Gruppi: 163
| ID | Nome | Gruppi associati | Descrizione |
|---|---|---|---|
| G0018 | amministratore@338 | admin@338 è un gruppo di cyberminacce con sede in Cina. In passato ha utilizzato eventi degni di nota come esche per distribuire malware e ha preso di mira principalmente organizzazioni coinvolte in politica finanziaria, economica e commerciale, in genere utilizzando RAT disponibili al pubblico come PoisonIvy , nonché alcune backdoor non pubbliche. | |
| G1030 | Agrio | Tempesta di sabbia rosa, AMERICIUM, Agonizing Serpens, BlackShadow | Agrius è un threat actor iraniano attivo dal 2020, noto per una serie di operazioni ransomware e wiper in Medio Oriente, con un'enfasi su obiettivi israeliani. I resoconti pubblici hanno collegato Agrius al Ministero dell'Intelligence e della Sicurezza (MOIS) dell'Iran. |
| G0130 | Squadra di sicurezza Ajax | Operazione Woolen-Goldfish, AjaxTM, Gattino razzo, Gattino volante, Operazione Saffron Rose | Ajax Security Team è un gruppo attivo almeno dal 2010 e si ritiene operi dall'Iran. Entro il 2014, Ajax Security Team è passato dalle operazioni di defacement dei siti Web alle campagne di cyber spionaggio basate su malware che hanno come obiettivo la base industriale della difesa statunitense e gli utenti iraniani di tecnologie anti-censura. |
| G1024 | Akira | SAHARA D'ORO, RAGNO PUNK | Akira è una variante di ransomware e un'entità di distribuzione di ransomware attiva almeno da marzo 2023. Akira utilizza credenziali compromesse per accedere a meccanismi di accesso esterno a fattore singolo come VPN per l'accesso iniziale, quindi vari strumenti e tecniche disponibili al pubblico per il movimento laterale. Le operazioni di Akira sono associate all'attività di ransomware "double extortion", in cui i dati vengono esfiltrati dagli ambienti delle vittime prima della crittografia, con minacce di pubblicare file se non viene pagato un riscatto. L'analisi tecnica del ransomware Akira indica molteplici sovrapposizioni e somiglianze con il malware Conti . |
| G1000 | ALLANITE | Fusione di Palmetto | ALLANITE è un presunto gruppo di cyberspionaggio russo, che ha preso di mira principalmente il settore dei servizi elettrici negli Stati Uniti e nel Regno Unito. Le tattiche e le tecniche del gruppo sono presumibilmente simili a quelle di Dragonfly , sebbene le capacità tecniche di ALLANITE non abbiano mostrato capacità dirompenti o distruttive. È stato suggerito che il gruppo mantenga una presenza in ICS allo scopo di acquisire una comprensione dei processi e di mantenere la persistenza. |
| G0138 | Andariello | Chollima silenziosa, PLUTONIO, Onyx Sleet | Andariel è un gruppo di minaccia sponsorizzato dallo stato nordcoreano attivo almeno dal 2009. Andariel ha concentrato principalmente le sue operazioni, che hanno incluso attacchi distruttivi, contro agenzie governative sudcoreane, organizzazioni militari e una varietà di aziende nazionali; ha anche condotto operazioni finanziarie informatiche contro bancomat, banche e exchange di criptovalute. Le attività degne di nota di Andariel includono Operation Black Mine, Operation GoldenAxe e Campaign Rifle. Andariel è considerato un sottoinsieme del Gruppo Lazarus ed è stato attribuito al Reconnaissance General Bureau della Corea del Nord. È noto che le definizioni dei gruppi nordcoreani presentano notevoli sovrapposizioni e alcuni ricercatori in materia di sicurezza segnalano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group anziché tracciare cluster o sottogruppi. |
| G1007 | Drago Aoqin | Aoqin Dragon è un gruppo cinese di spionaggio informatico sospettato di essere attivo almeno dal 2013. Aoqin Dragon ha preso di mira principalmente organizzazioni governative, educative e di telecomunicazioni in Australia, Cambogia, Hong Kong, Singapore e Vietnam. I ricercatori di sicurezza hanno notato una potenziale associazione tra Aoqin Dragon e UNC94, basata su malware, infrastrutture e obiettivi. | |
| G1028 | APT-C-23 | Mantide, Vipera arida, Falco del deserto, TAG-63, Karkadann grigio, Big Bang APT, Scorpione a due code | APT-C-23 è un gruppo di minacce attivo almeno dal 2014. APT-C-23 ha concentrato principalmente le sue operazioni sul Medio Oriente, comprese le risorse militari israeliane. APT-C-23 ha sviluppato spyware per dispositivi mobili che prendono di mira dispositivi Android e iOS dal 2017. |
| G0099 | APT-C-36 | Aquila cieca | APT-C-36 è un presunto gruppo di spionaggio sudamericano attivo almeno dal 2018. Il gruppo prende di mira principalmente istituzioni governative colombiane e importanti società del settore finanziario, dell'industria petrolifera e della produzione professionale. |
| G0006 | APT1 | Comment Crew, Gruppo di commenti, Comment Panda | APT1 è un gruppo cinese minaccioso attribuito al 2° Ufficio del 3° Dipartimento del Dipartimento di Stato Maggiore generale (GSD) dell'Esercito Popolare di Liberazione (PLA), comunemente noto con il suo designatore di copertura dell'unità militare (MUCD) come Unità 61398. |
| G0005 | APT12 | IXESHE, DynCalc, Panda numerato, DNSCALC | APT12 è un gruppo di minacce che è stato attribuito alla Cina. Il gruppo ha preso di mira una varietà di vittime, tra cui, ma non solo, organi di stampa, aziende high-tech e diversi governi. |
| G0023 | APT16 | APT16 è un gruppo criminale con sede in Cina che ha lanciato campagne di spear phishing prendendo di mira organizzazioni giapponesi e taiwanesi. | |
| G0025 | APT17 | Cane vice | APT17 è un gruppo di cybercriminali con sede in Cina che ha condotto intrusioni di rete contro enti governativi statunitensi, l'industria della difesa, studi legali, aziende di tecnologia informatica, società minerarie e organizzazioni non governative. |
| G0026 | APT18 | TG-0416, Dynamite Panda, Gruppo Minaccia-0416 | APT18 è un gruppo di minaccia attivo almeno dal 2009 e che ha preso di mira una vasta gamma di settori, tra cui tecnologia, produzione, gruppi per i diritti umani, governo e medicina. |
| G0073 | APT19 | Codoso, C0d0so0, Codoso Team, Gruppo Sunshop | APT19 è un gruppo di minacce con sede in Cina che ha preso di mira una varietà di settori, tra cui difesa, finanza, energia, farmaceutica, telecomunicazioni, alta tecnologia, istruzione, produzione e servizi legali. Nel 2017, è stata utilizzata una campagna di phishing per colpire sette studi legali e di investimento. Alcuni analisti tracciano APT19 e Deep Panda come lo stesso gruppo, ma dalle informazioni open source non è chiaro se i gruppi siano la stessa cosa. |
| G0007 | APT28 | IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Gruppo 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Gruppo Minaccia-4127, TG-4127, Forest Blizzard, FROZENLAKE | APT28 è un gruppo di minaccia attribuito all'85° Centro servizi speciali principali (GTsSS) della Direzione generale dell'intelligence (GRU) dello Stato maggiore russo, unità militare 26165. Questo gruppo è attivo almeno dal 2004. A quanto si dice, APT28 ha compromesso la campagna di Hillary Clinton, il Democratic National Committee e il Democratic Congressional Campaign Committee nel 2016 nel tentativo di interferire con le elezioni presidenziali degli Stati Uniti. Nel 2018, gli Stati Uniti hanno incriminato cinque ufficiali della GRU Unit 26165 associati ad APT28 per operazioni informatiche (incluse operazioni di accesso ravvicinato) condotte tra il 2014 e il 2018 contro la World Anti-Doping Agency (WADA), la US Anti-Doping Agency, un impianto nucleare statunitense, l'Organization for the Prohibition of Chemical Weapons (OPCW), lo Spiez Swiss Chemicals Laboratory e altre organizzazioni. Alcune di queste sono state condotte con l'assistenza della GRU Unit 74455, nota anche come Sandworm Team . |
| G0016 | APT29 | RITUALE DI FERRO, CICUTA DI FERRO, NobleBaron, Alone Oscuro, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Orso accogliente, CozyDuke, SolarStorm, Kitsune blu, UNC3524, Bufera di neve di mezzanotte | APT29 è un gruppo di minaccia attribuito al Foreign Intelligence Service (SVR) russo. Opera almeno dal 2008, spesso prendendo di mira reti governative in Europa e nei paesi membri della NATO, istituti di ricerca e think tank. A quanto si dice, APT29 ha compromesso il Democratic National Committee a partire dall'estate del 2015. Ad aprile 2021, i governi degli Stati Uniti e del Regno Unito hanno attribuito il Compromesso SolarWinds all'SVR; le dichiarazioni pubbliche includevano citazioni di APT29 , Cozy Bear e The Dukes. I report del settore hanno anche fatto riferimento agli attori coinvolti in questa campagna come UNC2452, NOBELIUM, StellarParticle, Dark Halo e SolarStorm. |
| G0022 | APT3 | Panda gotico, Pirpi, UPS Team, Buckeye, Gruppo minaccia-0110, TG-0110 | APT3 è un gruppo di minaccia con sede in Cina che i ricercatori hanno attribuito al Ministero della sicurezza dello Stato cinese. Questo gruppo è responsabile delle campagne note come Operation Clandestine Fox, Operation Clandestine Wolf e Operation Double Tap. A giugno 2015, il gruppo sembra essersi spostato dal prendere di mira principalmente vittime statunitensi a prendere di mira principalmente organizzazioni politiche a Hong Kong. |
