ESET Research heeft zijn nieuwste APT Activity Report gepubliceerd, met een overzicht van dreigingsactiviteiten tussen oktober 2025 en maart 2026. Aan China gelieerde actoren voerden campagnes uit tegen overheidsinstanties, energiebedrijven en AI-gerelateerde organisaties. Aan Rusland gelieerde groep Sandworm wordt met middelhoge zekerheid gekoppeld aan een datavernietigingsincident bij een Pools energiebedrijf in december 2025.
ESET Research publiceert zijn APT Activity Report over de periode oktober 2025 tot en met maart 2026. Het rapport beschrijft de activiteiten van geselecteerde dreigingsgroepen op basis van eigen telemetrie en analysewerk van ESET-onderzoekers.
Aan China gelieerde groepen
Volgens ESET waren aan China gelieerde dreigingsactoren in de rapportageperiode wereldwijd actief, waarbij geopolitieke ontwikkelingen hun doelkeuze beïnvloedden. De groep FamousSparrow richtte zich op een Venezolaanse overheidsinstantie met een maritieme link. ESET stelt dat het vermoedelijke doel was om olietransportbewegingen te volgen na de Amerikaanse militaire interventie in het land.
Een andere aan China gelieerde groep, SteppeDriver, was actief binnen een Syrisch overheidsnetwerk. Dat kan verband houden met Chinese commerciële belangen bij de wederopbouw van Syrië of met zorgen rond Oeigoerse strijders in de regio, aldus het rapport.
De groep UNC5221 zette de SPAWN-malwarefamilie in tegen overheidsinstanties in Cambodja en Panama, en tegen een AI- en roboticabedrijf in Zuid-Korea. ESET geeft aan dat die laatste aanval past bij de Chinese beleidsambities rond strategische technologieën zoals beschreven in het Made in China 2025-programma. In de Verenigde Arabische Emiraten werd daarnaast een defensiebedrijf gecompromitteerd. Arabischtalige gebruikers werden aangevallen met Android-spyware, mogelijk gericht op journalisten of OSINT-onderzoekers.
Jean-Ian Boutin, Director of Threat Research bij ESET, geeft aan dat campagnes in Azië voornamelijk overheidsorganisaties, strategische industrieën en technologiesectoren als doelwit hadden. In het Midden-Oosten bleef Israël het voornaamste doelwit van aan Iran gelieerde activiteiten, variërend van spionage-inbraken tot aanvallen met destructieve tools op hardwarefabrikanten.
Iran en proxy-actoren
De oorlog in Iran, die eind februari 2026 begon, had invloed op het activiteitsniveau van gevestigde aan Iran gelieerde APT-groepen. Doordat het internet voor Iraniërs werd afgesloten, nam hun zichtbaarheid in ESET-telemetrie af. Tegelijkertijd nam de activiteit van proxy- en hacktivistische actoren toe, gericht op Israël, de Verenigde Staten en andere landen die Teheran als vijandig beschouwt.
ESET documenteerde een toename van aanvallen op Israëlische doelwitten die niet met zekerheid aan bekende groepen kon worden gekoppeld. Twee niet-toegeschreven clusters, Rusty Boots en MoKhargosh, toonden zowel spionagecapaciteiten als destructief potentieel, waarbij onder meer een bootkit-achtige wiper werd ingezet.
Noord-Korea: financieel gewin en nucleaire belangen
Aan Noord-Korea gelieerde actoren bleven ontwikkelaars en het cryptocurrency-ecosysteem aanvallen via social-engineeringtechnieken. ESET meldt dat de groep Andariel terugkeerde met aanvallen op Zuid-Korea, waarbij TigerRAT werd ingezet en Rook-ransomware werd verspreid binnen een engineeringbedrijf. Dat bedrijf produceert vermoedelijk apparatuur voor vloeibare waterstof en de nucleaire energiesector, technologieën die relevant zijn voor de ballistische en nucleaire ambities van Pyongyang.
Rusland richt zich op Oekraïense defensie
Aan Rusland gelieerde groepen bleven zich concentreren op Oekraïne en organisaties die verbonden zijn aan de Oekraïense defensie-inspanningen. De groep Sednit gebruikte de Covenant- en Beardshell-implants tegen militair personeel, droneproducenten en organisaties die betrokken zijn bij droneonderzoek en -ontwikkeling, en richtte zich ook op logistieke en transportbedrijven buiten Oekraïne.
Sandworm intensiveerde in de winter zijn destructieve activiteiten met verschillende nieuwe wipers tegen Oekraïense overheids- en private organisaties. ESET schrijft een datavernietigingsincident in december 2025 bij een Pools energiebedrijf met middelhoge zekerheid toe aan Sandworm.
Het volledige rapport, getiteld ‘Conflict-informed espionage: Monitoring oil shipments, targeting drone makers’, is beschikbaar via WeLiveSecurity.com.
