O ESET APT Activity Reports referente ao quarto trimestre de 2025 e ao primeiro trimestre de 2026 resume as principais atividades de grupos selecionados de ameaças persistentes avançadas (APT) documentadas pela equipe de pesquisa da ESET entre outubro de 2025 e março de 2026. As operações apresentadas aqui representam parte do panorama mais amplo de ameaças investigado durante esse período, ilustram tendências e desenvolvimentos importantes e incluem apenas uma fração dos dados de inteligência em cibersegurança fornecidos aos clientes dos relatórios APT do ESET Threat Intelligence.
Durante o período monitorado, os grupos cibercriminosos alinhados à China permaneceram altamente ativos em escala global, conduzindo campanhas de ciberespionagem parcialmente moldadas por desdobramentos geopolíticos que afetam os interesses econômicos e de segurança de Pequim. Após a operação militar dos Estados Unidos na Venezuela e em meio à contínua instabilidade na região do Golfo, observamos indícios de que grupos alinhados à China estavam sendo mobilizados para ampliar a visibilidade de Pequim sobre desenvolvimentos marítimos, energéticos e políticos no exterior. Em um caso de destaque, o grupo FamousSparrow teve como alvo um órgão governamental venezuelana ligada a assuntos marítimos, provavelmente com o objetivo de monitorar a resiliência do transporte de petróleo após a intervenção norte-americana.
Também observamos o grupo SteppeDriver tendo como alvo uma rede governamental na Síria, atividade que pode refletir tanto o interesse comercial chinês em projetos de reconstrução do país quanto preocupações de segurança relacionadas à presença de combatentes uigures na região. No VirusTotal, identificamos o PhiliKit, um novo implante que avaliamos como parte do conjunto de ferramentas SPAWN, do grupo UNC5221, voltado para dispositivos VPN da Ivanti. Além disso, nosso monitoramento do grupo NegativeGlimmer revelou comprometimentos em órgãos governamentais no Camboja e no Panamá, bem como em uma empresa de IA e robótica na Coreia do Sul. Esse último alvo na Coreia do Sul está alinhado ao interesse contínuo de Pequim em tecnologias estratégicas priorizadas pela política industrial Made in China 2025.
A guerra no Irã, iniciada no fim de fevereiro de 2026, foi o principal acontecimento relacionado à atividade de grupos alinhados ao país durante esse período. Paradoxalmente, o conflito coincidiu com uma redução na atividade de grupos APT pró-Irã já estabelecidos em nossa telemetria, provavelmente porque as restrições de internet impostas pelo regime iraniano dificultaram sua capacidade de operar de forma eficaz. Ao mesmo tempo, esse cenário parece ter favorecido a mobilização de atores proxy e hacktivistas que tiveram como alvo Israel, os Estados Unidos e outros países considerados hostis a Teerã. Também documentamos um aumento incomum de atividades contra alvos israelenses que não conseguimos vincular com confiança a grupos previamente conhecidos. Dois clusters de atividade ainda não atribuídos, Rusty Boots e MoKhargosh, demonstraram tanto capacidades de ciberespionagem quanto potencial destrutivo, incluindo a implantação de um wiper no estilo bootkit e a manutenção de ferramentas destrutivas para uso posterior. Já um terceiro grupo, MOØN Badr, aparentemente esteve limitado a operações direcionadas de ciberespionagem.
Os grupos cibercriminosos alinhados à Coreia do Norte permaneceram ativos em diversas frentes. Vários grupos continuaram tendo como alvo desenvolvedores e o ecossistema de criptomoedas por meio de esquemas de engenharia social que podem gerar tanto ganhos financeiros diretos quanto oportunidades para comprometer a cadeia de suprimentos de software. Lazarus e DeceptiveDevelopment seguiram investindo na construção de relacionamentos de longo prazo com alvos de alto valor, enquanto Kimsuky e Konni priorizaram ataques mais rápidos e oportunistas. Também detectamos o ressurgimento do grupo Andariel na Coreia do Sul, onde implantou o malware TigerRAT e tentou disseminar o ransomware Rook dentro de uma empresa de engenharia que aparentemente fabrica equipamentos relevantes para o manuseio de hidrogênio líquido e para a indústria nuclear, tecnologias claramente alinhadas aos interesses das ambições balísticas e nucleares de Pyongyang.
Também acompanhamos a evolução contínua de campanhas do grupo Lazarus, incluindo a Operation DreamJob e a Operation DangerousPassword. A primeira teve como alvo fabricantes europeus de drones; já a segunda levou ao comprometimento da amplamente utilizada biblioteca JavaScript axios, que conta com mais de 100 milhões de downloads semanais no repositório npm e é considerada crítica para aplicações web e móveis em todo o mundo. Os cibercriminosos exploraram credenciais comprometidas do principal mantenedor da biblioteca para publicar versões maliciosas do software, que injetavam código trojanizado nos sistemas afetados antes de serem detectadas e removidas. Paralelamente, o grupo ScarCruft comprometeu uma plataforma de games que atende a região de Yanbian, na China, provavelmente com o objetivo de coletar informações de inteligência sobre indivíduos de interesse para o regime norte-coreano, incluindo refugiados e desertores.
Os grupos cibercriminosos alinhados à Rússia continuaram concentrando seus esforços de forma predominante na Ucrânia e em entidades ligadas às iniciativas de defesa do país. O grupo Sednit implantou os malwares Covenant e BeardShell contra militares ucranianos, fabricantes de drones e organizações envolvidas em pesquisa e desenvolvimento dessas tecnologias, além de também ter como alvo empresas de logística e transporte fora da Ucrânia.
O grupo Sandworm intensificou sua atividade destrutiva durante o inverno, implantando diversos novos wipers na Ucrânia contra alvos dos setores governamental e privado. Um caso particularmente relevante foi um incidente de destruição de dados ocorrido em dezembro de 2025, que afetou uma empresa do setor de energia na Polônia e que atribuímos ao Sandworm com grau moderado de confiança.
Embora ataques destrutivos conduzidos por atores alinhados à Rússia fora da Ucrânia ainda sejam relativamente raros, esse caso chama atenção por ter atingido uma infraestrutura crítica em um país membro da OTAN. Considerando o papel da Polônia no apoio à estabilização do fornecimento de energia elétrica da Ucrânia, é possível que a operação tenha tido como objetivo pressionar a rede elétrica ucraniana durante o inverno.
Também acompanhamos diversas campanhas relevantes conduzidas por clusters menos conhecidos e ainda não atribuídos. Entre elas estão um ataque de phishing do tipo browser-in-the-browser contra um think tank japonês, um spyware para Android que denominamos Asin, voltado para usuários de língua árabe por meio de aplicativos que alegam oferecer funcionalidades de monitoramento de conflitos, e o comprometimento de uma empresa de defesa nos Emirados Árabes Unidos por meio de um servidor CRM SmartOffice, seguido da implantação de ferramentas personalizadas de pós-exploração e de proxy reverso.
Os produtos da ESET protegem os sistemas de nossos clientes contra as atividades maliciosas descritas neste relatório. As informações de inteligência compartilhadas aqui são baseadas principalmente em dados de telemetria próprios da ESET e foram verificadas pela equipe de pesquisa da ESET.
Os ESET APT Activity Reports contêm apenas uma fração dos dados de inteligência em cibersegurança incluídos nos ESET Threat Intelligence APT Reports. Para mais informações, visite o site do ESET Threat Intelligence.
