O ano de 2025 foi marcado por uma escalada significativa nas atividades de grupos APT (Ameaças Persistentes Avançadas) ao redor do mundo. Apoiados por governos ou organizações bem financiadas, esses adversários cibernéticos têm como principais objetivos espionagem, coleta de dados em longo prazo e interrupção de infraestruturas críticas. A SOC Radar mapeou os 10 principais grupos APT de 2025.
Diferente de hackers comuns, os grupos APT operam com planejamento meticuloso e recursos avançados. Eles utilizam malware personalizado, exploram vulnerabilidades de dia zero e aplicam técnicas sofisticadas de engenharia social para comprometer redes de governos, empresas e organizações sensíveis.
A principal característica desses atores é a persistência: muitos permanecem indetectáveis por meses ou até anos dentro das redes invadidas.
Grupos APT alinhados com a China
Mustang Panda
O MUSTANG PANDA é um grupo APT ligado à China, ativo desde pelo menos 2017. Ele tem como alvo principal ONGs e think tanks, com forte foco na Mongólia. O grupo adota rapidamente novos exploits e conta com engenharia social, técnicas sem arquivo e malware comum, como PlugX, Poison Ivy e Cobalt Strike.
Desde março, o UNC6384, ligado ao Mustang Panda, tem conduzido uma campanha de espionagem cibernética em várias etapas contra organizações globais e diplomatas do Sudeste Asiático. Os invasores usaram o sequestro de tráfego do portal cativo para entregar uma atualização falsa do Adobe que implantou o malware SOGU.SEC por meio de componentes assinados.
APT40 (Leviathan)
Outro grupo chinês que marcou 2025, foi o APT40, também conhecido como TEMP.Periscope, Leviathan e muitos outros pseudônimos. O coletivo ficou conhecido pelas ações de espionagem cibernética atribuídas ao Ministério de Segurança do Estado (MSS) da China.
Ativo desde pelo menos 2009, o APT40 esteve envolvido em inúmeras campanhas de espionagem cibernética de alto perfil visando uma variedade de setores, com foco particular em marítimo, defesa, aviação e tecnologia. As atividades do grupo estão alinhadas com os objetivos estratégicos da China, incluindo a modernização de suas forças armadas e a expansão de sua influência marítima.
O governo de Samoa emitiu um alerta de segurança cibernética sobre o aumento das atividades do APT40, um grupo de ameaças patrocinado pelo Estado que tem como alvo redes sensíveis na região do Pacífico Azul.
O APT40 é conhecido por operações de espionagem de longo prazo contra redes governamentais e de infraestrutura crítica. O SamCERT relata campanhas recentes focadas em nações insulares do Pacífico, usando malware furtivo sem arquivo, técnicas de carregamento baseadas em registro e ferramentas modificadas para manter a persistência e extrair dados, evitando a detecção.
APT41 (Double Dragon)
O APT41 (também conhecido como Double Dragon) é um grupo de ameaças cibernéticas bem conhecido que realiza espionagem patrocinada pelo Estado chinês, bem como operações com motivação financeira que podem estar fora da autoridade do governo chinês.
A motivação financeira explícita é incomum entre os grupos de ameaças patrocinados pelo Estado chinês, e as evidências sugerem que o APT41 está envolvido em operações de crime cibernético e espionagem cibernética desde 2014.
Legisladores dos EUA afirmaram que agentes de ameaças ligados à China se passaram pelo deputado John Moolenaar, presidente do Comitê Seleto da Câmara sobre a China, em e-mails de spear phishing enviados a contatos confiáveis.
A atividade faz parte de uma campanha de espionagem cibernética em andamento ligada ao Partido Comunista Chinês e que visa obter acesso a sistemas confidenciais durante discussões comerciais de alto nível entre os EUA e a China. O FBI estava investigando os incidentes, que foram atribuídos ao grupo de hackers APT41, apoiado pela China.
Volt Typhoon
O Volt Typhoon é mais um dos agentes de ameaça persistentes ligados à China, ativo desde pelo menos 2021. Ele tem como alvo infraestruturas críticas dos EUA, incluindo Guam, e se concentra no posicionamento furtivo por meio de técnicas de living-off-the-land, web shells e abuso de credenciais para permitir ataques potencialmente disruptivos ou destrutivos.
Autoridades chinesas reconheceram implicitamente ter realizado ataques cibernéticos Volt Typhoon durante uma reunião em Genebra com autoridades americanas em dezembro, de acordo com o WSJ. Os EUA avaliaram os ataques como um aviso relacionado a Taiwan e com o objetivo de dissuadir o envolvimento dos EUA. O Volt Typhoon teve como alvo infraestruturas críticas dos EUA em vários setores, utilizando técnicas avançadas.
Grupos APT alinhados com a Rússia
APT29 (Cozy Bear, Midnight Blizzard)
O APT29, também conhecido como Cozy Bear, é um grupo APT russo de espionagem cibernética associado ao Serviço de Inteligência Estrangeira da Rússia (SVR). O grupo está ativo desde pelo menos 2008 e é conhecido por ter como alvo governos, entidades diplomáticas e indústrias críticas nos Estados Unidos e na Europa.