| G0013 | APT30 | APT30 è un gruppo di minaccia sospettato di essere associato al governo cinese. Mentre Naikon condivide alcune caratteristiche con APT30 , i due gruppi non sembrano corrispondere esattamente. | |
| G0050 | APT32 | SeaLotus, OceanLotus, APT-C-00, Canvas Cyclone, BISMUTO | APT32 è un gruppo di minacce sospettato con sede in Vietnam, attivo almeno dal 2014. Il gruppo ha preso di mira molteplici settori del settore privato, nonché governi stranieri, dissidenti e giornalisti, con una forte attenzione ai paesi del sud-est asiatico come Vietnam, Filippine, Laos e Cambogia. Hanno ampiamente utilizzato compromessi strategici del web per compromettere le vittime. |
| G0064 | APT33 | OLMIO, Elfo, Tempesta di sabbia di pesca | APT33 è un gruppo di minaccia iraniano sospettato che ha portato a termine operazioni almeno dal 2013. Il gruppo ha preso di mira organizzazioni di vari settori negli Stati Uniti, in Arabia Saudita e in Corea del Sud, con un interesse particolare nei settori dell'aviazione e dell'energia. |
| G0067 | APT37 | InkySquid, ScarCruft, Mietitore, Gruppo123, TEMP.Reaper, Ricochet Chollima | APT37 è un gruppo di spionaggio informatico sponsorizzato dallo stato nordcoreano attivo almeno dal 2012. Il gruppo ha preso di mira principalmente vittime in Corea del Sud, ma anche in Giappone, Vietnam, Russia, Nepal, Cina, India, Romania, Kuwait e altre parti del Medio Oriente. APT37 è stato anche collegato alle seguenti campagne tra il 2016 e il 2018: Operation Daybreak, Operation Erebus, Golden Time, Evil New Year, Are you Happy?, FreeMilk, North Korean Human Rights ed Evil New Year 2018. È noto che le definizioni dei gruppi nordcoreani presentano notevoli sovrapposizioni e alcuni ricercatori in materia di sicurezza segnalano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group anziché tracciare cluster o sottogruppi. |
| G0082 | APT38 | NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust Chollima, Sapphire Sleet, COPERNICIUM | APT38 è un gruppo di minacce sponsorizzato dallo stato nordcoreano specializzato in operazioni informatiche finanziarie; è stato attribuito al Reconnaissance General Bureau. Attivo almeno dal 2014, APT38 ha preso di mira banche, istituzioni finanziarie, casinò, exchange di criptovalute, endpoint del sistema SWIFT e bancomat in almeno 38 paesi in tutto il mondo. Le operazioni significative includono la rapina alla Bank of Bangladesh del 2016, durante la quale APT38 ha rubato 81 milioni di $, così come gli attacchi contro Bancomext e Banco de Chile; alcuni dei loro attacchi sono stati distruttivi. È noto che le definizioni dei gruppi nordcoreani presentano notevoli sovrapposizioni e alcuni ricercatori in materia di sicurezza segnalano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group anziché tracciare cluster o sottogruppi. |
| G0087 | APT39 | ITG07, Chafer, Remix Kitten | APT39 è uno dei tanti nomi per le attività di cyber spionaggio condotte dal Ministero dell'Intelligence e della Sicurezza iraniano (MOIS) tramite la società di facciata Rana Intelligence Computing almeno dal 2014. APT39 ha preso di mira principalmente i settori dei viaggi, dell'ospitalità, accademico e delle telecomunicazioni in Iran e in Asia, Africa, Europa e Nord America per tracciare individui ed entità considerati una minaccia dal MOIS. |
| G0096 | APT41 | Wicked Panda, Tifone d'ottone, BARIO | APT41 è un gruppo di minacce che i ricercatori hanno valutato come un gruppo di spionaggio sponsorizzato dallo stato cinese che conduce anche operazioni motivate finanziariamente. Attivo almeno dal 2012, APT41 è stato osservato mentre prendeva di mira vari settori, tra cui, ma non solo, sanità, telecomunicazioni, tecnologia, finanza, istruzione, commercio al dettaglio e videogiochi in 14 paesi. Tra i comportamenti degni di nota c'è l'uso di un'ampia gamma di malware e strumenti per completare gli obiettivi della missione. APT41 si sovrappone almeno in parte ai resoconti pubblici su gruppi tra cui BARIUM e Winnti Group . |
| G1023 | APT5 | Mulberry Typhoon, MANGANESE, BRONZO FLEETWOOD, Keyhole Panda, UNC2630 | APT5 è un attore di spionaggio con sede in Cina attivo almeno dal 2007, che ha preso di mira principalmente i settori delle telecomunicazioni, aerospaziale e della difesa negli Stati Uniti, in Europa e in Asia. APT5 ha dimostrato abilità avanzate e un notevole interesse nel compromettere i dispositivi di rete e il loro software sottostante, anche tramite l'uso di exploit zero-day. |
| G0143 | Panda acquatico | Aquatic Panda è un gruppo di minacce sospettato con sede in Cina con una duplice missione di raccolta di informazioni e spionaggio industriale. Attivo almeno da maggio 2020, Aquatic Panda ha preso di mira principalmente entità nei settori delle telecomunicazioni, della tecnologia e del governo. | |
| G0001 | Assioma | Gruppo 72 | Axiom è un presunto gruppo cinese di spionaggio informatico che ha preso di mira i settori aerospaziale, della difesa, governativo, manifatturiero e dei media almeno dal 2008. Alcune segnalazioni suggeriscono un certo grado di sovrapposizione tra Axiom e Winnti Group, ma i due gruppi sembrano essere distinti in base alle differenze nelle segnalazioni sui TTP e sugli obiettivi. |
| G0135 | Diplomazia di Backdoor | BackdoorDiplomacy è un gruppo di spionaggio informatico attivo almeno dal 2017. BackdoorDiplomacy ha preso di mira Ministeri degli Affari Esteri e società di telecomunicazioni in Africa, Europa, Medio Oriente e Asia. | |
| G1002 | AMARO | T-APT-17 | BITTER è un gruppo sospettato di spionaggio informatico dell'Asia meridionale, attivo almeno dal 2013. BITTER ha preso di mira organizzazioni governative, energetiche e ingegneristiche in Pakistan, Cina, Bangladesh e Arabia Saudita. |
| G0063 | Oasi Nera | BlackOasis è un gruppo di minacce mediorientali che si ritiene sia un cliente di Gamma Group. Il gruppo ha mostrato interesse per personaggi di spicco delle Nazioni Unite, così come per blogger dell'opposizione, attivisti, corrispondenti di notizie regionali e think tank. Un gruppo noto a Microsoft come NEODYMIUM sarebbe strettamente associato alle operazioni di BlackOasis , ma non sono state identificate prove che i nomi del gruppo siano alias. | |
| G0098 | Tecnologia nera | Verme di palma | BlackTech è un presunto gruppo cinese di spionaggio informatico che ha preso di mira principalmente organizzazioni nell'Asia orientale, in particolare Taiwan, Giappone e Hong Kong, e negli Stati Uniti almeno dal 2013. BlackTech ha utilizzato una combinazione di malware personalizzati, strumenti a duplice uso e tattiche di sfruttamento della terra per compromettere reti di aziende di media, edilizia, ingegneria, elettronica e finanza. |
| G0108 | Uccello blu beffardo | Blue Mockingbird è un cluster di attività osservate che coinvolgono payload di mining di criptovalute Monero in formato libreria a collegamento dinamico (DLL) su sistemi Windows. I primi strumenti Blue Mockingbird osservati sono stati creati a dicembre 2019. | |
| G0097 | Golf rimbalzante | Bouncing Golf è una campagna di cyberspionaggio che prende di mira i paesi del Medio Oriente. | |
| G0060 | MAGGIORDOMO DI BRONZO | REDBALDKNIGHT, spunta | BRONZE BUTLER è un gruppo di cyberspionaggio con probabili origini cinesi attivo almeno dal 2008. Il gruppo prende di mira principalmente organizzazioni giapponesi, in particolare quelle del governo, della biotecnologia, della produzione elettronica e della chimica industriale. |
| G0008 | Carbanaco | Anunnak | Carbanak è un gruppo di criminali informatici che ha utilizzato il malware Carbanak per colpire istituzioni finanziarie almeno dal 2013. Carbanak potrebbe essere collegato a gruppi monitorati separatamente come Cobalt Group e FIN7 che hanno anch'essi utilizzato il malware Carbanak . |
| G0114 | Chimera | Chimera è un presunto gruppo criminale con sede in Cina, attivo almeno dal 2018, che prende di mira l'industria dei semiconduttori di Taiwan e i dati del settore aereo. | |
| G1021 | Tempesta di cannella | DEV-0401, Libellula Imperatore, BRONZE STARLIGHT | Cinnamon Tempest è un gruppo di minacce con sede in Cina attivo almeno dal 2021, che distribuisce diversi ceppi di ransomware basati sul codice sorgente trapelato di Babuk . Cinnamon Tempest non gestisce il proprio ransomware su un modello di affiliazione o di acquisto dell'accesso, ma sembra agire in modo indipendente in tutte le fasi del ciclo di vita dell'attacco. Sulla base della vittimologia, della breve durata di ogni variante di ransomware e dell'uso di malware attribuito a gruppi di minacce sponsorizzati dal governo, Cinnamon Tempest potrebbe essere motivato dal furto di proprietà intellettuale o dal cyberspionaggio piuttosto che dal guadagno finanziario. |
