ESET podsumował aktywność grup APT (zorganizowanych zespołów cyberprzestępców) od kwietnia do września 2025 roku, wskazując na wyraźne nasilenie działań cyberszpiegowskich i destrukcyjnych sterowanych geopolityką. Najbardziej aktywne pozostają grupy powiązane z Chinami, Rosją i Koreą Północną, które coraz częściej korzystają z technik „adversary-in-the-middle”, spearphishingu oraz podatności zero-day. Ich cele obejmują instytucje rządowe, sektor technologiczny i infrastrukturę krytyczną – także w Polsce i regionie.
Grupy APT powiązane z Chinami kontynuowały kampanie realizujące cele polityczne Pekinu, prowadząc operacje w Azji, Europie, Ameryce Łacińskiej i USA. W tym okresie ESET odnotował rosnące wykorzystanie technik przechwytywania komunikacji „adversary-in-the-middle” – zarówno podczas uzyskiwania dostępu, jak i w trakcie dalszego poruszania się po sieci. Najbardziej widoczną aktywność w Ameryce Łacińskiej prowadziła grupa FamousSparrow, atakująca liczne instytucje rządowe w Argentynie oraz pojedyncze jednostki w Ekwadorze, Hondurasie, Gwatemali i Panamie. Zintensyfikowane działania zbiegają się z geopolityczną rywalizacją Chin i USA oraz wzrostem zainteresowania regionem ze strony administracji Donalda Trumpa.
W Europie celem operacji prowadzonych przez ugrupowania powiązane z Rosją były przede wszystkim instytucje rządowe oraz podmioty związane operacyjnie z Ukrainą. RomCom wykorzystywał podatność zero-day w WinRARze do dostarczania backdoorów sektorowi finansowemu, produkcyjnemu i obronnemu w UE oraz Kanadzie. Tańsze kampanie spearphishingowe dominowały w działaniach Gamaredona – najbardziej aktywnej grupy uderzającej w Ukrainę – oraz Sandworma, który koncentrował się na destrukcji infrastruktury (energia, logistyka, przemysł zbożowy), próbując osłabić ukraińską gospodarkę.
W regionie Europy Środkowo-Wschodniej eksperci ESET odnotowali kampanię FrostyNeighbor, grupy powiązanej z Białorusią. Atak wykorzystywał podatność XSS w Roundcube, a ofiarami były firmy w Polsce i na Litwie. Przestępcy rozsyłali wiadomości stylizowane na komunikaty generowane przez AI – z punktorami i emotikonami – co zwiększało ich wiarygodność. Załączone pliki stanowiły narzędzia do kradzieży loginów i zawartości skrzynek e-mail.
W Azji aktywne były z kolei grupy powiązane z Koreą Północną, koncentrujące się na południowokoreańskim sektorze technologicznym i rynku kryptowalut – kluczowym dla finansowania reżimu. Równolegle grupy chińskie utrzymywały wysoki poziom aktywności w sektorach technologii, produkcji i administracji publicznej.
Jak podkreśla Jean-Ian Boutin, Director of Threat Research w ESET, globalny zasięg operacji chińskich grup APT pokazuje, że pozostają one jednym z najważniejszych narzędzi realizacji polityki Pekinu. W ostatnich miesiącach szczególnie widoczna była ofensywa w Ameryce Łacińskiej, gdzie ataki FamousSparrow stanowiły większość przypisanych jej działań w analizowanym okresie.
