TM_742

8 3|6|2025 #742 Το Ερευνητικό Κέντρο τη ς ESET δ ημοσί- ευσε την τελευταία Έκθεση Δραστηριό- τητας APT (APT Activity Report), η οποία παρουσιάζει τις δραστηριότητες επιλεγ- μένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Οκτώ- βριο του 2024 έως τον Μάρτιο του 2025. Βάσει της νέας έκθεσης παρατηρούνται σημαντικές τάσεις στον χώρο των κυβερ- νοεπιθέσεων τη συγκεκριμένη περίοδο. Συγκεκριμένα, oι φορείς απειλών που συνδέονται με τη Ρωσία, ιδίως οι ομάδες Sednit και Gamaredon, συνέχισαν επιθε- τικές εκστρατείες, στοχεύοντας κυρίως την Ουκρανία και χώρες της Ευρωπαϊκής Ένωσης. ΗΟυκρανία δέχθηκε το μεγαλύ- τερο πλήγμα από τις κυβερνοεπιθέσεις, οι οποίες επικεντρώθηκαν σε κρίσιμες υποδομές και κυβερνητικούς θεσμούς. Η ομάδα Sandworm, που συνδέεται με τη Ρωσία, ενέτεινε τις καταστροφικές της επιχειρήσεις κατά ουκρανικών εταιρειών ενέργειας, αναπτύσσοντας ένα νέο wiper με την ονομασία ZEROLOT. Παράλληλα, φορείς απειλών που συνδέονται με την Κίνα συνέχισαν τις επίμονες εκστρατείες κυβερνοκατασκοπείας, επικεντρωμένοι σε ευρωπαϊκούς οργανισμούς. Η ομάδα Gamaredon παρέμεινε ο πιο παραγωγικός φορέας απειλών κατά της Ουκρανίας, ενισχύοντας τις τεχνικές απόκρυψης του κακόβουλου λογισμικού της και παρουσιάζοντας το PteroBox, ένα εργαλείο κλοπής αρχείων που αξι- οποιεί το Dropbox. Η ομάδα Sednit βελτίωσε την εκμετάλλευση ευπαθειών τύπου cross-site scripting σε υπηρεσίες webmail, επεκτείνοντας τη δραστηριό- τητα Operation RoundPress που αρχικά στόχευε το Roundcube, ώστε να συμπε- ριλάβει επίσης τις πλατφόρμες Horde, MDaemon και Zimbra. Η ESET ανακάλυψε ότι η ομάδα αξιοποί- ησε με επιτυχία μια ευπάθεια μηδενικής ημέρας στον διακομιστή ηλεκτρονικού ταχυδρομείου MDaemon για επιθέσεις εναντίον ουκρανικών εταιρειών. Αρκετές επιθέσεις της Sednit σε αμυντικές εται- ρείες στη Βουλγαρία και την Ουκρανία πραγματοποιήθηκαν μέσω εκστρατειών spear-phishing, με τη χρήση παραπλανη- τικών μηνυμάτων e-mail. Μια άλλη ομάδα που συνδέεται με τη Ρωσία, η RomCom, επέδειξε προηγμένες ικανότητες, αξιο- ποιώντας exploits μηδενικής ημέρας στον Mozilla Firefox και σταMicrosoftWindows. Στην Ασία, οι ομάδες APT που συν- δέονται με την Κίνα συνέχισαν τις εκ- στρατείες τους εναντίον κυβερνητικών φορέων και ακαδημαϊκών ιδρυμάτων. Παράλληλα, φορείς απειλών προσκεί- μενοι στη Βόρεια Κορέα αύξησαν σημα- ντικά τη δραστηριότητά τους με στόχο τη Νότια Κορέα, εστιάζοντας σε ιδιώ- τες, ιδιωτικές εταιρείες, πρεσβείες και διπλωματικό προσωπικό. Η Mustang Panda παρέμεινε η πιο ενεργή ομάδα, στοχεύοντας κυβερνητικά ιδρύματα και εταιρείες θαλάσσιων μεταφορών μέσω Korplug loaders και κακόβουλων μονά- δων USB. Οι DigitalRecyclers συνέχισαν να επιτίθενται σε κυβερνητικούς φορείς της ΕΕ, χρησιμοποιώντας το δίκτυο ανω- νυμοποίησης KMA VPN και αναπτύσσο- ντας τα backdoors RClient, HydroRShell και GiftBox. Η ομάδα PerplexedGoblin χρησιμοποίησε το νέο της κατασκοπευ- τικό backdoor εναντίον μιας κρατικής υπηρεσίας στην Κεντρική Ευρώπη, το οποίο η ESET ονόμασε NanoSlate. Τέ- λος, η ομάδα Webworm έβαλε στο στό- χαστρο έναν κρατικό οργανισμό στη Σερβία, αξιοποιώντας το SoftEther VPN, γεγονός που υπογραμμίζει τη συνεχιζό- μενη δημοτικότητα αυτού του εργαλεί- ου μεταξύ ομάδων που συνδέονται με την Κίνα. Την ίδια περίοδο, άλλες ομάδες που σχετίζονται με τη Βόρεια Κορέα εί- χαν αλλαγές στον ρυθμό με τον οποίο δρούσαν. Στις αρχές του 2025, οι ομά- δες Kimsuky και Konni επέστρεψαν σε κανονικά επίπεδα δραστηριότητας, μετά από αξιοσημείωτη πτώση στο τέ- λος του 2024. Επιπλέον, άλλαξαν τους στόχους τους, αφήνοντας πίσω αγγλό- φωνες δεξαμενές σκέψης, μη κυβερνη- τικές οργανώσεις και ειδικούς για τη Βό- ρεια Κορέα, και πλέον επικεντρώνονται κυρίως σε νοτιοκορεατικές οργανώσεις και διπλωμάτες. Εντείνονται οι ρωσικές κυβερνοεπιθέσεις στην Ουκρανία