Este ano, a Amazon interrompeu um ataque de watering hole atribuído ao APT29 da Rússia, identificando sites comprometidos que redirecionavam os visitantes para uma infraestrutura maliciosa que visava a autenticação de código de dispositivos Microsoft.
A campanha envolveu redirecionamento furtivo de tráfego e coleta de credenciais, mas não afetou os sistemas da AWS. A Amazon trabalhou com parceiros para derrubar a infraestrutura e continuou rastreando as tentativas subsequentes do grupo.
Sandworm (Armageddon, APT44)
O Sandworm é um grupo APT ligado à Rússia, associado à Unidade 74455 do GRU e ativo desde pelo menos 2009. É conhecido por operações destrutivas em grande escala, incluindo ataques à rede elétrica na Ucrânia, o surto do NotPetya, interferência eleitoral e campanhas disruptivas contra grandes eventos e instituições internacionais.
A ESET informou que o Sandworm, ligado à Rússia, implantou malware wiper, incluindo Zerolot e Sting, contra organizações governamentais, energéticas, logísticas e do setor de grãos ucranianas em 2025. A atividade foi atribuída à unidade 74455 da GRU.
Grupos APT alinhados com o Irã
APT34 (OilRig)
O OilRig, também conhecido como APT34, é um grupo de ameaças persistentes avançadas (APT) patrocinado pelo Estado com fortes laços com a inteligência iraniana. Conhecido por suas sofisticadas campanhas de espionagem cibernética, o OilRig tem como alvo principal os setores governamental, energético, financeiro e de telecomunicações em todo o Oriente Médio e além.
Aproveitando técnicas avançadas de spear-phishing e malware personalizado, o grupo consolidou sua reputação como um agente de ameaças persistente e altamente adaptável no cenário cibernético global.
O grupo de ameaças APT34, ligado ao Irã, conduziu operações de espionagem cibernética contra organizações no Iraque e no Iêmen. A campanha teve como alvo entidades governamentais iraquianas usando e-mails de phishing e backdoors personalizados, incluindo ferramentas para exfiltração de dados baseadas em e-mail, SSH e DNS, e permaneceu ativa até 2025.
Um subgrupo separado do APT34 também teve como alvo organizações iemenitas, principalmente no setor de telecomunicações, usando malware mais simples baseado em PowerShell.
Os pesquisadores avaliam a atividade como parte da coleta contínua de inteligência pelo Ministério de Inteligência e Segurança do Irã, inclusive contra países considerados aliados regionais.
Grupos APT alinhados com a Coreia do Norte
Lazarus Group
O Lazarus Group é um APT ligado à Coreia do Norte, ativo desde pelo menos 2009 e vinculado ao Reconnaissance General Bureau. Ele combina espionagem com operações financeiras em grande escala, incluindo roubos cibernéticos, ransomware e roubo de criptomoedas.
As autoridades sul-coreanas suspeitam que o Lazarus Group, ligado à Coreia do Norte, tenha invadido a Upbit em 27 de novembro, roubando cerca de 45 bilhões de won em ativos digitais. A Upbit confirmou a perda, afirmou que os fundos dos clientes não foram afetados e está cobrindo os danos enquanto reforça as medidas de segurança.
Andariel
Andariel (Jumpy Pisces) é um grupo APT ligado à Coreia do Norte, ativo desde pelo menos 2009 e avaliado como um subgrupo do Lazarus. Ele tem como alvo entidades governamentais, militares e comerciais sul-coreanas e também realiza operações com motivação financeira contra bancos, caixas eletrônicos e plataformas de criptomoedas.
Pesquisadores relatam que o Andariel, ligado à Coreia do Norte, abusou do sequestro de RID para conceder direitos de administrador a contas do Windows com privilégios baixos.
O grupo obteve acesso ao sistema usando PsExec e JuicyPotato, modificou o registro SAM e ocultou rastros por meio da limpeza do registro. A mitigação requer o monitoramento da atividade LSASS, a restrição de ferramentas de escalonamento de privilégios e a aplicação de MFA.
Grupos do Sul da Ásia e outras regiões
APT36 (Transparent Tribe)
APT36 é um grupo APT ligado ao Paquistão, ativo desde pelo menos 2013. Ele se concentra em espionagem cibernética contra alvos militares, diplomáticos e de infraestrutura crítica da Índia, usando campanhas de phishing e malware de acesso remoto.
O APT36 tem como alvo entidades governamentais e de defesa indianas usando e-mails de phishing com arquivos ZIP que contêm arquivos .desktop Linux maliciosos disfarçados como PDFs.
Quando abertos, esses arquivos executam comandos bash ocultos para baixar e executar uma carga útil de espionagem baseada em Go, estabelecer persistência e exfiltrar dados por meio de canais WebSocket C2. A campanha começou em 1º de agosto de 2025 e ainda está em andamento.
Grupos APT optam por operações demoradas
Esses agentes operaram com objetivos claros e cronogramas longos. Suas atividades afetaram governos, infraestruturas críticas e organizações privadas em todas as regiões. Rastrear esses agentes requer mais do que rastrear outros agentes de ameaças. Requer visibilidade contínua sobre quem são os agentes, como operam e onde atuam.
Para mais dicas de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia.