Έντονες παρακολουθήσεις και απειλές από ομάδες κατασκοπείας που συνδέονται με την Κίνα

Το Ερευνητικό Κέντρο της ESET δημοσίευσε την τελευταία της Έκθεση Δραστηριότητας APT, όπου παρουσιάζει τις ενέργειες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Οκτώβριο του 2025 έως το Μάρτιο του 2026.

Κατά τη διάρκεια αυτής της περιόδου, οι παράγοντες απειλής που συνδέονται με την Κίνα παρέμειναν ιδιαίτερα δραστήριοι σε παγκόσμιο επίπεδο, διεξάγοντας εκστρατείες κατασκοπείας που διαμορφώθηκαν εν μέρει από γεωπολιτικές εξελίξεις οι οποίες επηρέασαν τα οικονομικά και εθνικά συμφέροντα του Πεκίνο. Μετά τη στρατιωτική επιχείρηση των ΗΠΑ στη Βενεζουέλα και εν μέσω της συνεχιζόμενης αστάθειας στην περιοχή του Κόλπου, η ESET εντόπισε ενδείξεις ότι ομάδες συνδεδεμένες με την Κίνα εντατικοποίησαν τη δραστηριότητά τους, επιδιώκοντας να ενισχύσουν τη συλλογή πληροφοριών σχετικά με τις εξελίξεις στον τομέα της ναυτιλίας και της ενέργειας, αλλά και τις πολιτικές εξελίξεις διεθνώς.

Η ομάδα Andariel, η οποία συνδέεται με τη Βόρεια Κορέα, επιτέθηκε σε εταιρεία που φαίνεται να δραστηριοποιείται στον τομέα της πυρηνικής ενέργειας. Παράλληλα, η FamousSparrow, που συνδέεται με την Κίνα, στόχευσε έναν κρατικό φορέα της Βενεζουέλας αρμόδιο για ναυτιλιακά ζητήματα, πιθανότατα με σκοπό την παρακολούθηση της ανθεκτικότητας των πετρελαϊκών μεταφορών μετά την αμερικανική επέμβαση.

Η ESET εντόπισε επίσης δραστηριότητα της SteppeDriver, μιας ακόμη ομάδας APT που συνδέεται με την Κίνα, η οποία επικέντρωσε την προσοχή της στη Συρία. Η συγκεκριμένη δραστηριότητα ενδέχεται να αντανακλά τόσο το εμπορικό ενδιαφέρον της Κίνας για τα έργα ανασυγκρότησης της χώρας όσο και τις ανησυχίες της για ζητήματα ασφάλειας που σχετίζονται με Ουιγούρους μαχητές που βρίσκονται εκεί.

Επιπλέον, η οικογένεια κακόβουλου λογισμικού SPAWN της ομάδας UNC5221, η οποία συνδέεται επίσης με την Κίνα, επιτέθηκε σε κρατικούς φορείς στην Καμπότζη και τον Παναμά, καθώς και μια εταιρεία τεχνητής νοημοσύνης και ρομποτικής στη Νότια Κορέα. Η επίθεση αυτή συνάδει με το διαχρονικό ενδιαφέρον του Πεκίνου για στρατηγικές τεχνολογίες που αποτελούν προτεραιότητα στο πλαίσιο της βιομηχανικής πολιτικής «Made in China 2025».

«Στην Ασία, οι εκστρατείες επικεντρώθηκαν κυρίως σε κρατικές υπηρεσίες, στρατηγικούς κλάδους και τομείς προηγμένης τεχνολογίας. Στη Μέση Ανατολή, το Ισραήλ παρέμεινε ο βασικός στόχος ομάδων που υποστηρίζονται ή συνδέονται με το Ιράν. Οι επιθέσεις είχαν ως στόχους κρατικούς οργανισμούς και κατασκευαστές συσκευών» αναφέρει ο Jean-Ian Boutin, Διευθυντής Έρευνας Απειλών στην ESET.

Η σύγκρουση στο Ιράν, που ξέσπασε στα τέλη Φεβρουαρίου 2026, αποτέλεσε το καθοριστικό γεγονός για τις δραστηριότητες κατά τη συγκεκριμένη περίοδο. Παραδόξως, η σύγκρουση συνέπεσε με μείωση της δραστηριότητας καθιερωμένων ομάδων APT που συνδέονται με το Ιράν, σύμφωνα με την τηλεμετρία της ESET. Πιθανή αιτία ήταν οι περιορισμοί στο διαδίκτυο που επέβαλε το ιρανικό καθεστώς, οι οποίοι περιόρισαν την επιχειρησιακή τους ικανότητα.

Παράλληλα, το περιβάλλον αυτό φαίνεται να ευνόησε την κινητοποίηση διαμεσολαβητών και χακτιβιστών που έχουν ως στόχο το Ισραήλ, τις Ηνωμένες Πολιτείες και άλλα κράτη τα οποία θεωρούνται εχθρικά προς την Τεχεράνη. Η ESET Research κατέγραψε επίσης ασυνήθιστη αύξηση της δραστηριότητας εναντίον ισραηλινών στόχων, την οποία δεν κατόρθωσε να αποδώσει με βεβαιότητα σε ήδη γνωστές ομάδες.

