Tech

ESET Research: Spionaggio APT Globale, dalla Cina al Venezuela e Corea del Sud

Daniele Messi · 28 Maggio 2026 · 6 min di lettura
ESET APT Activity Report — ESET
Immagine: ESET.

Il nuovo ESET Research APT Activity Report, pubblicato da ESET, leader globale nella cybersecurity, offre una panoramica dettagliata e approfondita delle attività dei gruppi APT (Advanced Persistent Threat) a livello globale tra ottobre 2025 e marzo 2026. Questo studio rivela come attori malevoli allineati a Cina, Corea del Nord e Russia abbiano intensificato le loro campagne di spionaggio, prendendo di mira governi, infrastrutture critiche e settori strategici come l’intelligenza artificiale e la robotica in diverse regioni del mondo, dal Venezuela al Golfo, dalla Siria alla Corea del Sud e all’Ucraina.

In sintesi

  • Gruppi APT allineati alla Cina hanno condotto campagne di spionaggio in Venezuela, Siria, Paesi del Golfo, Cambogia e Panama, concentrandosi anche sulla robotica AI in Corea del Sud.
  • FamousSparrow (Cina) ha colpito un ente governativo venezuelano legato agli affari marittimi, mentre SteppeDriver (Cina) ha preso di mira una rete governativa siriana.
  • Il gruppo UNC5221 (Cina) ha utilizzato il malware SPAWN contro enti governativi e un’azienda sudcoreana di AI/robotica, in linea con gli obiettivi di Made in China 2025.
  • Andariel (Corea del Nord) ha preso di mira aziende nel settore dell’energia nucleare/idrogeno in Corea del Sud e l’ecosistema delle criptovalute, distribuendo il malware TigerRAT e tentando la diffusione del ransomware Rook.
  • Attori allineati alla Russia (Sednit, Sandworm) si sono concentrati sull’Ucraina (militari, droni, logistica) e sono stati attribuiti a un incidente distruttivo contro una società energetica polacca.
  • Le attività iraniane hanno mostrato una diminuzione dei gruppi APT tradizionali, ma un aumento di attori proxy e hacktivisti contro Israele e Stati Uniti, con l’emergere di cluster non attribuiti come Rusty Boots e MoKhargosh.
  • ESET ha rilevato la compromissione di un’azienda della difesa negli Emirati Arabi Uniti e campagne di spionaggio Android contro utenti di lingua araba, potenzialmente giornalisti o analisti OSINT.

Cosa rivela l’ultimo ESET APT Report?

L’ultimo report di ESET Research evidenzia come le dinamiche geopolitiche abbiano fortemente influenzato le attività dei gruppi APT. Gli attori allineati alla Cina si sono dimostrati particolarmente attivi, con campagne di spionaggio mirate a interessi economici e di sicurezza. In risposta a eventi come l’operazione militare statunitense in Venezuela e l’instabilità nel Golfo, ESET ha osservato una mobilitazione di gruppi legati a Pechino per monitorare gli sviluppi marittimi, energetici e politici.

In Asia, le campagne si sono concentrate su organizzazioni governative, industrie strategiche e settori tecnologici avanzati. Il Medio Oriente ha visto Israele come obiettivo principale di attività allineate o collegate all’Iran, con attacchi di spionaggio e strumenti distruttivi. La guerra in Iran, iniziata a fine febbraio 2026, ha paradossalmente coinciso con una diminuzione delle attività dei gruppi APT iraniani tradizionali, probabilmente a causa delle restrizioni internet imposte dal regime. Questo scenario ha però favorito l’azione di attori proxy e hacktivisti contro Israele, Stati Uniti e altri Paesi.

ESET ha inoltre identificato nuovi cluster di attività non attribuiti, denominati Rusty Boots e MoKhargosh, che hanno mostrato capacità di spionaggio e potenziale distruttivo contro Israele, inclusa la distribuzione di malware wiper in stile bootkit.

Strategie e obiettivi dei gruppi APT

Il gruppo FamousSparrow, di origine cinese, ha condotto attacchi contro un ente governativo venezuelano con legami agli affari marittimi, probabilmente per monitorare la resilienza delle spedizioni petrolifere post-intervento statunitense. Un altro gruppo APT cinese, SteppeDriver, ha preso di mira una rete governativa siriana, un’attività che potrebbe riflettere sia interessi commerciali nei progetti di ricostruzione siriani sia preoccupazioni per la presenza di combattenti uiguri nel Paese.