| G0003 | Mannaia | Gruppo di minaccia 2889, TG-2889 | Cleaver è un gruppo di minaccia che è stato attribuito ad attori iraniani ed è responsabile dell'attività tracciata come Operazione Cleaver. Forti prove circostanziali suggeriscono che Cleaver sia collegato al Gruppo di minaccia 2889 (TG-2889). |
| G0080 | Gruppo Cobalto | GOLD KINGSWOOD, Cobalt Gang, Cobalt Spider | Cobalt Group è un gruppo di minacce motivate finanziariamente che ha preso di mira principalmente istituzioni finanziarie almeno dal 2016. Il gruppo ha condotto intrusioni per rubare denaro prendendo di mira sistemi bancomat, elaborazione carte, sistemi di pagamento e sistemi SWIFT. Cobalt Group ha preso di mira principalmente banche nell'Europa orientale, Asia centrale e Asia sud-orientale. Uno dei presunti leader è stato arrestato in Spagna all'inizio del 2018, ma il gruppo sembra essere ancora attivo. È noto che il gruppo prende di mira organizzazioni per utilizzare il loro accesso per poi compromettere altre vittime. Le segnalazioni indicano che potrebbero esserci collegamenti tra Cobalt Group e sia il malware Carbanak che il gruppo Carbanak . |
| G0142 | Confucio | Confucio APT | Confucius è un gruppo di cyber spionaggio che ha preso di mira principalmente personale militare, personalità di alto profilo, uomini d'affari e organizzazioni governative nell'Asia meridionale almeno dal 2013. I ricercatori di sicurezza hanno notato somiglianze tra Confucius e Patchwork , in particolare nei rispettivi codici malware personalizzati e obiettivi. |
| G0052 | Copiagattini | CopyKittens è un gruppo di cyberspionaggio iraniano attivo almeno dal 2013. Ha preso di mira paesi come Israele, Arabia Saudita, Turchia, Stati Uniti, Giordania e Germania. Il gruppo è responsabile della campagna nota come Operazione Wilted Tulip. | |
| G1012 | CURIO | Tempesta di sabbia cremisi, TA456, guscio di tartaruga, Liderc giallo | CURIUM è un gruppo di minacce iraniano, segnalato per la prima volta a settembre 2019 e attivo almeno da luglio 2018, che prende di mira i provider di servizi IT in Medio Oriente. Da allora, CURIUM ha investito nella costruzione di relazioni con potenziali obiettivi tramite i social media per un periodo di mesi per stabilire fiducia e sicurezza prima di inviare malware. I ricercatori di sicurezza notano che CURIUM ha dimostrato grande pazienza e perseveranza chattando quotidianamente con potenziali obiettivi e inviando file benigni per aiutarli ad abbassare la loro consapevolezza della sicurezza. |
| G1027 | Avventurieri cibernetici | Soldati di Salomone | I CyberAv3ngers sono un gruppo APT presumibilmente affiliato al Corpo delle guardie rivoluzionarie islamiche (IRGC) del governo iraniano. I CyberAv3ngers sono noti per essere attivi almeno dal 2020, con affermazioni controverse e false di compromissioni di infrastrutture critiche in Israele. Nel 2023, i CyberAv3ngers hanno preso di mira e hackerato a livello globale il Programmable Logic Controller (PLC) di Unitronics con Human-Machine Interface (HMI) . Questo PLC può essere trovato in molteplici settori, tra cui acqua e acque reflue, energia, produzione di alimenti e bevande e assistenza sanitaria. La caratteristica più notevole di questo attacco è stata la deturpazione dell'interfaccia utente dei dispositivi. |
| G1034 | Pugnale | Panda evasivo, BRONZE HIGHLAND | Daggerfly è un'entità APT legata alla Repubblica Popolare Cinese attiva almeno dal 2012. Daggerfly ha preso di mira individui, entità governative e ONG e società di telecomunicazioni in Asia e Africa. Daggerfly è associato all'uso esclusivo del malware MgBot ed è noto per diverse potenziali campagne di infezione della supply chain. |
| G0070 | Caracal scuro | Dark Caracal è un gruppo terroristico attribuito alla Direzione generale della sicurezza generale del Libano (GDGS) e operativo almeno dal 2012. | |
| G0012 | Albergo oscuro | DUBNIUM, Zigzag Hail | Darkhotel è un presunto gruppo di minacce sudcoreano che ha preso di mira principalmente vittime nell'Asia orientale almeno dal 2004. Il nome del gruppo si basa su operazioni di cyber spionaggio condotte tramite reti Internet degli hotel contro dirigenti in viaggio e altri ospiti selezionati. Darkhotel ha anche condotto campagne di spear phishing e infettato vittime tramite reti peer-to-peer e di condivisione di file. |
| G0079 | Idroscuro | DarkHydrus è un gruppo di minacce che ha preso di mira agenzie governative e istituti scolastici in Medio Oriente almeno dal 2016. Il gruppo sfrutta ampiamente strumenti open source e payload personalizzati per eseguire attacchi. | |
| G0105 | DarkVishnya | DarkVishnya è un threat actor motivato finanziariamente che prende di mira istituzioni finanziarie nell'Europa orientale. Nel 2017-2018 il gruppo ha attaccato almeno 8 banche in questa regione. | |
| G0009 | Panda Profondo | Shell Crew, WebMaster, KungFu Kittens, PinkPanther, Black Vine | Deep Panda è un gruppo cinese di minacce sospettato di essere noto per aver preso di mira molti settori, tra cui governo, difesa, finanza e telecomunicazioni. L'intrusione nella società sanitaria Anthem è stata attribuita a Deep Panda . Questo gruppo è anche noto come Shell Crew, WebMasters, KungFu Kittens e PinkPanther. Deep Panda sembra anche essere noto come Black Vine in base all'attribuzione di entrambi i nomi del gruppo all'intrusione di Anthem. Alcuni analisti tracciano Deep Panda e APT19 come lo stesso gruppo, ma dalle informazioni open source non è chiaro se i gruppi siano la stessa cosa. |
| G0035 | Libellula | TEMP.Isotopo, DYMALLOY, Orso Berserk, TG-4192, Yeti accovacciato, IRON LIBERTY, Orso energetico, Ghost Blizzard, BROMO | Dragonfly è un gruppo di cyber spionaggio attribuito al Centro 16 del Servizio di sicurezza federale (FSB) russo. Attivo almeno dal 2010, Dragonfly ha preso di mira aziende di difesa e aviazione, enti governativi, aziende legate ai sistemi di controllo industriale e settori delle infrastrutture critiche in tutto il mondo attraverso attacchi alla supply chain, spear phishing e drive-by compromise. |
| G0017 | DragoOK | DragonOK è un gruppo di minacce che ha preso di mira organizzazioni giapponesi con e-mail di phishing. A causa di TTP sovrapposte, inclusi strumenti personalizzati simili, si pensa che DragonOK abbia una relazione diretta o indiretta con il gruppo di minacce Moafee . È noto che utilizza una varietà di malware, tra cui Sysget/HelloBridge, PlugX, PoisonIvy, FormerFirstRat, NFlog e NewCT. | |
| G1006 | Terra Lusca | TAG-22, Tifone carbone, CROMO, ControlX | Earth Lusca è un presunto gruppo di spionaggio informatico con sede in Cina, attivo almeno da aprile 2019. Earth Lusca ha preso di mira organizzazioni in Australia, Cina, Hong Kong, Mongolia, Nepal, Filippine, Taiwan, Thailandia, Vietnam, Emirati Arabi Uniti, Nigeria, Germania, Francia e Stati Uniti. Tra i bersagli c'erano istituzioni governative, organi di informazione, società di gioco d'azzardo, istituti scolastici, organizzazioni di ricerca sul COVID-19, società di telecomunicazioni, movimenti religiosi vietati in Cina e piattaforme di trading di criptovalute; i ricercatori sulla sicurezza stimano che alcune operazioni di Earth Lusca potrebbero essere motivate da motivi finanziari. Earth Lusca ha utilizzato malware comunemente utilizzati da altri gruppi di minacce cinesi, tra cui APT41 e il cluster Winnti Group ; tuttavia, i ricercatori di sicurezza ritengono che le tecniche e l'infrastruttura di Earth Lusca siano separate. |
| G0066 | Sambuco | Elderwood Gang, Gruppo di Pechino, Panda furtivo | Elderwood è un presunto gruppo cinese di spionaggio informatico che sarebbe stato responsabile dell'intrusione di Google del 2009 nota come Operazione Aurora. Il gruppo ha preso di mira organizzazioni di difesa, produttori di catene di fornitura, organizzazioni per i diritti umani e non governative (ONG) e fornitori di servizi IT. |
| G1003 | Orso di brace | UNC2589, Orso sanguinante, DEV-0586, Cadetto Blizzard, Frozenvista, UAC-0056 | Ember Bear è un gruppo di cyberspionaggio sponsorizzato dallo Stato russo, attivo almeno dal 2020, collegato al 161° centro di addestramento specialistico (Unità 29155) della Direzione generale dell'intelligence principale (GRU) dello Stato maggiore russo. Ember Bear ha concentrato principalmente le operazioni contro il governo ucraino e le entità delle telecomunicazioni, ma ha anche operato contro entità infrastrutturali critiche in Europa e nelle Americhe. Ember Bear ha condotto gli attacchi distruttivi WhisperGate contro l'Ucraina all'inizio del 2022. C'è un po' di confusione sul fatto che Ember Bear si sovrapponga a un'altra entità legata alla Russia denominata Saint Bear . Al momento, le prove disponibili suggeriscono fortemente che si tratti di attività distinte con profili comportamentali diversi. |
| G0020 | Equazione | Equation è un sofisticato gruppo di minacce che impiega molteplici strumenti di accesso remoto. Il gruppo è noto per usare exploit zero-day e ha sviluppato la capacità di sovrascrivere il firmware delle unità disco rigido. | |
