ESET Research ha pubblicato il suo ultimo APT Activity Report e all’interno delle sue pagine viene tracciata la mappa delle minacce che va dal Venezuela all’Ucraina. Nel reporto sono evidenziate le attività di alcuni gruppi APT (Advanced Persistent Threat) tra ottobre 2025 e marzo 2026. Nel periodo monitorato, gli attori malevoli allineati alla Cina hanno continuato a essere particolarmente attivi a livello globale. Conducendo campagne di spionaggio in parte influenzate dagli sviluppi geopolitici relativi agli interessi economici e di sicurezza di Pechino.
Il mondo dopo il Venezuela
In seguito all’operazione militare statunitense in Venezuela e nel contesto della persistente instabilità nella regione del Golfo, ESET ha rilevato segnali che indicano come gruppi legati alla Cina sono mobilitati per migliorare la capacità di Pechino nel monitorare sviluppi marittimi, energetici e politici all’estero. Parallelamente, il gruppo Andariel, collegato alla Corea del Nord, ha preso di mira un’azienda che sembra operare nel settore dell’energia nucleare.
I dati dell’APT Activity Report
Il gruppo FamousSparrow, affiliato alla Cina, ha colpito un ente governativo venezuelano legato agli affari marittimi. Obiettivo monitorare la resilienza delle spedizioni petrolifere dopo l’intervento statunitense. ESET ha, inoltre, osservato attività riconducibili a SteppeDriver, che ha preso di mira una rete governativa siriana. Attività che potrebbe riflettere sia l’interesse commerciale cinese nei progetti di ricostruzione della Siria sia le preoccupazioni per la presenza di combattenti uiguri nel Paese.
I gruppi in fermento
Anche il gruppo UNC5221 ha utilizzato la famiglia di malware SPAWN contro enti governativi in Cambogia e Panama, oltre che contro un’azienda sudcoreana attiva nei settori dell’intelligenza artificiale e della robotica. Quest’ultimo bersaglio è coerente con il costante interesse di Pechino nei confronti di tecnologie strategiche nella politica industriale Made in China 2025.
Il ruolo della Cina sottolineato dall’ultimo APT Activity Report
Jean-Ian Boutin, Director of Threat Research di ESET
In Asia le campagne si sono concentrate principalmente su organizzazioni governative, industrie strategiche e settori tecnologici avanzati. In Medio Oriente, Israele è rimasto il principale obiettivo delle attività allineate o collegate all’Iran. Con attacchi che hanno colpito sia organizzazioni attraverso operazioni di spionaggio sia produttori di dispositivi bersagliati da strumenti distruttivi.
La guerra in Iran e le sue conseguenze
La guerra in Iran, iniziata alla fine di febbraio 2026, è stata l’evento determinante per le attività malevoli riconducibili a Teheran durante il periodo analizzato. Paradossalmente, il conflitto ha coinciso con una diminuzione delle attività dei gruppi APT iraniani tradizionalmente monitorati dalla telemetria di ESET. Allo stesso tempo, questo scenario sembra aver favorito la mobilitazione di attori proxy e gruppi hacktivisti impegnati in attacchi contro Israele, Stati Uniti e altri Paesi considerati ostili a Teheran.
Rusty Boots e MoKhargosh
ESET Research ha, inoltre, registrato un insolito aumento di attività contro obiettivi israeliani senza poterle attribuire con certezza a gruppi precedentemente noti. Due cluster di attività non attribuiti, denominati Rusty Boots e MoKhargosh, hanno mostrato sia capacità di spionaggio sia potenziale distruttivo contro Israele. Inclusa la distribuzione di un malware wiper in stile bootkit e il mantenimento di strumenti distruttivi per utilizzi successivi.
APT Activity Report e la mappa delle minacce
Gli attori malevoli collegati alla Corea del Nord sono rimasti attivi su più fronti. Diversi gruppi hanno continuato a prendere di mira sviluppatori software. Inoltre l’ecosistema delle criptovalute attraverso campagne di social engineering finalizzate sia a ottenere guadagni economici diretti sia a compromettere la supply chain del software. ESET ha, inoltre, individuato il ritorno del gruppo Andariel in operazioni contro la Corea del Sud. In questo caso il gruppo ha distribuito il malware TigerRAT..
Le mosse della Russia
Gli attori allineati alla Russia hanno continuato a concentrare le proprie attività quasi esclusivamente sull’Ucraina e sulle organizzazioni coinvolte negli sforzi di difesa del Paese. Il gruppo Sednit ha distribuito i malware Covenant e BeardShell contro personale militare ucraino, produttori di droni e organizzazioni impegnate nella ricerca e sviluppo di tecnologie UAV.
Nel frattempo, Sandworm ha intensificato le attività distruttive durante l’inverno, utilizzando diversi nuovi malware wiper contro enti governativi e aziende ucraine. Particolarmente significativo è stato un incidente di distruzione di dati verificatosi a dicembre 2025 ai danni di una società energetica polacca. Incidente attribuito da ESET al gruppo Sandworm con un livello medio di attendibilità.
Le proposte di ESET
I prodotti di ESET proteggono i sistemi dei clienti dalle attività malevole descritte nel report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET verificate dai ricercatori dell’azienda. Queste analisi di threat intelligence, note come ESET APT Report, supportano le organizzazioni impegnate nella protezione dei cittadini, delle infrastrutture critiche nazionali e degli asset strategici dagli attacchi informatici criminali e sponsorizzati dagli Stati.
