6 aylık devirler halinde yayımlanan rapor bu devirde, Ke3chang ve Mustang Panda üzere Çin ilişkili tehdit aktörleri Avrupa şirketlerine odaklandı. İsrail’de, İran ilişkili küme, OilRig, yeni bir özel art kapı dağıttı. Kuzey Kore ile temaslı kümeler, Güney Kore’deki ve Güney Kore ile ilgili şirketlere odaklanmaya devam etti. Rusya ile irtibatlı APT kümeleri bilhassa Ukrayna ve AB ülkelerinde faaldi. Sandworm, siliciler yerleştirdi.

ESET APT Faaliyet Raporunda belirtilen makûs hedefli faaliyetler, ESET teknolojisi tarafından algılanıyor. ESET Tehdit Araştırma Yöneticisi Jean-Ian Boutin bu hususta şunları söyledi: “ESET eserleri, müşterilerimizin sistemlerini bu raporda belirtilen makus maksatlı faaliyetlere karşı koruyor. Burada paylaşılan istihbarat çoğunlukla tescilli ESET telemetrisine dayanıyor ve ESET Research tarafından doğrulanmıştır.”

Çin irtibatlı Ke3chang, yeni bir Ketrican varyantının dağıtılması üzere metotlara başvururken Mustang Panda iki yeni art kapı kullandı. MirrorFace, Japonyayı maksat aldı ve yeni berbat gayeli yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Operasyonu dayanak temsilcilerini amaç alarak Filipinler’deki bir kumar şirketini ele geçirdi. Hindistan’a bağlı kümeler SideWinder ve Donot Team, Güney Asya’daki hükumet kurumlarını gaye almaya devam ederken, SideWinder Çin’deki eğitim kesimini maksat aldı ve Donot Team, berbat üne sahip yty çerçevesini geliştirmeye devam etti lakin tıpkı vakitte piyasadaki Remcos RAT’ı da devreye aldı. Ayrıyeten ESET, Güney Asya’da çok sayıda Zimbra web postası kimlik avı teşebbüsü tespit etti.

Kuzey Kore temaslı bir küme olan Lazarus, Boeing içeriğine sahip düzmece bir iş teklifiyle Polonya’daki bir savunma şirketinin çalışanlarını hedeflemenin yanı sıra, Accenture içerikli bir yem kullanarak her zamanki gayelerinden farklı olarak Hindistan’daki bir data idaresi şirketine odaklandı. Ayrıyeten ESET, kampanyalarından birinde kullandıkları bir Linux makus gayeli yazılımını da belirledi. Bu yeni keşfedilen makûs gayeli yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının gerisinde berbat bir üne sahip Kuzey Kore ilişkili kümenin olduğu teorisini destekliyor.

Rusya ile irtibatlı APT kümeleri bilhassa Ukrayna ve AB ülkelerinde etkindi. Bu kümeler, silici yerleştiren Sandworm’un (SwiftSlicer olarak ESET’in isimlendirdiği yeni bir tane daha) yanı sıra Gamaredon, Sednit ve gayeye yönelik kimlik avı e-postaları gönderen Dukes kullandı. Bunun bir örneğine Dukes’da olduğu üzere Brute Ratel olarak bilinen kırmızı grup implantının uygulanmasında rastlıyoruz. Son olarak, ESET daha evvel bahsettiğimiz Zimbra e-posta platformunun bilhassa Avrupa’da faal bir küme olan Winter Vivern tarafından da suistimal edildiğini tespit etti ve amaca yönelik kimlik avı e-postaları ile Orta Asya ülkelerinin hükumet üyelerini maksat alan SturgeonPhisher kümesinin faaliyetlerinde değerli bir azalma kaydetti. Bu tespitten sonra ESET, kümenin kendini yenileme durumuna geçtiğini düşünüyor. (BSHA)