| G0120 | Maledizione | Evilnum è un gruppo che persegue minacce finanziarie ed è attivo almeno dal 2018. | |
| G1011 | GIGLIO ESOTICO | EXOTIC LILY è un gruppo motivato finanziariamente che è stato strettamente collegato a Wizard Spider e all'implementazione di ransomware tra cui Conti e Diavol . EXOTIC LILY potrebbe agire come broker di accesso iniziale per altri attori malintenzionati e ha preso di mira un'ampia gamma di settori tra cui IT, sicurezza informatica e assistenza sanitaria almeno da settembre 2021. | |
| G0137 | Gattino feroce | Ferocious Kitten è un gruppo terroristico che, almeno dal 2015, prende di mira principalmente individui di lingua persiana in Iran. | |
| G0051 | FIN10 | FIN10 è un gruppo di minacce motivate finanziariamente che ha preso di mira organizzazioni in Nord America almeno dal 2013 al 2016. Il gruppo utilizza dati rubati esfiltrati dalle vittime per estorcere denaro alle organizzazioni. | |
| G1016 | FIN13 | Scarabeo elefante | FIN13 è un gruppo di cybercriminali motivati da interessi finanziari che ha preso di mira i settori finanziario, della vendita al dettaglio e dell'ospitalità in Messico e America Latina già nel 2016. FIN13 raggiunge i suoi obiettivi rubando proprietà intellettuale, dati finanziari, informazioni su fusioni e acquisizioni (PII). |
| G0085 | FIN4 | FIN4 è un gruppo di minacce motivate da interessi finanziari che ha preso di mira informazioni riservate relative al mercato finanziario pubblico, in particolare per quanto riguarda aziende farmaceutiche e sanitarie, almeno dal 2013. FIN4 è unico nel suo genere in quanto non infetta le vittime con il tipico malware persistente, ma si concentra piuttosto sulla cattura delle credenziali autorizzate ad accedere alla posta elettronica e ad altra corrispondenza non pubblica. | |
| G0053 | FIN5 | FIN5 è un gruppo di minacce motivate finanziariamente che ha preso di mira informazioni personali identificabili e informazioni sulle carte di pagamento. Il gruppo è attivo almeno dal 2008 e ha preso di mira i settori della ristorazione, del gioco d'azzardo e degli hotel. Il gruppo è composto da attori che probabilmente parlano russo. | |
| G0037 | FIN6 | Magecart Group 6, ITG08, Ragno Scheletro, TAAL, Tempesta Mimetica | FIN6 è un gruppo di criminalità informatica che ha rubato dati di carte di pagamento e li ha venduti per trarne profitto su mercati clandestini. Questo gruppo ha preso di mira e compromesso in modo aggressivo i sistemi di punti vendita (PoS) nei settori dell'ospitalità e della vendita al dettaglio. |
| G0046 | FIN7 | GOLD NIAGARA, ITG14, Ragno di carbonio, ELBRUS, Sangria Tempest | FIN7 è un gruppo di minacce motivate finanziariamente che è attivo dal 2013. FIN7 ha preso di mira principalmente i settori della vendita al dettaglio, della ristorazione, dell'ospitalità, del software, della consulenza, dei servizi finanziari, delle apparecchiature mediche, dei servizi cloud, dei media, del cibo e delle bevande, dei trasporti e dei servizi di pubblica utilità negli Stati Uniti. Una parte di FIN7 era gestita da una società di facciata chiamata Combi Security e spesso utilizzava malware point-of-sale per gli sforzi di targeting. Dal 2020, FIN7 ha spostato le operazioni verso un approccio di caccia grossa (BGH), incluso l'uso del ransomware REvil e del proprio Ransomware as a Service (RaaS), Darkside. FIN7 potrebbe essere collegato al Carbanak Group, ma sembrano esserci diversi gruppi che utilizzano il malware Carbanak e sono quindi monitorati separatamente. |
| G0061 | FIN8 | Sfinge Sistolica | FIN8 è un gruppo di minacce motivate finanziariamente che è attivo almeno da gennaio 2016, e noto per aver preso di mira organizzazioni nei settori dell'ospitalità, della vendita al dettaglio, dell'intrattenimento, delle assicurazioni, della tecnologia, della chimica e della finanza. A giugno 2021, i ricercatori di sicurezza hanno rilevato che FIN8 è passato dal prendere di mira i dispositivi point-of-sale (POS) alla distribuzione di numerose varianti di ransomware. |
| G0117 | Gattino volpe | UNC757, Parisite, Pioneer Kitten, RUBIDIO, Lemon Sandstorm | Fox Kitten è un threat actor con un sospetto legame con il governo iraniano che è attivo almeno dal 2017 contro entità in Medio Oriente, Nord Africa, Europa, Australia e Nord America. Fox Kitten ha preso di mira più settori verticali industriali, tra cui petrolio e gas, tecnologia, governo, difesa, sanità, produzione e ingegneria. |
| G0093 | GALLIO | Tifone di granito | GALLIUM è un gruppo di cyberspionaggio attivo almeno dal 2012, che prende di mira principalmente aziende di telecomunicazioni, istituzioni finanziarie ed enti governativi in Afghanistan, Australia, Belgio, Cambogia, Malesia, Mozambico, Filippine, Russia e Vietnam. Questo gruppo è particolarmente noto per aver lanciato Operation Soft Cell, una campagna a lungo termine che prende di mira i provider di telecomunicazioni. I ricercatori di sicurezza hanno identificato GALLIUM come un probabile gruppo sponsorizzato dallo stato cinese, basandosi in parte sugli strumenti utilizzati e sulle TTP comunemente associate agli attori delle minacce cinesi. |
| G0084 | Colui che fa le sbolle | Gallmaker è un gruppo di cyberspionaggio che ha preso di mira vittime in Medio Oriente ed è attivo almeno da dicembre 2017. Il gruppo ha preso di mira principalmente vittime nei settori della difesa, militare e governativo. | |
| G0047 | Gruppo Gamaredon | IRON TILDEN, Orso primitivo, ACTINIO, Armageddon, Shuckworm, DEV-0157, Aqua Blizzard | Gamaredon Group è un gruppo di spionaggio informatico russo sospettato di aver preso di mira organizzazioni militari, ONG, giudiziarie, forze dell'ordine e non profit in Ucraina almeno dal 2013. Il nome Gamaredon Group deriva da un errore di ortografia della parola "Armageddon", che è stato rilevato nelle prime campagne dell'avversario. Nel novembre 2021, il governo ucraino ha attribuito pubblicamente il Gruppo Gamaredon al Centro 18 del Servizio di sicurezza federale (FSB) russo. |
| G0036 | GCMAN | GCMAN è un gruppo criminale che si concentra nel prendere di mira le banche allo scopo di trasferire denaro ai servizi di valuta elettronica. | |
| G0115 | CAMPO DEL SUD D'ORO | Ragno pizzicato | GOLD SOUTHFIELD è un gruppo di minacce motivate finanziariamente attivo almeno dal 2018 che gestisce il REvil Ransomware-as-a Service (RaaS). GOLD SOUTHFIELD fornisce un'infrastruttura backend per gli affiliati reclutati su forum underground per perpetrare distribuzioni di alto valore. All'inizio del 2020, GOLD SOUTHFIELD ha iniziato a capitalizzare la nuova tendenza di rubare dati e di estorcere ulteriormente alla vittima il pagamento per evitare che i propri dati venissero divulgati pubblicamente. |
| G0078 | Gruppo Gorgone | Gorgon Group è un gruppo di minaccia composto da membri sospettati di essere basati in Pakistan o di avere altri legami con il Pakistan. Il gruppo ha eseguito un mix di attacchi criminali e mirati, tra cui campagne contro organizzazioni governative nel Regno Unito, in Spagna, in Russia e negli Stati Uniti. | |
| G0043 | Gruppo5 | Group5 è un gruppo di minacce con un presunto nesso iraniano, sebbene questa attribuzione non sia certa. Il gruppo ha preso di mira individui collegati all'opposizione siriana tramite spear phishing e watering hole, utilizzando normalmente temi siriani e iraniani. Group5 ha utilizzato due strumenti di accesso remoto (RAT) comunemente disponibili, njRAT e NanoCore , nonché un RAT Android, DroidJack. | |
| G0125 | AFNIO | Operazione Exchange Marauder, Tifone di Seta | HAFNIUM è un probabile gruppo di spionaggio informatico sponsorizzato dallo Stato che opera dalla Cina ed è attivo almeno da gennaio 2021. HAFNIUM prende di mira principalmente entità negli Stati Uniti in diversi settori industriali, tra cui ricercatori di malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, think tank politici e ONG. |
| G1001 | ESANO | Lyceum, Siamesekitten, Spirlin | HEXANE è un gruppo di spionaggio informatico che ha preso di mira organizzazioni di fornitori di servizi Internet, di petrolio e gas, di telecomunicazioni, di aviazione e di servizi Internet almeno dal 2017. Le aziende prese di mira sono state localizzate in Medio Oriente e Africa, tra cui Israele, Arabia Saudita, Kuwait, Marocco e Tunisia. I TTP di HEXANE sembrano simili ad APT33 e OilRig , ma a causa delle differenze nelle vittime e negli strumenti viene monitorato come un'entità separata. |
| G0126 | Higaisa | Higaisa è un gruppo di minaccia sospettato di avere origini sudcoreane. Higaisa ha preso di mira organizzazioni governative, pubbliche e commerciali in Corea del Nord; tuttavia, ha anche effettuato attacchi in Cina, Giappone, Russia, Polonia e altre nazioni. Higaisa è stato scoperto per la prima volta all'inizio del 2019, ma si ritiene che abbia operato già nel 2009. | |
