לפי הדו"ח של חוקרי ESET, קבוצות APT המקושרות לרוסיה המשיכו לקחת חלק בפעולות המכוונות במיוחד לאוקראינה, תוך שימוש במגבי נתונים הרסניים ובתוכנות כופר במהלך תקופה זו. Goblin Panda, קבוצה המזוהה עם סינית, החלה להעתיק את העניין של מוסטנג פנדה במדינות אירופה. גם קבוצות הקשורות לאיראן פועלות ברמה גבוהה. יחד עם תולעת חול, קבוצות APT רוסיות אחרות כמו Callisto, Gamaredon המשיכו בהתקפות הדיוג שלהם נגד אזרחי מזרח אירופה.
הדגשים בדוח הפעילות של ESET APT הם כדלקמן:
ESET גילתה שבאוקראינה קבוצת תולעי החול הידועה לשמצה משתמשת בתוכנת מגב נתונים שלא הייתה ידועה בעבר נגד חברת מגזר האנרגיה. פעולות של קבוצות APT מבוצעות בדרך כלל על ידי משתתפים בחסות המדינה או המדינה. התקיפה הגיעה במקביל לשיגור הכוחות המזוינים הרוסים מתקיפות טילים על תשתיות אנרגיה באוקטובר. למרות ש-ESET לא יכולה להוכיח את התיאום בין התקפות אלו, היא רואה את אותה מטרה של תולעי חול ולצבא הרוסי.
ESET כינתה את NikoWiper האחרונה בסדרה של תוכנות למגבי נתונים שהתגלו בעבר. תוכנה זו שימשה נגד חברה הפועלת בתחום האנרגיה באוקראינה באוקטובר 2022. NikoWiper מבוסס על SDelete, כלי שירות שורת פקודה שמיקרוסופט משתמשת בו כדי למחוק קבצים בצורה מאובטחת. בנוסף לתוכנה זדונית למחיקת נתונים, ESET גילתה התקפות של תולעי חול המשתמשות בתוכנת כופר כמגב. למרות שמשתמשים בתוכנת כופר בהתקפות אלו, המטרה העיקרית היא להשמיד נתונים. בניגוד למתקפות כופר נפוצות, מפעילי Sandworm לא מספקים מפתח פענוח.
באוקטובר 2022, תוכנת הכופר Prestige זוהתה על ידי ESET כמשמשת נגד חברות לוגיסטיקה באוקראינה ובפולין. בנובמבר 2022 התגלתה באוקראינה תוכנת כופר חדשה שנכתבה ב-.NET בשם RansomBoggs. ESET Research פרסמה את הקמפיין הזה לציבור בחשבון הטוויטר שלה. יחד עם תולעי חול, קבוצות APT רוסיות אחרות כמו Callisto ו- Gamaredon המשיכו בהתקפות הדיוג הממוקדות באוקראינה כדי לגנוב אישורים ולהשתלת שתלים.
חוקרי ESET זיהו גם מתקפת דיוג של MirrorFace המכוונת לפוליטיקאים ביפן, והבחינו בשינוי פאזה במיקוד של כמה קבוצות הקשורות לסין - Goblin Panda החלה להעתיק את העניין של מוסטנג פנדה במדינות אירופה. בנובמבר, ESET גילתה דלת אחורית חדשה של Goblin Panda שהיא מכנה TurboSlate בסוכנות ממשלתית באיחוד האירופי. מוסטנג פנדה גם המשיכה להתמקד בארגונים אירופיים. בחודש ספטמבר, זוהה מעמיס קורפלוג המשמש את מוסטנג פנדה במפעל במגזר האנרגיה וההנדסה של שוויץ.
גם קבוצות הקשורות לאיראן המשיכו במתקפות שלהן - POLONIUM החלה לכוון לחברות ישראליות וגם לחברות הבנות הזרות שלהן, ו-MuddyWater כנראה חדר לספק שירותי אבטחה פעיל.
קבוצות הקשורות לצפון קוריאה השתמשו בפרצות אבטחה ישנות כדי לחדור לחברות ובורסה של מטבעות קריפטוגרפיים ברחבי העולם. באופן מעניין, קוני הרחיב את השפות שבהן השתמש במסמכי המלכודת שלו, והוסיף אנגלית לרשימה שלו; מה שעשוי אומר שהיא לא מתמקדת במטרות הרוסיות והדרום קוריאניות הרגילות שלה.
היה הראשון להגיב