Der Anbieter von IT-Sicherheits-Produkten und -Dienstleistungen ESET hat seinen “APT Activity Report Q2-Q3” (also den Zeitraum April bis September 2024 betrachtend) veröffentlicht. Der Bericht enthält eine Analyse der Aktivitäten ausgewählter Advanced Persistent Threat (APT)-Gruppen. Darüber hinaus zeigt er laut ESET die neuesten Entwicklungen und Bedrohungstrends in der Cybersecurity-Landschaft auf und untersucht gezielte Angriffe staatlich gesponserter Hacker weltweit. Ein nicht unerwartetes Ergebnis: Insbesondere Hackergruppen mit Verbindungen zu China verstärken ihre internationalen Aktivitäten. Sie sind die Hauptquelle für Cyberangriffe (40 Prozent) im untersuchten Zeitraum. Russische Hacker hingegen sind im gleichen Zeitraum vom ersten auf den zweiten Platz zurückgefallen (27,6 Prozent).
Die Kampagnen chinesischer oder China nahestehender Gruppen konzentrieren sich nach wie vor hauptsächlich auf staatliche Organisationen. Allerdings gerät auch der Bildungssektor immer mehr ins Fadenkreuz. Vor allem Forscher und Akademiker auf der koreanischen Halbinsel und in Südostasien werden Opfer von Cyberattacken. Afrika hat sich in den letzten zwei Jahrzehnten zu einem wichtigen geopolitischen Partner Chinas entwickelt. APT-Gruppe MirrorFace attackierte von dort aus eine diplomatische Organisation in der Europäischen Union mit einer die World Expo 2025 in Osaka ausnutzenden Kampagne.
Mit Russland in Verbindung stehende Hacker waren weiterhin in der Ukraine am aktivsten. Sie nahmen dort Regierungsstellen, den Verteidigungssektor und kritische Bereiche wie Energie-, Wasser- und Wärmeversorgung ins Visier. Andere Gruppen zielten häufig auf Webmail-Dienste wie Roundcube und Zimbra ab, um Schwachstellen auszunutzen und durch gezielte Phishing-Angriffe an E-Mails zu gelangen.
Die Gruppe Sednit attackierte weltweit Regierungs- und Forschungseinrichtungen, während Gamaredon und Sandworm ihre Angriffe auf die Ukraine fokussierten. Außerdem identifizierte ESET eine Desinformationskampagne namens Operation Texonto, die vor allem darauf abzielt, ukrainische Bevölkerungsteile zu demoralisieren.
Nordkoreanische Hacker setzen weiterhin auf Cyberangriffe, um die Rüstungsprogramme des Landes durch Kryptowährungs- und klassischen Währungsdiebstahl zu finanzieren. Europäische und US-amerikanische Unternehmen aus dem Verteidigungs- und Luftfahrtsektor sowie Kryptowährungsentwickler und Nichtregierungsorganisationen waren hier die Hauptziele. Neu war der Missbrauch von Microsoft Management Console-Dateien durch die Kimsuky-Gruppe und die Ausnutzung von Cloud-Diensten wie Google Drive und Microsoft OneDrive. Die Lazarus-Gruppe setzte ihre Angriffe auf Finanz- und Technologieeinrichtungen weltweit fort.
Irannahe Cyberkriminelle haben ihre Aktivitäten ausgeweitet und ihre Fähigkeiten verstärkt für diplomatische Spionage und möglicherweise militärisch-strategische Zwecke eingesetzt. Ziele waren unter anderem Finanzunternehmen in Afrika. Auch diplomatische Vertretungen und Regierungsorganisationen aus dem Irak und Aserbaidschan standen offenbar im Fokus, ebenso wie der israelische Transportsektor. Trotz der geografischen Konzentration bleibt das Interesse der vom Iran unterstützten Gruppen global. So wurden auch diplomatische Vertreter in Frankreich und Bildungsorganisationen in den USA angegriffen.