| G1032 | Riscatto INC | ORO IONICO | INC Ransom è un gruppo di minaccia ransomware ed estorsione di dati associato alla distribuzione di INC Ransomware , attivo almeno da luglio 2023. INC Ransom ha preso di mira organizzazioni in tutto il mondo, più comunemente nei settori industriale, sanitario e dell'istruzione negli Stati Uniti e in Europa. |
| G0100 | Inizio | Framework di Inception, Atlante delle nuvole | Inception è un gruppo di cyber spionaggio attivo almeno dal 2014. Il gruppo ha preso di mira molteplici settori ed enti governativi principalmente in Russia, ma è stato attivo anche negli Stati Uniti e in tutta Europa, Asia, Africa e Medio Oriente. |
| G0136 | IndacoZebra | IndigoZebra è un presunto gruppo cinese di spionaggio informatico che prende di mira i governi dell'Asia centrale almeno dal 2014. | |
| G0119 | Ragno indiano | Evil Corp, Tempesta di lamantino, DEV-0243, UNC2165 | Indrik Spider è un gruppo di criminali informatici con sede in Russia attivo almeno dal 2014. Indrik Spider ha iniziato inizialmente con il trojan bancario Dridex , e poi nel 2017 ha iniziato a eseguire operazioni ransomware utilizzando BitPaymer , WastedLocker e Hades ransomware. In seguito alle sanzioni statunitensi e a un'incriminazione nel 2019, Indrik Spider ha cambiato tattica e diversificato il suo set di strumenti. |
| G0004 | ke3chang_ ... | APT15, Mirage, Vixen Panda, GREF, Drago giocoso, RoyalAPT, NICKEL, Nylon Typhoon | Ke3chang è un gruppo di minaccia attribuito ad attori che operano dalla Cina. Ke3chang ha preso di mira compagnie petrolifere, governative, diplomatiche, militari e ONG in America Centrale e Meridionale, nei Caraibi, in Europa e in America Settentrionale almeno dal 2010. |
| G0094 | Kimsuky | Banshee nera, Chollima vellutata, Nevischio smeraldo, TALLIO, APT43, TA427 | Kimsuky è un gruppo di spionaggio informatico con sede in Corea del Nord attivo almeno dal 2012. Inizialmente il gruppo si è concentrato nel colpire enti governativi sudcoreani, think tank e individui identificati come esperti in vari campi, e ha ampliato le sue operazioni per includere l'ONU e il governo, l'istruzione, i servizi alle imprese e i settori manifatturieri negli Stati Uniti, in Giappone, in Russia e in Europa. Kimsuky ha concentrato le sue attività di raccolta di informazioni su questioni di politica estera e sicurezza nazionale relative alla penisola coreana, alla politica nucleare e alle sanzioni. Le operazioni di Kimsuky si sono sovrapposte a quelle di altri attori di spionaggio informatico nordcoreani, probabilmente a causa di collaborazioni ad hoc o di altre limitate condivisioni di risorse. Kimsuky è stato ritenuto responsabile del compromesso del 2014 della Korea Hydro & Nuclear Power Co.; altre campagne degne di nota includono l'operazione STOLEN PENCIL (2018), l'operazione Kabar Cobra (2019) e l'operazione Smoke Screen (2019). È noto che le definizioni dei gruppi nordcoreani presentano notevoli sovrapposizioni e alcuni ricercatori in materia di sicurezza segnalano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group anziché tracciare cluster o sottogruppi. |
| G1004 | LAPSUS$ | DEV-0537, Tempesta di fragole | LAPSUS$ è un gruppo di criminali informatici attivo almeno da metà del 2021. LAPSUS$ è specializzato in operazioni di ingegneria sociale ed estorsione su larga scala, inclusi attacchi distruttivi senza l'uso di ransomware. Il gruppo ha preso di mira organizzazioni a livello globale, tra cui nei settori governativo, manifatturiero, dell'istruzione superiore, energetico, sanitario, tecnologico, delle telecomunicazioni e dei media. |
| G0032 | Gruppo Lazzaro | Labyrinth Chollima, HIDDEN COBRA, Guardians of Peace, ZINCO, NICKEL ACADEMY, Diamond Sleet | Lazarus Group è un gruppo di minacce informatiche sponsorizzato dallo stato nordcoreano che è stato attribuito al Reconnaissance General Bureau. Il gruppo è attivo almeno dal 2009 e sarebbe stato responsabile dell'attacco distruttivo wiper del novembre 2014 contro la Sony Pictures Entertainment come parte di una campagna denominata Operation Blockbuster di Novetta. Il malware utilizzato da Lazarus Group è correlato ad altre campagne segnalate, tra cui Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul e Ten Days of Rain. È noto che le definizioni dei gruppi nordcoreani presentano notevoli sovrapposizioni e alcuni ricercatori in materia di sicurezza segnalano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group anziché tracciare cluster o sottogruppi, come Andariel , APT37 , APT38 e Kimsuky . |
| G0140 | Scrittore pigro | LazyScripter è un gruppo di cybercriminali che ha preso di mira principalmente il settore delle compagnie aeree almeno dal 2018, utilizzando principalmente set di strumenti open source. | |
| G0077 | Minatore fogliare | Raspite | Leafminer è un gruppo terroristico iraniano che ha preso di mira organizzazioni governative e entità commerciali in Medio Oriente almeno dall'inizio del 2017. |
| G0065 | Leviatano | MUDCARP, Kryptonite Panda, Gadolinio, BRONZE MOHAWK, TEMP.Jumper, APT40, TEMP.Periscope, Gingham Typhoon | Leviathan è un gruppo di cyber spionaggio sponsorizzato dallo stato cinese che è stato attribuito al Dipartimento di sicurezza dello Stato di Hainan del Ministero della sicurezza dello Stato (MSS) e a una società di facciata affiliata. Attivo almeno dal 2009, Leviathan ha preso di mira i seguenti settori: mondo accademico, aerospaziale/aviazione, biomedico, base industriale della difesa, governo, sanità, produzione, marittimo e trasporti negli Stati Uniti, Canada, Europa, Medio Oriente e Sud-est asiatico. |
| G0030 | Fiore di loto | PESCE DRAGO, Drago di primavera, RADIUM, Tifone lampone | Lotus Blossom è un gruppo terroristico che ha preso di mira organizzazioni governative e militari nel sud-est asiatico. |
| G1014 | Falena luminosa | LuminousMoth è un gruppo di cyberspionaggio di lingua cinese attivo almeno da ottobre 2020. LuminousMoth ha preso di mira organizzazioni di alto profilo, tra cui enti governativi, in Myanmar, Filippine, Thailandia e altre parti del Sud-est asiatico. Alcuni ricercatori sulla sicurezza hanno concluso che esiste una connessione tra LuminousMoth e Mustang Panda basata su obiettivi e TTP simili, nonché sovrapposizioni di infrastrutture di rete. | |
| G0095 | Machete | APT-C-43, Il Machete | Machete è un presunto gruppo di spionaggio informatico di lingua spagnola attivo almeno dal 2010. Ha concentrato le sue operazioni principalmente in America Latina, con particolare attenzione al Venezuela, ma anche negli Stati Uniti, in Europa, in Russia e in alcune parti dell'Asia. Machete in genere prende di mira organizzazioni di alto profilo come istituzioni governative, servizi segreti e unità militari, nonché società di telecomunicazioni ed elettriche. |
| G0059 | Segugio magico | TA453, COBALT ILLUSION, Gattino affascinante, ITG18, Fosforo, Notiziario, APT35, Mint Sandstorm | Magic Hound è un gruppo di minacce sponsorizzato dall'Iran che conduce operazioni di cyber spionaggio a lungo termine e ad alta intensità di risorse, probabilmente per conto del Corpo delle Guardie della Rivoluzione Islamica. Hanno preso di mira personale governativo e militare europeo, statunitense e mediorientale, accademici, giornalisti e organizzazioni come l'Organizzazione Mondiale della Sanità (OMS), tramite complesse campagne di ingegneria sociale almeno dal 2014. |
| G1026 | Maltese | Malteiro è un gruppo criminale motivato finanziariamente che ha probabilmente sede in Brasile ed è attivo almeno da novembre 2019. Il gruppo gestisce e distribuisce il trojan bancario Mispadu tramite un modello di business Malware-as-a-Service (MaaS). Malteiro prende di mira principalmente vittime in America Latina (in particolare Messico) ed Europa (in particolare Spagna e Portogallo). | |
| G0045 | menuPass | Cicala, POTASSIO, Panda di pietra, APT10, Apollo rosso, CVNX, HOGFISH, BRONZE RIVERSIDE | menuPass è un gruppo di minaccia attivo almeno dal 2006. È noto che singoli membri di menuPass hanno agito in associazione con il Tianjin State Security Bureau del Ministero della sicurezza dello Stato cinese (MSS) e hanno lavorato per la Huaying Haitai Science and Technology Development Company. menuPass ha preso di mira i settori sanitario, della difesa, aerospaziale, finanziario, marittimo, biotecnologico, energetico e governativo a livello globale, con particolare attenzione alle organizzazioni giapponesi. Nel 2016 e nel 2017, il gruppo è noto per aver preso di mira i provider di servizi IT gestiti (MSP), le aziende manifatturiere e minerarie e un'università. |
| G1013 | Metadore | Metador è un presunto gruppo di spionaggio informatico segnalato per la prima volta nel settembre 2022. Metador ha preso di mira un numero limitato di società di telecomunicazioni, provider di servizi Internet e università in Medio Oriente e Africa. I ricercatori di sicurezza hanno chiamato il gruppo Metador in base alla stringa "I am meta" in uno dei campioni di malware del gruppo e all'aspettativa di risposte in lingua spagnola dai server C2. | |