Δύο ομάδες άγνωστης προέλευσης, οι Rusty Boots και MoKhargosh, επέδειξαν τόσο κατασκοπευτικές δυνατότητες όσο και επιθετικές ικανότητες εναντίον του Ισραήλ. Μεταξύ άλλων, ανέπτυξαν έναν wiper τύπου bootkit, ενώ παράλληλα διατήρησαν εργαλεία καταστροφής έτοιμα για μελλοντική χρήση.

Οι ερευνητές της ESET εντόπισαν, επίσης, παραβίαση σε εταιρεία του αμυντικού τομέα στα Ηνωμένα Αραβικά Εμιράτα, καθώς και επίθεση σε αραβόφωνους χρήστες μέσω λογισμικού υποκλοπής για Android. Η επίθεση φαίνεται ότι είχε ως στόχο δημοσιογράφους ή επαγγελματίες της ανοιχτής πληροφορίας (OSINT), καθώς το όνομα του καναλιού Telegram που χρησιμοποιούσαν οι εισβολείς πιθανότατα εμπνεύστηκε από το Live Universal Awareness Map (Liveuamap), μια νόμιμη και ευρέως γνωστή πλατφόρμα OSINT που ειδικεύεται στην καταγραφή περιστατικών παγκοσμίως.

Παράλληλα, οι ομάδες απειλών που συνδέονται με τη Βόρεια Κορέα παρέμειναν ιδιαίτερα δραστήριες σε πολλαπλά μέτωπα. Αρκετές από αυτές συνέχισαν να έχουν ως στόχο προγραμματιστές και το οικοσύστημα των κρυπτονομισμάτων μέσω εκστρατειών κοινωνικής μηχανικής, οι οποίες μπορούν να αποφέρουν τόσο άμεσο οικονομικό όφελος όσο και ευκαιρίες για παραβιάσεις της αλυσίδας εφοδιασμού λογισμικού. Η ESET αποκάλυψε επίσης την επανεμφάνιση της ομάδας Andariel σε επιθέσεις κατά της Νότιας Κορέας. Σύμφωνα με την έρευνα, η ομάδα χρησιμοποίησε το TigerRAT και επιχείρησε να διαδώσει το ransomware Rook σε εταιρεία που φαίνεται να κατασκευάζει εξοπλισμό σχετικό με τη διαχείριση υγρού υδρογόνου και τη βιομηχανία πυρηνικής ενέργειας, τεχνολογίες που παρουσιάζουν ενδιαφέρον για τις βαλλιστικές και πυρηνικές φιλοδοξίες της Πιονγιάνγκ.

Οι φορείς απειλών που συνδέονται με τη Ρωσία συνέχισαν να επικεντρώνονται κυρίως στην Ουκρανία και σε οργανισμούς που υποστηρίζουν τις αμυντικές προσπάθειες της χώρας. Η ομάδα Sednit χρησιμοποίησε τα κακόβουλα εργαλεία Covenant και BeardShell εναντίον ουκρανικού στρατιωτικού προσωπικού, κατασκευαστών drones και οργανισμών που δραστηριοποιούνται στην έρευνα και ανάπτυξη μη επανδρωμένων αεροσκαφών. Παράλληλα, επιτέθηκε σε εταιρείες logistics και μεταφορών εκτός Ουκρανίας.

Η ομάδα Sandworm ενέτεινε τις καταστροφικές της δραστηριότητες κατά τη διάρκεια του χειμώνα, χρησιμοποιώντας διάφορα νέα κακόβουλα προγράμματα διαγραφής δεδομένων εναντίον κρατικών και ιδιωτικών φορέων στην Ουκρανία. Ιδιαίτερα αξιοσημείωτο ήταν ένα περιστατικό καταστροφής δεδομένων τον Δεκέμβριο του 2025, το οποίο έπληξε πολωνική εταιρεία ενέργειας και το οποίο η ESET απέδωσε στη Sandworm με μέτριο βαθμό βεβαιότητας.

Τα προϊόντα της ESET προστατεύουν τα συστήματα των πελατών της από τις κακόβουλες δραστηριότητες που περιγράφονται στην παρούσα έκθεση. Οι πληροφορίες που παρουσιάζονται βασίζονται κυρίως σε ιδιόκτητα δεδομένα τηλεμετρίας της ESET και έχουν επαληθευτεί από τους ερευνητές της εταιρείας. Οι ερευνητές συντάσσουν αναλυτικές τεχνικές εκθέσεις και τακτικές ενημερώσεις δραστηριότητας, οι οποίες καταγράφουν λεπτομερώς τις ενέργειες συγκεκριμένων ομάδων προηγμένων επίμονων απειλών (APT).

Οι αναλύσεις αυτές, γνωστές ως Εκθέσεις APT, υποστηρίζουν οργανισμούς που έχουν αναλάβει την προστασία πολιτών, κρίσιμων εθνικών υποδομών και περιουσιακών στοιχείων υψηλής αξίας από κυβερνοεπιθέσεις που προέρχονται είτε από εγκληματικές ομάδες είτε από φορείς που υποστηρίζονται από κράτη.