L’attenzione della Cina verso le tecnologie strategiche è evidente anche negli attacchi di UNC5221, che ha utilizzato la famiglia di malware SPAWN contro enti governativi in Cambogia e Panama, e in particolare contro un’azienda sudcoreana attiva nei settori dell’intelligenza artificiale e della robotica, in linea con gli obiettivi della politica industriale Made in China 2025.

La Corea del Nord ha mantenuto un alto livello di attività, con diversi gruppi che hanno continuato a prendere di mira sviluppatori software e l’ecosistema delle criptovalute attraverso campagne di social engineering. L’obiettivo è duplice: ottenere guadagni economici diretti e compromettere la supply chain del software. Un esempio significativo è il ritorno del gruppo Andariel in operazioni contro la Corea del Sud, dove ha distribuito il malware TigerRAT e tentato di diffondere il ransomware Rook all’interno di una società di ingegneria coinvolta nella produzione di apparecchiature per l’idrogeno liquido e l’industria nucleare, settori di chiaro interesse per le ambizioni missilistiche e nucleari di Pyongyang.

Gli attori allineati alla Russia hanno concentrato le loro operazioni quasi esclusivamente sull’Ucraina e sulle organizzazioni coinvolte nella difesa del Paese. Il gruppo Sednit ha distribuito i malware Covenant e BeardShell contro personale militare ucraino, produttori di droni e organizzazioni di ricerca e sviluppo UAV, estendendo i bersagli anche ad aziende di logistica e trasporti al di fuori dell’Ucraina. Sandworm, invece, ha intensificato le attività distruttive durante l’inverno, utilizzando diversi nuovi malware wiper contro enti governativi e aziende ucraine. ESET ha attribuito, con un livello di attendibilità medio, un incidente di distruzione di dati a dicembre 2025 ai danni di una società energetica polacca proprio al gruppo Sandworm.

ESET ha inoltre documentato la compromissione di un’azienda della difesa negli Emirati Arabi Uniti e campagne di spionaggio tramite spyware Android rivolte a utenti di lingua araba. Questa operazione potrebbe aver preso di mira giornalisti o analisti OSINT, data l’ispirazione del nome del canale Telegram utilizzato dagli attaccanti a Live Universal Awareness Map (Liveuamap), una nota piattaforma OSINT per il monitoraggio militare.

Le informazioni e le analisi fornite da ESET Research sono fondamentali per comprendere il panorama delle minacce informatiche e per supportare le organizzazioni nella protezione delle infrastrutture critiche e degli asset strategici. I prodotti ESET sono progettati per proteggere i sistemi dei clienti da queste attività malevole, basandosi su una telemetria proprietaria e su report tecnici approfonditi forniti dai ricercatori.

Domande frequenti

Q? Cos’è un gruppo APT (Advanced Persistent Threat)?
A: Un gruppo APT è un attore malevolo, spesso sponsorizzato da uno stato, che utilizza tecniche sofisticate e risorse considerevoli per ottenere accesso non autorizzato a una rete informatica e rimanervi per un lungo periodo senza essere rilevato, al fine di rubare dati, spiare o causare danni.

Q? Quali sono i principali obiettivi dei gruppi APT nel periodo analizzato?
A: Secondo il report ESET, gli obiettivi principali includono governi, infrastrutture critiche (energia, trasporti), settori tecnologici avanzati (AI, robotica, energia nucleare), aziende della difesa, e l’ecosistema delle criptovalute. Le motivazioni variano dallo spionaggio geopolitico ed economico al sabotaggio.</p

Vedi anche

#Attori allineati alla Russia (Sednit, Sandworm) si sono concentrati sull'Ucraina (militari, droni, logistica) e hanno colpito un'azienda energetica polacca. #ESET #ESET APT Activity Report #Gruppi APT allineati alla Cina conducono spionaggio in Venezuela, Siria, Paesi del Golfo, Cambogia, Panama e prendono di mira la robotica AI in Corea del Sud. #Il gruppo Andariel (Corea del Nord) ha preso di mira aziende nel settore dell'energia nucleare/idrogeno in Corea del Sud e l'ecosistema delle criptovalute.