俄罗斯对乌克兰及其盟友的持续攻击

俄罗斯关联黑客组织仍是攻击性最强的团体之一，其攻击重点仍是乌克兰及支持基辅的欧盟国家。在此期间追踪到的所有APT活动中，约40%来自莫斯科关联组织。

RomCom：作为最活跃的俄罗斯关联组织之一，在2025年中期利用了WinRAR的零日漏洞。该漏洞现已修补，允许攻击者通过诱骗受害者打开特制压缩文件来执行恶意代码。ESET表示该活动针对欧洲和加拿大的金融、制造、国防和物流公司。

Gamaredon：在乌克兰扩大了行动规模，攻击频率和复杂程度显著提升。该组织试验了新工具，使用云存储和隧道服务转移窃取数据。在俄罗斯网络部队罕见合作中，Gamaredon部署了Turla的后门程序，表明在高价值目标上存在选择性合作。

Sandworm：继续在乌克兰境内进行破坏性攻击，使用ZEROLOT和Sting等数据擦除恶意软件，袭击政府、能源、物流和粮食部门组织，可能旨在削弱乌克兰战时经济。

InedibleOchotense：在网络钓鱼活动中冒充ESET本身，提供携带Kalambur后门的木马化安装程序。

中国扩大拉丁美洲行动范围

中国关联组织在亚洲、欧洲和美洲保持活跃，约占观察到的活动的26%。其行动反映了北京的战略目标，新重点是拉丁美洲。

FamousSparrow：对阿根廷、危地马拉、洪都拉斯、巴拿马和厄瓜多尔的政府实体发起广泛活动。ESET研究人员认为这种区域重点与中美竞争加剧有关。

SinisterEye和PlushDaemon：使用中间人方法劫持软件更新并在网络内横向移动。这些战术让攻击者控制合法更新过程，允许他们在不触发警报的情况下植入恶意软件。

ESET威胁研究总监Jean-Ian Boutin表示：“中间人攻击已成为中国关联活动中更有效的工具之一。我们已识别多个使用中间人技术的组织，其中许多已成功使用该方法数年。”

Speccom：使用被入侵的政府地址发送鱼叉式网络钓鱼邮件，针对中亚能源部门。分析师认为这些操作可能帮助中国了解其海外项目和能源进口情况。

Silver Fox：通过税务主题的网络钓鱼诱饵，模糊了间谍活动与牟利之间的界限，使用远程访问工具感染香港、马来西亚和印度的组织。

伊朗采用内部钓鱼战术

伊朗关联活动保持稳定，约占观察到的活动的8%。

MuddyWater：因不寻常方法脱颖而出：内部鱼叉式网络钓鱼。在入侵目标组织内的邮箱后，该组织从受信任账户向同事发送网络钓鱼消息，提高了成功率。

这种技术允许攻击者绕过边界防御，诱骗员工安装远程管理工具或投放器。MuddyWater针对尼日利亚、希腊、以色列和美国等不同地区的受害者。

GalaxyGato：改进了现有工具集，在希腊和以色列的攻击中使用基于PowerShell的脚本来收集信息和窃取凭据。

朝鲜间谍活动与牟利并存

朝鲜组织在间谍活动和 financially motivated 操作中保持活跃，全球约14%的活动归因于它们。Lazarus、Kimsuky、Konni和DeceptiveDevelopment运行多个活动，通常在工具和技术上重叠。

DeceptiveDevelopment：继续用虚假工作机会和木马化代码库引诱加密货币开发者，这是该组织多年来完善的策略。

Lazarus：保持利用供应链弱点的模式，包括来自合法韩国供应商的受感染软件安装程序。

Konni：在9月对macOS设备发起攻击，使用社会工程学窃取用户凭据并部署EggShell后门变种。ESET还注意到朝鲜行动者将业务扩展到乌兹别克斯坦，表明范围超出了传统目标。

其他活动和新出现战术

在主要大国之外，ESET追踪到利用相同漏洞的较小组织。多个行动者滥用Roundcube webmail漏洞(CVE-2024-42009)来提供JavaScript下载器和凭据窃取器，而在伊拉克出现了名为Wibag的Android间谍软件操作。Wibag伪装成YouTube应用程序，收集消息、通话记录和位置数据，并显示带有伊拉克国家安全局标志的登录屏幕。