| G0002 | Moafee | Moafee è un gruppo di minacce che sembra operare nella provincia cinese di Guandong. A causa di TTP sovrapposti, inclusi strumenti personalizzati simili, si pensa che Moafee abbia una relazione diretta o indiretta con il gruppo di minacce DragonOK . | |
| G0103 | Mofang | Mofang è un probabile gruppo di cyber spionaggio con sede in Cina, chiamato così per la sua frequente pratica di imitare l'infrastruttura di una vittima. Questo avversario è stato osservato almeno da maggio 2012 mentre conduceva attacchi mirati contro il governo e le infrastrutture critiche in Myanmar, così come in diversi altri paesi e settori, tra cui l'industria militare, automobilistica e delle armi. | |
| G0021 | Talpe | Operazione Molerats, Cybergang di Gaza | Molerats è un gruppo di minaccia di lingua araba, motivato politicamente, attivo dal 2012. Le vittime del gruppo si trovano principalmente in Medio Oriente, Europa e Stati Uniti. |
| G1036 | Nevischio di pietra lunare | Tempesta-1789 | Moonstone Sleet è un threat actor legato alla Corea del Nord che esegue sia attacchi motivati finanziariamente che operazioni di spionaggio. In precedenza, il gruppo si sovrapponeva in modo significativo a un'altra entità legata alla Corea del Nord, Lazarus Group , ma ha differenziato il suo tradecraft dal 2023. Moonstone Sleet è noto per la creazione di aziende e personaggi falsi per interagire con le entità vittime, nonché per lo sviluppo di malware unici come una variante distribuita tramite un gioco completamente funzionante. |
| G1009 | Bastone di Mosè | DEV-0500, Tempesta di sabbia di Marigold | Moses Staff è un presunto gruppo di minacce iraniano che ha preso di mira principalmente aziende israeliane almeno da settembre 2021. Moses Staff ha dichiarato apertamente che la sua motivazione nell'attaccare le aziende israeliane è quella di causare danni tramite la fuga di dati sensibili rubati e la crittografia delle reti delle vittime senza una richiesta di riscatto. I ricercatori in materia di sicurezza ritengono che Moses Staff abbia motivazioni politiche e abbia preso di mira anche aziende governative, finanziarie, di viaggio, energetiche, manifatturiere e di servizi pubblici al di fuori di Israele, tra cui quelle in Italia, India, Germania, Cile, Turchia, Emirati Arabi Uniti e Stati Uniti. |
| G1019 | Buttafuori baffuto | MoustachedBouncer è un gruppo di cyberspionaggio attivo almeno dal 2014 che prende di mira le ambasciate straniere in Bielorussia. | |
| G0069 | Acqua fangosa | Terra Vetala, MERCURIO, Gattino statico, Verme dei semi, TEMP.Zagros, Mango Sandstorm, TA450 | MuddyWater è un gruppo di cyber spionaggio valutato come elemento subordinato all'interno del Ministero dell'Intelligence e della Sicurezza (MOIS) dell'Iran. Almeno dal 2017, MuddyWater ha preso di mira una serie di organizzazioni governative e private in vari settori, tra cui telecomunicazioni, governo locale, difesa e organizzazioni di petrolio e gas naturale, in Medio Oriente, Asia, Africa, Europa e Nord America. |
| G0129 | Panda Mustang | TA416, RedDelta, BRONZO PRESIDENT | Mustang Panda è un attore di minacce di spionaggio informatico con sede in Cina, osservato per la prima volta nel 2017, ma che potrebbe aver condotto operazioni almeno dal 2014. Mustang Panda ha preso di mira enti governativi, organizzazioni non profit, religiose e altre organizzazioni non governative negli Stati Uniti, in Europa, Mongolia, Myanmar, Pakistan e Vietnam, tra gli altri. |
| G1020 | Tempesta di senape | DEV-0206, TA569, PRELUDIO ORO, UNC1543 | Mustard Tempest è un broker di accesso iniziale che ha gestito la rete di distribuzione SocGholish almeno dal 2017. Mustard Tempest ha stretto una partnership con Indrik Spider per fornire l'accesso per il download di malware aggiuntivi, tra cui LockBit, WastedLocker e strumenti di accesso remoto. |
| G0019 | Naikon | Si ritiene che Naikon sia un gruppo di spionaggio informatico sponsorizzato dallo stato, attribuito al Chengdu Military Region Second Technical Reconnaissance Bureau (Military Unit Cover Designator 78020) dell'Esercito Popolare di Liberazione cinese (PLA). Attivo almeno dal 2010, Naikon ha condotto principalmente operazioni contro organizzazioni governative, militari e civili nel Sud-est asiatico, nonché contro organismi internazionali come il Programma delle Nazioni Unite per lo Sviluppo (UNDP) e l'Associazione delle Nazioni del Sud-est asiatico (ASEAN). Sebbene Naikon condivida alcune caratteristiche con APT30 , i due gruppi non sembrano corrispondere esattamente. | |
| G0055 | NEODIMIO | NEODYMIUM è un gruppo di attività che ha condotto una campagna nel maggio 2016 e ha preso di mira pesantemente le vittime turche. Il gruppo ha dimostrato somiglianze con un altro gruppo di attività chiamato PROMETHIUM a causa delle caratteristiche sovrapposte delle vittime e della campagna. NEODYMIUM sarebbe strettamente associato alle operazioni di BlackOasis , ma non sono state identificate prove che i nomi del gruppo siano alias. | |
| G0133 | Polpo nomade | Squadra di polvere | Nomadic Octopus è un gruppo di spionaggio informatico di lingua russa che ha preso di mira principalmente l'Asia centrale, compresi governi locali, missioni diplomatiche e individui, almeno dal 2014. Nomadic Octopus è stato osservato condurre campagne che coinvolgono malware Android e Windows, utilizzando principalmente il linguaggio di programmazione Delphi e creando varianti personalizzate. |
| G0049 | Piattaforma petrolifera | COBALT GYPSY, IRN2, APT34, Helix Kitten, Evasive Serpens, Hazel Sandstorm, EUROPIUM, ITG13 | OilRig è un presunto gruppo di minaccia iraniano che ha preso di mira vittime mediorientali e internazionali almeno dal 2014. Il gruppo ha preso di mira una varietà di settori, tra cui finanza, governo, energia, chimica e telecomunicazioni. Sembra che il gruppo esegua attacchi alla supply chain, sfruttando il rapporto di fiducia tra le organizzazioni per attaccare i loro obiettivi principali. Il gruppo lavora per conto del governo iraniano sulla base di dettagli infrastrutturali che contengono riferimenti all'Iran, all'uso di infrastrutture iraniane e a bersagli che si allineano con gli interessi degli stati nazionali. |
| G0071 | Verme arancione | Orangeworm è un gruppo che ha preso di mira organizzazioni nel settore sanitario negli Stati Uniti, in Europa e in Asia almeno dal 2015, probabilmente a scopo di spionaggio aziendale. Il reverse engineering di Kwampirs , direttamente associato all'attività di Orangeworm , indica sovrapposizioni funzionali e di sviluppo significative con Shamoon . | |
| G0040 | Patchwork | Hangover Group, Dropping Elephant, Chinastrats, MONSOON, Operazione Hangover | Patchwork è un gruppo di cyber spionaggio osservato per la prima volta nel dicembre 2015. Sebbene il gruppo non sia stato definitivamente attribuito, prove circostanziali suggeriscono che il gruppo potrebbe essere un'entità pro-indiana o indiana. Patchwork è stato visto prendere di mira settori correlati ad agenzie diplomatiche e governative. Gran parte del codice utilizzato da questo gruppo è stato copiato e incollato da forum online. Patchwork è stato anche visto gestire campagne di spear phishing contro gruppi di think tank statunitensi a marzo e aprile 2018. |
| G0011 | PittyTiger | PittyTiger è un gruppo criminale che si ritiene operi dalla Cina e che utilizza diversi tipi di malware per mantenere il comando e il controllo. | |
| G0068 | PLATINO | PLATINUM è un gruppo di attività che ha preso di mira le vittime almeno dal 2009. Il gruppo si è concentrato su obiettivi associati a governi e organizzazioni correlate nell'Asia meridionale e sud-orientale. | |
| G1040 | Giocare | Play è un gruppo ransomware attivo almeno dal 2022 che distribuisce il ransomware Playcrypt contro i settori aziendale, governativo, delle infrastrutture critiche, sanitario e dei media in Nord America, Sud America ed Europa. Gli autori di Play impiegano un modello di doppia estorsione, crittografando i sistemi dopo aver esfiltrato i dati, e si presume che i ricercatori della sicurezza operino come un gruppo chiuso. | |
| G1005 | POLONIO | Pioggia scozzese | POLONIUM è un gruppo con sede in Libano che ha preso di mira principalmente organizzazioni israeliane, tra cui aziende manifatturiere, informatiche e della difesa, almeno da febbraio 2022. I ricercatori sulla sicurezza stimano che POLONIUM abbia coordinato le proprie operazioni con più attori affiliati al Ministero dell'intelligence e della sicurezza iraniano (MOIS), in base alla sovrapposizione delle vittime e alle tecniche e agli strumenti comuni. |
| G0033 | Gruppo Poseidone | Poseidon Group è un gruppo di minacce di lingua portoghese attivo almeno dal 2005. Il gruppo ha una storia di utilizzo di informazioni esfiltrate dalle vittime per ricattare le aziende vittime affinché ingaggino il Poseidon Group come società di sicurezza. | |
