va produir al mateix temps que les forces armades russes van llançar atacs amb míssils a la infraestructura energètica a l'octubre. Tot i que ESET no pot demostrar la coordinació entre aquests atacs, preveu que Sandworm i l'exèrcit rus tinguin el mateix objectiu.
ESET ha nomenat NikoWiper com l'últim d'una sèrie de programari de neteja de dades descobert anteriorment. Aquest programari es va utilitzar contra una empresa que operava al sector energètic a Ucraïna l'octubre de 2022. NikoWiper es basa en SDelete, una utilitat de línia d'ordres que Microsoft utilitza per eliminar fitxers de manera segura. A més del programari maliciós per esborrar dades, ESET va descobrir atacs Sandworm que utilitzen ransomware com a netejador. Tot i que s'utilitza ransomware en aquests atacs, l'objectiu principal és destruir les dades. A diferència dels atacs de ransomware habituals, els operadors de Sandworm no proporcionen una clau de desxifrat.
L'octubre de 2022, ESET va detectar que el ransomware Prestige s'utilitzava contra empreses de logística a Ucraïna i Polònia. El novembre de 2022, es va descobrir a Ucraïna un nou ransomware escrit en .NET anomenat RansomBoggs. ESET Research va fer pública aquesta campanya al seu compte de Twitter. Juntament amb Sandworm, altres grups russos d'APT com Callisto i Gamaredon van continuar els seus atacs de pesca dirigits a Ucraïna per robar credencials i implantar implants.
Els investigadors d'ESET també van detectar un atac de pesca MirrorFace dirigit a polítics al Japó i van notar un canvi de fase en l'orientació d'alguns grups vinculats a la Xina: Goblin Panda ha començat a copiar l'interès de Mustang Panda als països europeus. Al novembre, ESET va descobrir una nova porta del darrere Goblin Panda que anomena TurboSlate en una agència governamental de la Unió Europea. Mustang Panda també va continuar dirigint-se a organitzacions europees. Al setembre, es va identificar una carregadora Korplug utilitzada per Mustang Panda en una empresa del sector energètic i d'enginyeria de Suïssa.
Els grups vinculats a l'Iran també van continuar els seus atacs: POLONIUM va començar a apuntar a empreses israelianes, així com a les seves filials estrangeres, i MuddyWater probablement es va infiltrar en un proveïdor de serveis de seguretat actiu.
Els grups vinculats a Corea del Nord han utilitzat antigues vulnerabilitats de seguretat per infiltrar-se en empreses i intercanvis de criptomonedes a tot el món. Curiosament, Konni va ampliar els idiomes que va utilitzar en els seus documents de trampa, afegint anglès a la seva llista; cosa que podria significar que no s'està centrant en els seus objectius habituals de Rússia i Corea del Sud.
Sigues el primer a comentar