Der ESET APT Activity Report für das vierte Quartal 2025 bis zum ersten Quartal 2026 fasst die wichtigsten Aktivitäten ausgewählter Advanced Persistent Threat (APT)-Gruppen zusammen. Diese wurden von ESET-Forschern im Zeitraum von Oktober 2025 bis März 2026 dokumentiert. Die dargestellten Operationen stehen stellvertretend für die umfassendere Bedrohungslandschaft, die in diesem Zeitraum analysiert wurde. Sie veranschaulichen zentrale Trends und Entwicklungen, bilden jedoch nur einen Teil der Cybersicherheitsdaten ab, die Kunden im Rahmen der ESET Threat Intelligence APT-Berichte zur Verfügung stehen.

China

Im untersuchten Zeitraum waren China zugeordnete Bedrohungsakteure weltweit weiterhin sehr aktiv. Sie führten Spionagekampagnen durch, die teilweise durch geopolitische Entwicklungen geprägt waren, insbesondere im Hinblick auf wirtschaftliche und sicherheitspolitische Interessen Pekings.

Nach der US-Militäroperation in Venezuela sowie angesichts der anhaltenden Instabilität in der Golfregion beobachteten wir Hinweise darauf, dass entsprechende Gruppen mobilisiert wurden, um Chinas Einblick in maritime, energiepolitische und politische Entwicklungen im Ausland zu verbessern.

Ein bemerkenswerter Fall betrifft die Gruppe FamousSparrow, die eine venezolanische Regierungsstelle mit Zuständigkeit für maritime Angelegenheiten ins Visier nahm. Ziel war vermutlich die Überwachung der Stabilität von Öltransporten nach der US-Intervention. Zudem richtete sich die Gruppe SteppeDriver gegen ein syrisches Regierungsnetzwerk. Diese Aktivitäten könnten sowohl mit chinesischen wirtschaftlichen Interessen am Wiederaufbau Syriens als auch mit sicherheitspolitischen Bedenken hinsichtlich uigurischer Kämpfer in der Region zusammenhängen.

Darüber hinaus identifizierten wir auf VirusTotal ein neues Implantat namens PhiliKit, das vermutlich Teil des SPAWN-Toolsets der Gruppe UNC5221 ist und gezielt Ivanti-VPN-Geräte angreift. Unsere Analysen zu NegativeGlimmer zeigen zudem Angriffe auf Regierungsinstitutionen in Kambodscha und Panama sowie auf ein KI- und Robotikunternehmen in Südkorea. Letzteres passt zu Chinas strategischem Interesse an Schlüsseltechnologien im Rahmen der Initiative „Made in China 2025“.

Iran

Der Ende Februar 2026 begonnene Krieg im Iran stellte das dominierende Ereignis für iranisch zugeordnete Aktivitäten dar. Paradoxerweise ging dieser Konflikt in unseren Telemetriedaten mit einem Rückgang der Aktivitäten etablierter iranischer APT-Gruppen einher. Dies ist vermutlich auf staatlich verordnete Internetbeschränkungen zurückzuführen, die deren operative Fähigkeiten einschränkten.

Gleichzeitig begünstigte dieses Umfeld offenbar die Aktivität von Stellvertretern und Hacktivisten, die verstärkt Ziele in Israel, den USA und weiteren als feindlich wahrgenommenen Staaten angriffen. Zudem registrierten wir einen deutlichen Anstieg von Angriffen auf israelische Ziele, die sich jedoch keiner bekannten Gruppe eindeutig zuordnen lassen.

Zwei dieser Cluster, Rusty Boots und MoKhargosh, verfügen sowohl über Spionagefähigkeiten als auch über zerstörerisches Potenzial. Dazu zählen der Einsatz von Wipern im Bootkit-Stil sowie die Vorbereitung weiterer Schadsoftware für spätere Angriffe. Ein dritter Cluster, MOØN Badr, scheint sich hingegen ausschließlich auf Spionage zu konzentrieren.

Nordkorea

Nordkoreanische Bedrohungsakteure waren weiterhin auf mehreren Ebenen aktiv. Mehrere Gruppen griffen gezielt Entwickler sowie das Kryptowährungs-Ökosystem mittels Social Engineering an, um sowohl finanzielle Gewinne zu erzielen als auch die Software-Lieferkette zu kompromittieren.

