ESET APT izveštaj za Q4 2025 i Q1 2026 donosi pregled najvažnijih aktivnosti naprednih trajnih pretnji koje su istraživači kompanije dokumentovali između oktobra 2025. i marta 2026. godine. Iako ovaj tekst ne obuhvata sve detalje iz originalnog izveštaja, on izdvaja nalaze koji najbolje oslikavaju promene u taktikama, izboru meta i geopolitičkom kontekstu u kojem APT grupe danas deluju. 

Glavna poruka izveštaja jeste da se APT operacije sve jasnije prilagođavaju strateškim interesima država koje stoje iza njih. Tokom posmatranog perioda, posebno su se izdvojile grupe povezane s Kinom, Iranom, Severnom Korejom i Rusijom, pri čemu su njihove kampanje bile usmerene ne samo na špijunažu, već i na kritičnu infrastrukturu, lance snabdevanja, odbrambenu industriju i strateške tehnologije. 

Najvažniji nalazi iz ESET APT izveštaja

Kineske APT grupe: globalna špijunaža vođena geopolitičkim interesima 

Kineske APT grupe bile su među najaktivnijima tokom celog izveštajnog perioda, sa fokusom na špijunažu usmerenu ka državnim institucijama, pomorstvu, energetici i strateškim tehnologijama. Posebno je važno to što su njihove operacije pratile šire geopolitičke i ekonomske interese Pekinga, što potvrđuje kontinuitet kineskog pristupa u kome se sajber operacije koriste kao podrška državnoj strategiji. 

  • FamousSparrow ciljala je venecuelanski državni entitet povezan s pomorskim poslovima, verovatno radi praćenja otpornosti lanaca snabdevanja naftom nakon američke intervencije. 
  • SteppeDriver preusmerila je fokus sa uobičajenih meta u Mongoliji na sirijsku vladinu mrežu, što može ukazivati i na kineske komercijalne interese u obnovi Sirije i na bezbednosne prioritete povezane sa ujgurskim borcima u toj zemlji. 
  • PhiliKit, novi implant povezan sa UNC5221 i SPAWN skupom alata, pokazuje kontinuirano interesovanje kineski povezanih aktera za kompromitovanje Ivanti VPN uređaja. 
  • NegativeGlimmer kompromitovala je vladine entitete u Kambodži i Panami, kao i kompaniju za veštačku inteligenciju i robotiku u Južnoj Koreji, što se uklapa u dugoročno kinesko interesovanje za napredne industrijske tehnologije. 

Zaključak: Ovi slučajevi potvrđuju da kineske APT operacije ostaju snažno usmerene ka sektorima od strateškog državnog značaja. Najciljaniji sektori bili su vlada i državne institucije, inženjering i proizvodnja, kao i transport, što dodatno potvrđuje spoj geopolitičkih, industrijskih i bezbednosnih interesa u kineskim kampanjama.

Iranske operacije: pad aktivnosti poznatih grupa, rast proksi aktera

Rat u Iranu, koji je počeo krajem februara 2026, bio je ključni događaj za aktivnosti aktera povezanih s Teheranom. Zanimljivo je da se sukob poklopio sa padom aktivnosti poznatih iranskih APT grupa, najverovatnije zbog ograničenja interneta koja su otežala njihovo delovanje. Istovremeno, takvo okruženje otvorilo je prostor za intenzivnije delovanje proksi aktera i haktivista usmerenih ka Izraelu, Sjedinjenim Državama i drugim protivnicima Irana. 

  • Rusty Boots i MoKhargosh pokazali su i špijunske i destruktivne kapacitete, uključujući upotrebu vajpera u stilu butkita. 
  • MOØN Badr bio je ograničen na ciljanu špijunažu. 
  • ESET je zabeležio i neuobičajen porast aktivnosti usmerenih ka izraelskim metama koje nije bilo moguće pouzdano povezati sa ranije poznatim grupama, što ukazuje na dinamičniji i manje predvidiv iranski sajber ekosistem. 

Severna Koreja: od krađe kriptovaluta do napada na strateške tehnologije

Severnokorejske APT grupe nastavile su da deluju na više frontova istovremeno, kombinujući finansijski motivisane operacije sa strateškom špijunažom. Poseban fokus ostao je na programerima, ekosistemu kriptovaluta i kompanijama povezanim sa sektorima od interesa za nuklearni i raketni program Pjongjanga. 

  • Andariel se ponovo pojavio u Južnoj Koreji, gde je primenio TigerRAT i pokušao da proširi ransomver Rook u inženjerskoj kompaniji povezanoj sa tehnologijama za tečni vodonik i nuklearnu industriju. 
  • Operation DreamJob, koju ESET povezuje sa grupom Lazarus, ciljala je evropske proizvođače dronova. 
  • Operation DangerousPassword dovela je do kompromitovanja JavaScript biblioteke axios, što ovaj slučaj čini posebno značajnim kao primer supply-chain napada sa globalnim dometom. 
  • ScarCruft je kompromitovao gejming platformu u kineskom regionu Janbian radi prikupljanja obaveštajnih podataka o osobama od interesa za severnokorejski režim. 

Ruske APT grupe: Ukrajina u fokusu, ali uz širenje na logistiku i infrastrukturu

Ruske APT grupe ostale su dominantno usmerene na Ukrajinu i entitete povezane s njenim odbrambenim naporima, ali je tokom ovog perioda bilo vidljivo i širenje delovanja ka logističkim, transportnim i energetskim ciljevima van same Ukrajine. Taj pomak pokazuje da ruske operacije sve češće obuhvataju i širu infrastrukturu koja podržava ukrajinsku odbranu. 

  • Sednit je koristio implante Covenant i BeardShell protiv ukrajinskog vojnog osoblja, proizvođača dronova i organizacija za istraživanje i razvoj bespilotnih letelica, uz dodatno ciljanje logističkih i transportnih kompanija van Ukrajine. 
  • Sandworm je pojačao destruktivne aktivnosti tokom zime i primenio više novih vajpera protiv vladinih i privatnih meta u Ukrajini. 
  • Posebno se izdvaja incident uništavanja podataka u poljskoj energetskoj kompaniji iz decembra 2025, koji ESET sa umerenim stepenom pouzdanosti pripisuje grupi Sandworm. Ovaj slučaj je važan jer pokazuje da se destruktivne operacije ruskih aktera mogu preliti i na kritičnu infrastrukturu država članica NATO-a. 

Ostale pretnje: manje poznati akteri, ali relevantni obrasci napada 

  • Browser-in-the-browser fišing napad usmeren je na japanski istraživački centar, uz korišćenje tehnike koja simulira lažni prozor pregledača unutar pravog interfejsa. 
  • Asin, novi Android špijunski softver, cilja korisnike arapskog govornog područja putem aplikacija koje se predstavljaju kao alati za praćenje sukoba u regionu. 
  • Ujedno je zabeleženo i kompromitovanje odbrambene kompanije u Ujedinjenim Arapskim Emiratima preko SmartOffice CRM servera, nakon čega su napadači koristili prilagođene alate za post-eksploataciju i reverzni proksi. 

Zaključak: Iako dolaze iz različitih geopolitičkih okruženja, opisane kampanje pokazuju zajednički obrazac: APT akteri sve češće kombinuju klasičnu špijunažu sa napadima na lance snabdevanja, kritičnu infrastrukturu i organizacije od strateškog značaja. Zato ovakve izveštaje ne treba posmatrati samo kao pregled pojedinačnih incidenata, već kao indikator širih bezbednosnih trendova koji će verovatno oblikovati i ostatak 2026. godine. 

ESET APT izveštaj

Ključne statistike iz izveštaja

Podatak Vrednost 
Najciljaniji sektor globalno Vlada/Državne institucije 
Najčešća tehnika inicijalnog pristupa Eksploatacija javno dostupnih aplikacija (25,3%) 
Druga najčešća tehnika Spearphishing sa prilogom (24,1%) 
Treća najčešća tehnika Spearphishing link i USB mediji (po 16,9%) 
Najaktivniji napadači Grupe povezane s Kinom (36,2% aktivnosti) 
Drugi po aktivnosti Grupe povezane s Rusijom (28%) 

Detaljan ESET izveštaj možete pogledati na linku: eset-apt-activity-report-q4-2025-q1-2026.pdf