ESET Research APT- rapport: Russische cyberaanvallen op Oekraïne nemen toe – Sandworm zet nieuwe wiper ZEROLOT in

• ESET publiceert het nieuwste rapport over geavanceerde aanhoudende dreigingen (APT’s).
• Aan Rusland gelieerde groepen voeren intensievere aanvallen uit op Oekraïne en de EU, onder meer met zero day-exploits en wipers.
• Aan China gelieerde groeperingen blijven actief in spionagecampagnes tegen Europese overheden en de maritieme sector.
• Aan Noord-Korea gelieerde actoren breiden hun financieel gemotiveerde campagnes verder uit, met behulp van social engineering en nepvacatures.

 

Sliedrecht, 19 mei 2025 – ESET Research heeft haar meest recente APT Activity Report gepubliceerd, waarin de activiteiten worden belicht van geselecteerde APT-groepen die tussen oktober 2024 en maart 2025 door ESET-onderzoekers zijn waargenomen. Gedurende deze periode voerden aan Rusland gelieerdedreigingsactoren, met name Sednit en Gamaredon, intensieve cyberoperaties uit tegen Oekraïne en EU-landen. Oekraïne was het zwaarst getroffen, met aanvallen op kritieke infrastructuur en overheidsinstellingen.

De beruchte Sandworm-groep verscherpte haar destructieve operaties door het inzetten van een nieuwe wiper, ZEROLOT, tegen Oekraïense energiebedrijven. Daarbij werd misbruik gemaakt van Active Directory Group Policy binnen getroffen organisaties.

Nieuwe aanvalstechnieken en zero days in opmars

Gamaredon bleef de meest actieve dreigingsactor gericht op Oekraïne. De groep verfijnde zijn malware door betere obfuscatie en introduceerde PteroBox, een bestandendief die Dropbox misbruikt.

Sednit heeft zijn misbruik van XSS-kwetsbaarheden in webmaildiensten verfijnd en uitgebreid. Naast Roundcube werden nu ook Horde, MDaemon en Zimbra getroffen in het kader van Operation RoundPress. ESET ontdekte dat Sednit succesvol misbruik maakte van een zero day in MDaemon (CVE-2024-11182) bij Oekraïense organisaties. Daarnaast voerde de groep spearphishingcampagnes uit op defensiebedrijven in Bulgarije en Oekraïne.

Een andere aan Rusland gelieerde groep, RomCom, toonde geavanceerde capaciteiten door zero day-exploits toe te passen tegen zowel Mozilla Firefox (CVE-2024-9680) als Microsoft Windows (CVE-2024-49039).

China en Noord-Korea blijven actief in cyberspionage en cybercriminaliteit

In Azië bleven aan China gelieerde APT-groepen zich richten op overheids- en onderwijsinstellingen. Tegelijkertijd breidden aan Noord-Korea gelieerde groeperingen hun operaties fors uit, met nadruk op Zuid-Koreaanse doelwitten: diplomatiek personeel, ambassades, individuen en bedrijven.

Mustang Panda was de meest actieve speler, met aanvallen op overheidsinstanties en maritieme transportbedrijven via Korplug-loaders en geïnfecteerde USB-sticks. DigitalRecyclers richtte zich op Europese overheden, met behulp van de KMA VPN voor anonimiteit en de inzet van backdoors zoals RClient, HydroRShell en GiftBox.

Daarnaast viel PerplexedGoblin een Centraal-Europese overheidsinstantie aan met een nieuwe backdoor, NanoSlate, terwijl Webworm zich richtte op een Servische overheidsorganisatie via SoftEther VPN — een tool die populair blijft aan China gelieerde groepen.

Noord-Koreaanse focus op financieel gewin

Buiten de spionagecampagnes was er een duidelijke toename in financieel gemotiveerde aanvallen vanuit Noord-Korea. DeceptiveDevelopment richtte zich op een breder publiek dan voorheen met nepvacatures, vooral in de cryptosector, en gebruikte geavanceerde social engineering om WeaselStore-malware te verspreiden.

De recente Bybit-cryptodiefstal, waarbij naar schatting 1,5 miljard USD verloren ging, werd door de FBI toegeschreven aan de TraderTraitor-groep. Deze aanval vond plaats via een supply-chain-compromittering van Safe{Wallet}.

Andere Noord-Koreaanse groeperingen lieten wisselende activiteit zien. Begin 2025 keerden Kimsuky en Konni terug naar hun gebruikelijke activiteitsniveau, met een verschuiving van Engelstalige denktanks en NGO’s naar Zuid-Koreaanse doelwitten. Andariel dook opnieuw op na een jaar van inactiviteit en viel een Zuid-Koreaans softwarebedrijf aan met een geavanceerde aanval.

Iran blijft gericht op het Midden-Oosten

Aan Iran gelieerde APT-groepen richtten hun aandacht voornamelijk op overheidsorganisaties en bedrijven in de maakindustrie en technieksector in Israël. Daarnaast constateerde ESET een wereldwijde toename van aanvallen op technologiebedrijven — grotendeels toe te schrijven aan DeceptiveDevelopment.

“Deze aanvallen geven een representatief beeld van de wereldwijde dreigingsdynamiek in deze periode,” aldus Jean-Ian Boutin, Director of Threat Research bij ESET. “Het rapport toont trends en patronen die slechts een fractie vormen van de dreigingsinformatie die onze klanten ontvangen via ESET APT Reports.”

Over ESET APT Reports PREMIUM

De informatie in de privérapporten van ESET is gebaseerd op eigen telemetrie en diepgaand onderzocht door het ESET Threat Research-team. Deze ESET APT Reports PREMIUM bieden organisaties waardevolle inzichten om burgers, kritieke infrastructuur en bedrijfsmiddelen te beschermen tegen cyberaanvallen door statelijke actoren of cybercriminelen.

Meer informatie over deze rapporten en ESET Threat Intelligence is te vinden op de ESET Threat Intelligence-pagina.

Blijf op de hoogte van de laatste ontwikkelingen via ESET Research op X (voorheen Twitter) en BlueSky.

Je kunt het volledige ESET APT Activity Report lezen op digitalsecurityguide.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.