L’ultimo APT Activity Report di ESET Research traccia la mappa delle minacce tra Venezuela, Siria, Paesi del Golfo, Sud Corea e Ucraina
ESET, leader globale nel settore della cybersecurity, ha pubblicato il suo ultimo APT Activity Report, in cui sono evidenziate le attività di alcuni gruppi APT (Advanced Persistent Threat) documentate da ESET Research tra ottobre 2025 e marzo 2026. Nel periodo monitorato, gli attori malevoli allineati alla Cina hanno continuato a essere particolarmente attivi a livello globale, conducendo campagne di spionaggio in parte influenzate dagli sviluppi geopolitici relativi agli interessi economici e di sicurezza di Pechino. In seguito all’operazione militare statunitense in Venezuela e nel contesto della persistente instabilità nella regione del Golfo, ESET ha rilevato segnali che indicano come gruppi legati alla Cina siano stati mobilitati per migliorare la capacità di Pechino nel monitorare sviluppi marittimi, energetici e politici all’estero. Parallelamente, il gruppo Andariel, collegato alla Corea del Nord, ha preso di mira un’azienda che sembra operare nel settore dell’energia nucleare.
Il gruppo FamousSparrow, anch’esso affiliato alla Cina, ha colpito un ente governativo venezuelano legato agli affari marittimi, probabilmente con l’obiettivo di monitorare la resilienza delle spedizioni petrolifere dopo l’intervento statunitense. ESET ha, inoltre, osservato attività riconducibili a SteppeDriver, un altro gruppo APT cinese che ha preso di mira una rete governativa siriana: attività che potrebbe riflettere sia l’interesse commerciale cinese nei progetti di ricostruzione della Siria sia le preoccupazioni per la presenza di combattenti uiguri nel Paese. Anche il gruppo UNC5221, legato alla Cina, ha utilizzato la famiglia di malware SPAWN contro enti governativi in Cambogia e Panama, oltre che contro un’azienda sudcoreana attiva nei settori dell’intelligenza artificiale e della robotica. Quest’ultimo bersaglio è coerente con il costante interesse di Pechino nei confronti di tecnologie strategiche nella politica industriale Made in China 2025.
“In Asia le campagne si sono concentrate principalmente su organizzazioni governative, industrie strategiche e settori tecnologici avanzati. In Medio Oriente, Israele è rimasto il principale obiettivo delle attività allineate o collegate all’Iran, con attacchi che hanno colpito sia organizzazioni attraverso operazioni di spionaggio sia produttori di dispositivi bersagliati da strumenti distruttivi”, afferma Jean-Ian Boutin, Director of Threat Research di ESET.
La guerra in Iran, iniziata alla fine di febbraio 2026, è stata l’evento determinante per le attività malevoli riconducibili a Teheran durante il periodo analizzato. Paradossalmente, il conflitto ha coinciso con una diminuzione delle attività dei gruppi APT iraniani tradizionalmente monitorati dalla telemetria di ESET, probabilmente a causa delle restrizioni Internet imposte dal regime iraniano, che ne hanno limitato la capacità operativa. Allo stesso tempo, questo scenario sembra aver favorito la mobilitazione di attori proxy e gruppi hacktivisti impegnati in attacchi contro Israele, Stati Uniti e altri Paesi considerati ostili a Teheran. ESET Research ha, inoltre, registrato un insolito aumento di attività contro obiettivi israeliani senza poterle attribuire con certezza a gruppi precedentemente noti. Due cluster di attività non attribuiti, denominati Rusty Boots e MoKhargosh, hanno mostrato sia capacità di spionaggio sia potenziale distruttivo contro Israele, inclusa la distribuzione di un malware wiper in stile bootkit e il mantenimento di strumenti distruttivi per utilizzi successivi.
ESET Research ha, inoltre, rilevato la compromissione di un’azienda della difesa negli Emirati Arabi Uniti e campagne di spionaggio rivolte a utenti di lingua araba tramite spyware Android. L’operazione potrebbe aver preso di mira giornalisti o analisti OSINT (Open Source Intelligence), poiché il nome del canale Telegram utilizzato dagli attaccanti sembrava ispirato a Live Universal Awareness Map (Liveuamap), una nota piattaforma OSINT dedicata al monitoraggio degli incidenti militari a livello globale.
Gli attori malevoli collegati alla Corea del Nord sono rimasti attivi su più fronti. Diversi gruppi hanno continuato a prendere di mira sviluppatori software e l’ecosistema delle criptovalute attraverso campagne di social engineering finalizzate sia a ottenere guadagni economici diretti sia a compromettere la supply chain del software. ESET ha, inoltre, individuato il ritorno del gruppo Andariel in operazioni contro la Corea del Sud. In questo caso il gruppo ha distribuito il malware TigerRAT, tentando di diffondere il ransomware Rook all’interno di una società di ingegneria che sembra produrre apparecchiature per la gestione dell’idrogeno liquido e per l’industria nucleare: tecnologie di evidente interesse per le ambizioni missilistiche e nucleari di Pyongyang.
Gli attori allineati alla Russia hanno continuato a concentrare le proprie attività quasi esclusivamente sull’Ucraina e sulle organizzazioni coinvolte negli sforzi di difesa del Paese. Il gruppo Sednit ha distribuito i malware Covenant e BeardShell contro personale militare ucraino, produttori di droni e organizzazioni impegnate nella ricerca e sviluppo di tecnologie UAV, prendendo di mira anche aziende della logistica e dei trasporti al di fuori dell’Ucraina. Nel frattempo, Sandworm ha intensificato le attività distruttive durante l’inverno, utilizzando diversi nuovi malware wiper contro enti governativi e aziende ucraine. Particolarmente significativo è stato un incidente di distruzione di dati verificatosi a dicembre 2025 ai danni di una società energetica polacca: incidente attribuito da ESET al gruppo Sandworm con un livello medio di attendibilità.
I prodotti di ESET proteggono i sistemi dei clienti dalle attività malevole descritte nel report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET e sono state verificate dai ricercatori dell’azienda, che producono report tecnici approfonditi e aggiornamenti periodici sulle attività dei singoli gruppi APT. Queste analisi di threat intelligence, note come ESET APT Report, supportano le organizzazioni impegnate nella protezione dei cittadini, delle infrastrutture critiche nazionali e degli asset strategici dagli attacchi informatici criminali e sponsorizzati dagli Stati.