| G0056 | PROMETIO | FortePeccato | PROMETHIUM è un gruppo di attività focalizzato sullo spionaggio attivo almeno dal 2012. Il gruppo ha condotto operazioni a livello globale con una forte enfasi sugli obiettivi turchi. PROMETHIUM ha dimostrato somiglianze con un altro gruppo di attività chiamato NEODYMIUM a causa delle caratteristiche sovrapposte delle vittime e della campagna. |
| G0024 | Putter Panda | APT2, MSUpdater | Putter Panda è un gruppo cinese di minaccia attribuito all'Unità 61486 del 12° Ufficio del 3° Dipartimento di Stato Maggiore (GSD) dell'Esercito Popolare di Liberazione. |
| G0075 | Rancore | Rancor è un gruppo di minacce che ha condotto campagne mirate contro la regione del Sud-Est asiatico. Rancor usa esche motivate politicamente per invogliare le vittime ad aprire documenti dannosi. | |
| G1039 | Ricciolo rosso | RedCurl è un threat actor attivo dal 2018, noto per lo spionaggio aziendale che prende di mira una varietà di località, tra cui Ucraina, Canada e Regno Unito, e una varietà di settori, tra cui, ma non solo, agenzie di viaggio, compagnie assicurative e banche. RedCurl è presumibilmente un threat actor di lingua russa. Le operazioni del gruppo iniziano in genere con e-mail di spear phishing per ottenere l'accesso iniziale, quindi il gruppo esegue comandi e script di scoperta e raccolta per trovare dati aziendali. Il gruppo conclude le operazioni esfiltrando i file sui server C2. | |
| G0106 | Roccia | Rocke è un presunto avversario di lingua cinese il cui obiettivo primario sembrava essere il cryptojacking, ovvero il furto di risorse di sistema delle vittime allo scopo di estrarre criptovaluta. Il nome Rocke deriva dall'indirizzo email "rocke@live.cn" utilizzato per creare il portafoglio che conteneva la criptovaluta raccolta. I ricercatori hanno rilevato sovrapposizioni tra Rocke e l'Iron Cybercrime Group, sebbene questa attribuzione non sia stata confermata. | |
| G0048 | RTM | RTM è un gruppo di criminali informatici attivo almeno dal 2015 e interessato principalmente agli utenti di sistemi di remote banking in Russia e nei paesi limitrofi. Il gruppo utilizza un Trojan con lo stesso nome ( RTM ). | |
| G1031 | Orso Santo | Tempesta-0587, TA471, UAC-0056, Lorec53 | Saint Bear è un attore di minacce Russian-nexus attivo dall'inizio del 2021, che prende di mira principalmente entità in Ucraina e Georgia. Il gruppo è noto per uno specifico strumento di accesso remoto, Saint Bot , e per il ladro di informazioni, OutSteel nelle campagne. Saint Bear in genere si affida al phishing o al web staging di documenti dannosi e tipi di file correlati per l'accesso iniziale, falsificando il governo o entità correlate. Saint Bear è stato precedentemente confuso con le operazioni di Ember Bear , ma l'analisi di comportamenti, strumenti e targeting indica che si tratta di cluster distinti. |
| G0034 | Squadra dei vermi della sabbia | ELECTRUM, Telebots, IRON VIKING, BlackEnergy (gruppo), Quedagh, Voodoo Bear, IRIDIUM, Seashell Blizzard, FROZENBARENTS, APT44 | Sandworm Team è un gruppo di minaccia distruttiva attribuito all'unità militare 74455 del Centro principale per le tecnologie speciali (GTsST) della Direzione principale dell'intelligence dello Stato maggiore russo (GRU). Questo gruppo è attivo almeno dal 2009. Nell'ottobre 2020, gli Stati Uniti hanno incriminato sei ufficiali dell'Unità GRU 74455 associati al Sandworm Team per le seguenti operazioni informatiche: gli attacchi del 2015 e del 2016 contro aziende elettriche ucraine e organizzazioni governative, l'attacco mondiale NotPetya del 2017 , l'attacco alla campagna presidenziale francese del 2017, l' attacco Olympic Destroyer del 2018 contro i Giochi olimpici invernali, l'operazione del 2018 contro l'Organizzazione per la proibizione delle armi chimiche e gli attacchi contro la Georgia nel 2018 e nel 2019. Alcuni di questi sono stati condotti con l'assistenza dell'Unità GRU 26165, nota anche come APT28 . |
| G0029 | Mimica scarlatta | Scarlet Mimic è un gruppo di minacce che ha preso di mira gli attivisti per i diritti delle minoranze. Questo gruppo non è stato direttamente collegato a una fonte governativa, ma le motivazioni del gruppo sembrano sovrapporsi a quelle del governo cinese. Sebbene vi sia una certa sovrapposizione tra gli indirizzi IP utilizzati da Scarlet Mimic e Putter Panda , non si è concluso che i gruppi siano la stessa cosa. | |
| G1015 | Ragno sparso | Oktapus arrostito, Octo Tempest, Storm-0875 | Scattered Spider è un gruppo di criminali informatici madrelingua inglese attivo almeno dal 2022. Inizialmente, il gruppo aveva preso di mira aziende di customer relationship management e business process outsourcing (BPO), nonché aziende di telecomunicazioni e tecnologia. A partire dal 2023, Scattered Spider ha ampliato le sue operazioni per compromettere vittime nei settori del gaming, dell'ospitalità, della vendita al dettaglio, MSP, manifatturiero e finanziario. Durante le campagne, Scattered Spider ha sfruttato tecniche mirate di social engineering, ha tentato di aggirare i popolari strumenti di sicurezza degli endpoint e, più di recente, ha distribuito ransomware per ottenere guadagni finanziari. |
| G1008 | Copia laterale | SideCopy è un gruppo di minacce pakistane che ha preso di mira principalmente i paesi dell'Asia meridionale, tra cui personale governativo indiano e afghano, almeno dal 2019. Il nome SideCopy deriva dalla sua catena di infezioni che cerca di imitare quella di Sidewinder , un presunto gruppo di minacce indiano. | |
| G0121 | Crotalo siderale | T-APT-04, serpente a sonagli | Sidewinder è un gruppo di attori minacciosi indiani sospettato di essere attivo almeno dal 2012. Sono stati osservati mentre prendevano di mira entità governative, militari e commerciali in tutta l'Asia, concentrandosi principalmente su Pakistan, Cina, Nepal e Afghanistan. |
| G0091 | Silenzio | Ragno sussurrante | Silence è un attore di minacce motivato finanziariamente che prende di mira istituzioni finanziarie in diversi paesi. Il gruppo è stato visto per la prima volta nel giugno 2016. I suoi obiettivi principali risiedono in Russia, Ucraina, Bielorussia, Azerbaigian, Polonia e Kazakistan. Hanno compromesso vari sistemi bancari, tra cui l'Automated Workstation Client della Banca centrale russa, gli sportelli bancomat e l'elaborazione delle carte. |
| G0122 | Bibliotecario silenzioso | TA407, COBALTO DICKENS | Silent Librarian è un gruppo che ha preso di mira la ricerca e i dati proprietari presso università, agenzie governative e aziende del settore privato in tutto il mondo almeno dal 2013. È noto che i membri di Silent Librarian sono stati affiliati al Mabna Institute con sede in Iran, che ha condotto intrusioni informatiche su richiesta del governo iraniano, in particolare del Corpo delle guardie rivoluzionarie islamiche (IRGC). |
| G0083 | Terrier d'argento | SilverTerrier è un gruppo nigeriano attivo dal 2014. SilverTerrier prende di mira principalmente organizzazioni nei settori dell'alta tecnologia, dell'istruzione superiore e della produzione. | |
| G0054 | Cimice | Sowbug è un gruppo criminale che ha condotto attacchi mirati contro organizzazioni in Sud America e nel Sud-Est asiatico, in particolare enti governativi, almeno dal 2015. | |
| G1033 | Bufera di neve stellare | SEABORGIUM, Gruppo Callisto, TA446, COLDRIVER | Star Blizzard è un gruppo di spionaggio informatico e influenza originario della Russia, attivo almeno dal 2019. Le campagne di Star Blizzard sono strettamente allineate con gli interessi dello stato russo e hanno incluso phishing persistente e furto di credenziali contro organizzazioni accademiche, di difesa, governative, ONG e think tank nei paesi della NATO, in particolare negli Stati Uniti e nel Regno Unito. |
| G0038 | Falco invisibile | Stealth Falcon è un gruppo di minacce che ha condotto attacchi mirati di spyware contro giornalisti, attivisti e dissidenti degli Emirati Arabi Uniti almeno dal 2012. Prove circostanziali suggeriscono che potrebbe esserci un collegamento tra questo gruppo e il governo degli Emirati Arabi Uniti (EAU), ma ciò non è stato confermato. | |
| G0041 | Strider | ProgettoSauron | Strider è un gruppo terroristico attivo almeno dal 2011, che ha preso di mira vittime in Russia, Cina, Svezia, Belgio, Iran e Ruanda. |
| G0039 | Moscone succhiatore | Suckfly è un gruppo criminale con sede in Cina, attivo almeno dal 2014. | |
| G1018 | TA2541 | TA2541 è un gruppo di criminali informatici che ha preso di mira i settori dell'aviazione, aerospaziale, dei trasporti, della produzione e della difesa almeno dal 2017. Le campagne TA2541 sono in genere ad alto volume e comportano l'uso di strumenti di accesso remoto di base offuscati da crypter e temi correlati all'aviazione, ai trasporti e ai viaggi. | |
| G0062 | TA459 | TA459 è un gruppo terroristico che si ritiene operi dalla Cina e che ha preso di mira paesi come Russia, Bielorussia, Mongolia e altri. | |
