Nel primo trimestre 2023 gli APT hanno aggiornato le proprie tecniche e le campagne che portano avanti a livello globale, con l’obiettivo di espandere i propri vettori di attacco sia in termini di posizione geografica che di settori target. È quello che emerge dal report sulle tendenze APT rilevate da Kaspersky nel periodo fra gennaio de marzo.

Nel periodo in esame, sono stati in particolare Turla, MuddyWater, Winnti, Lazarus e ScarCruft i gruppi osservati da Kaspersky mentre sviluppavano i propri set di strumenti. Turla è stato pizzicato mentre utilizzava la backdoor TunnusSched, uno strumento relativamente insolito per questo gruppo, che dimostra come gli attori APT affermati stiano adattando ed evolvendo le proprie tattiche per essere sempre all’avanguardia.

Inoltre gli esperti di Kaspersky hanno assistito ad attacchi avanzati che si sono concentrati in Europa, Stati Uniti, Medio Oriente e varie parti dell’Asia. Se in precedenza la maggior parte dei criminali informatici si concentrava sulle vittime di Paesi specifici, ora sempre più APT si rivolgono a livello globale. Un esempio lampante è quello di MuddyWater, che ora agisce anche contro obiettivi in Azerbaigian, Armenia, Malesia e Canada, oltre ai suoi precedenti obiettivi in Arabia Saudita, Turchia, Emirati Arabi Uniti, Egitto, Giordania, Bahrein e Kuwait.

Non solo: gli APT continuano a espandere la platea delle proprie vittime, aggiungendo alle istituzioni statali e agli obiettivi di alto profilo anche nuovi settori tra cui aviazione, energia, produzione, immobiliare, finanza, telecomunicazioni, ricerca scientifica, informatica e gaming. Queste aziende possiedono grandi quantità di dati che rispondono a esigenze strategiche legate alle priorità nazionali o che creano accessi e vettori aggiuntivi per facilitare campagne future.

Come ben noto, la difesa dalle attività APT è estremamente complessa. Una buona tattica di prevenzione consiste nel tenere sempre aggiornati i sistemi operativi Windows e gli altri software, e di aggiornare regolarmente il team di cybersecurity sulle minacce mirate. È inoltre fondamentale attuare una protezione che coinvolga il rilevamento a livello di endpoint e di rete, e svolgere una formazione continua su tutti i dipendenti per insegnare loro come riconoscere phishing e altre tecniche di social engineering.