Die Gruppen Lazarus und DeceptiveDevelopment setzten verstärkt auf langfristige Beziehungen zu hochrangigen Zielpersonen, während Kimsuky und Konni eher opportunistische und kurzfristige Angriffe durchführten.

Zudem wurde das Wiederauftauchen der Gruppe Andariel in Südkorea festgestellt. Dort setzte sie die Schadsoftware TigerRAT ein und versuchte, die Ransomware Rook innerhalb eines Ingenieurbüros zu verbreiten. Dieses Unternehmen könnte Anlagen für Flüssigwasserstoff- und Nukleartechnologie entwickeln – Bereiche, die für Nordkoreas militärische Ambitionen von besonderem Interesse sind.

Darüber hinaus verfolgten wir die Weiterentwicklung der Lazarus-Kampagnen, darunter „Operation DreamJob“ und „Operation DangerousPassword“. Erstere zielte auf europäische Drohnenhersteller ab. Letztere führte zur Kompromittierung der weit verbreiteten JavaScript-Bibliothek axios, die wöchentlich mehr als 100 Millionen Downloads im npm-Register verzeichnet und weltweit in Web- und Mobilanwendungen eingesetzt wird.

Die Angreifer nutzten kompromittierte Zugangsdaten eines Hauptentwicklers, um manipulierte Versionen der Bibliothek zu veröffentlichen. Diese enthielten Schadcode, der auf betroffenen Systemen ausgeführt wurde, bevor die Manipulation entdeckt und behoben werden konnte.

Parallel dazu kompromittierte die Gruppe ScarCruft eine Gaming-Plattform in der chinesischen Region Yanbian, vermutlich um Informationen über Personen zu sammeln, die für das nordkoreanische Regime von Interesse sind, darunter Flüchtlinge und Überläufer.

Russland

Russlandnahe Bedrohungsakteure konzentrierten sich weiterhin primär auf Ziele in der Ukraine sowie auf Organisationen, die deren Verteidigung unterstützen.

Die Gruppe Sednit setzte ihre Schadsoftware „Covenant“ und „BeardShell“ gegen ukrainisches Militär, Drohnenhersteller sowie Forschungseinrichtungen im Drohnenbereich ein. Gleichzeitig richtete sie ihre Aktivitäten auch gegen Logistik- und Transportunternehmen außerhalb der Ukraine.

Sandworm intensivierte insbesondere im Winter seine zerstörerischen Angriffe und setzte mehrere neue Wiper gegen staatliche und private Ziele in der Ukraine ein. Hervorzuheben ist ein Vorfall im Dezember 2025, bei dem ein polnisches Energieunternehmen Ziel eines Datenvernichtungsangriffs wurde. Dieser Angriff wird mit mittlerer Sicherheit Sandworm zugeschrieben.

Obwohl derartige Angriffe außerhalb der Ukraine selten sind, ist dieser Fall besonders relevant, da kritische Infrastruktur eines NATO-Mitgliedstaates betroffen war. Angesichts der Rolle Polens bei der Stabilisierung der ukrainischen Energieversorgung könnte das Ziel gewesen sein, das ukrainische Stromnetz zusätzlich unter Druck zu setzen.

Weitere Kampagnen

Neben diesen bekannten Akteuren wurden auch mehrere Kampagnen weniger bekannter oder nicht eindeutig zuordenbarer Gruppen beobachtet. Dazu zählen:

  • ein „Browser-in-the-Browser“-Phishing-Angriff auf einen japanischen Think Tank
  • die Android-Spyware Asin, die arabischsprachige Nutzer über vermeintliche Konflikt-Tracking-Apps angreift
  • die Kompromittierung eines Verteidigungsunternehmens in den Vereinigten Arabischen Emiraten über einen SmartOffice-CRM-Server, gefolgt vom Einsatz maßgeschneiderter Post-Exploitation- und Reverse-Proxy-Tools
Figure 1
Zielländer und -sektoren
Figure 2
Angriffsquellen
ESET APT Activity Reports enthalten nur einen Bruchteil der Cybersicherheitsdaten, die in den ESET Threat Intelligence APT-Berichten bereitgestellt werden. Weitere Informationen finden Sie auf der ESET Threat Intelligence-Website.