| G0092 | TA505 | Hive0065, Tempesta di spandex, CHIMBORAZO | TA505 è un gruppo di criminali informatici attivo almeno dal 2014. TA505 è noto per i malware che cambiano frequentemente, guidando le tendenze globali nella distribuzione di malware criminali e nelle campagne ransomware che coinvolgono Clop . |
| G0127 | TA551 | CABINA D'ORO, Shathak | TA551 è un gruppo di minacce motivate da motivi finanziari attivo almeno dal 2018. Il gruppo ha preso di mira principalmente persone di madrelingua inglese, tedesca, italiana e giapponese tramite campagne di distribuzione di malware basate su e-mail. |
| G1037 | TA577 | TA577 è un broker di accesso iniziale (IAB) che ha distribuito QakBot e Pikabot ed è stato tra i primi gruppi osservati che hanno distribuito Latrodectus nel 2023. | |
| G1038 | TA578 | TA578 è un autore di minacce informatiche che ha utilizzato moduli di contatto ed e-mail per avviare comunicazioni con le vittime e distribuire malware tra cui Latrodectus , IcedID e Bumblebee . | |
| G0139 | SquadraTNT | TeamTNT è un gruppo di minacce che ha preso di mira principalmente ambienti cloud e containerizzati. Il gruppo è attivo almeno da ottobre 2019 e ha concentrato principalmente i suoi sforzi sullo sfruttamento delle risorse cloud e container per distribuire miner di criptovalute negli ambienti delle vittime. | |
| G0088 | TEMP.Veles | XENOTEMPO | TEMP.Veles è un gruppo di minacce con sede in Russia che ha preso di mira infrastrutture critiche. Il gruppo è stato osservato mentre utilizzava TRITON , un framework malware progettato per manipolare i sistemi di sicurezza industriale. |
| G0089 | La Compagnia Bianca | La White Company è un probabile threat actor sponsorizzato dallo stato con capacità avanzate. Dal 2017 al 2018, il gruppo ha guidato una campagna di spionaggio chiamata Operation Shaheen che ha preso di mira organizzazioni governative e militari in Pakistan. | |
| G0028 | Gruppo di minaccia-1314 | TG-1314 | Il gruppo di minaccia 1314 è un gruppo di minaccia non attribuito che ha utilizzato credenziali compromesse per accedere all'infrastruttura di accesso remoto di una vittima. |
| G0027 | Gruppo di minaccia-3390 | Smilodon di Terra, TG-3390, Emissary Panda, BRONZE UNION, APT27, Iron Tiger, LuckyMouse | Threat Group-3390 è un gruppo cinese che ha ampiamente utilizzato compromessi strategici del Web per colpire le vittime. Il gruppo è attivo almeno dal 2010 e ha preso di mira organizzazioni nei settori aerospaziale, governativo, della difesa, della tecnologia, dell'energia, della produzione e del gioco d'azzardo/scommesse. |
| G0076 | Tripide | Thrip è un gruppo di spionaggio che ha preso di mira le comunicazioni satellitari, le telecomunicazioni e le aziende appaltatrici della difesa negli Stati Uniti e nel Sud-est asiatico. Il gruppo utilizza malware personalizzati e tecniche di "vivere fuori dalla terra". | |
| G1022 | GattoToddy | ToddyCat è un sofisticato gruppo di minacce attivo almeno dal 2020, che utilizza caricatori personalizzati e malware in catene di infezioni in più fasi contro obiettivi governativi e militari in Europa e Asia. | |
| G0131 | Squadra Tonto | Terra Akhlut, BRONZO HUNTLEY, CactusPete, Karma Panda | Tonto Team è un gruppo di spionaggio informatico sponsorizzato dallo stato cinese che ha preso di mira principalmente Corea del Sud, Giappone, Taiwan e Stati Uniti almeno dal 2009; entro il 2020 ha ampliato le operazioni per includere altri paesi asiatici e dell'Europa orientale. Tonto Team ha preso di mira organizzazioni governative, militari, energetiche, minerarie, finanziarie, educative, sanitarie e tecnologiche, anche attraverso la Heartbeat Campaign (2009-2012) e l'Operation Bitter Biscuit (2017). |
| G0134 | Tribù Trasparente | RAME FIELDSTONE, APT36, Leopardo mitico, ProjectM | Transparent Tribe è un presunto gruppo terroristico con sede in Pakistan, attivo almeno dal 2013, che prende di mira principalmente organizzazioni diplomatiche, di difesa e di ricerca in India e Afghanistan. |
| G0081 | Soldato dei Tropici | Panda pirata, KeyBoy | Tropic Trooper è un gruppo di minacce non affiliato che ha condotto campagne mirate contro obiettivi a Taiwan, Filippine e Hong Kong. Tropic Trooper si concentra sul colpire governo, sanità, trasporti e industrie high-tech ed è attivo dal 2011. |
| G0010 | Turla | IRON HUNTER, Gruppo 88, Insetto d'acqua, Orso bianco, Serpente, Krypton, Orso velenoso, Bufera di neve segreta, BELUGASTURGEON | Turla è un gruppo di minaccia di spionaggio informatico attribuito al Federal Security Service (FSB) russo. Hanno compromesso vittime in oltre 50 paesi almeno dal 2004, abbracciando una vasta gamma di settori tra cui governo, ambasciate, esercito, istruzione, ricerca e aziende farmaceutiche. Turla è nota per aver condotto campagne di watering hole e spear phishing e per aver sfruttato strumenti e malware interni, come Uroburos . |
| G1029 | Codice UNC788 | UNC788 è un gruppo di hacker iraniani che ha preso di mira persone in Medio Oriente. | |
| G0123 | Cedro volatile | Cedro del Libano | Volatile Cedar è un gruppo di minacce libanese che ha preso di mira individui, aziende e istituzioni in tutto il mondo. Volatile Cedar è operativo dal 2012 ed è motivato da interessi politici e ideologici. |
| G1017 | Tifone Volt | SILHOUETTE IN BRONZO, Vanguard Panda, DEV-0391, UNC3236, Voltzite, Insidious Taurus | Volt Typhoon è un attore sponsorizzato dallo stato della Repubblica Popolare Cinese (RPC) attivo almeno dal 2021, che prende di mira principalmente organizzazioni di infrastrutture critiche negli Stati Uniti e nei suoi territori, tra cui Guam. Il targeting e il modello di comportamento di Volt Typhoon sono stati valutati come pre-posizionamento per consentire il movimento laterale verso risorse di tecnologia operativa (OT) per potenziali attacchi distruttivi o dirompenti. Volt Typhoon ha enfatizzato la furtività nelle operazioni utilizzando web shell, binari living-off-the-land (LOTL), attività manuali sulla tastiera e credenziali rubate. |
| G0107 | Mosca bianca | Whitefly è un gruppo di cyber spionaggio attivo almeno dal 2017. Il gruppo ha preso di mira organizzazioni con sede principalmente a Singapore in un'ampia gamma di settori ed è principalmente interessato a rubare grandi quantità di informazioni sensibili. Il gruppo è stato collegato a un attacco contro la più grande organizzazione sanitaria pubblica di Singapore, SingHealth. | |
| G0124 | Ventoso | Il gruppo Windigo è operativo almeno dal 2011, compromettendo migliaia di server Linux e Unix utilizzando la backdoor SSH di Ebury per creare una botnet di spam. Nonostante l'intervento delle forze dell'ordine contro i creatori, gli operatori di Windigo hanno continuato ad aggiornare Ebury fino al 2019. | |
| G0112 | Spostamento del vento | Bahamut | Windshift è un gruppo criminale attivo almeno dal 2017, che prende di mira specifici individui da sorvegliare nei dipartimenti governativi e nelle infrastrutture critiche in tutto il Medio Oriente. |
| G0044 | Gruppo Winnti | Moscerino nero | Winnti Group è un gruppo di minacce di origine cinese attivo almeno dal 2010. Il gruppo ha preso di mira pesantemente l'industria del gioco d'azzardo, ma ha anche ampliato la portata dei suoi attacchi. Alcune segnalazioni suggeriscono che un certo numero di altri gruppi, tra cui Axiom , APT17 e Ke3chang , sono strettamente collegati a Winnti Group . |
| G1035 | Vivern invernale | TA473, UAC-0114 | Winter Vivern è un gruppo legato a interessi russi e bielorussi attivo almeno dal 2020 che prende di mira vari enti governativi e ONG europei, oltre a sporadici attacchi a vittime indiane e statunitensi. Il gruppo sfrutta una combinazione di attività di phishing basate su documenti e sfruttamento lato server per l'accesso iniziale, sfruttando infrastrutture controllate e create dall'avversario per il comando e il controllo successivi. |
| G0090 | SCRITTURA | WIRTE è un gruppo di minaccia attivo almeno dall'agosto 2018. WIRTE ha preso di mira organizzazioni governative, diplomatiche, finanziarie, militari, legali e tecnologiche in Medio Oriente e in Europa. | |
| G0102 | Ragno Mago | UNC1878, TEMP.MixMaster, Grim Spider, FIN12, GOLD BLACKBURN, ITG23, Pervinca Tempest, DEV-0193 | Wizard Spider è un gruppo di minacce finanziarie con sede in Russia, originariamente noto per la creazione e l'implementazione di TrickBot almeno dal 2016. Wizard Spider possiede un arsenale diversificato di strumenti e ha condotto campagne ransomware contro una varietà di organizzazioni, che vanno dalle grandi aziende agli ospedali. |
| G0128 | ZIRCONIO | APT31, Tifone Viola | ZIRCONIUM è un gruppo terroristico che opera dalla Cina, attivo almeno dal 2017, che ha preso di mira individui associati alle elezioni presidenziali statunitensi del 2020 e importanti leader della comunità degli affari internazionali. |
Nessun commento:
Posta un commento