Achterbakse AI en bondjes tussen hacktivisten: Kaspersky’s voorspellingen voor het APT-landschap van 2025

  Kaspersky’s Global Research and Analysis Team (GReAT) maakt zijn voorspellingen voor 2025 voor het APT-landschap bekend. Hierbij ligt de nadruk op belangrijke verschuivingen in cyberdreigingen zoals bondjes van hacktivisten, toenemend gebruik van AI-tools door aan de staat gelieerde actoren, meer aanvallen op open source-projecten in de toeleveringsketen en een toename in de ontwikkeling van malware met behulp van Go en C++.

Als onderdeel van het Kaspersky Security Bulletin biedt GReAT elk jaar diepgaande inzichten in de meest geavanceerde APT-activiteiten en opkomende dreigingstrends. Met de monitoring van meer dan 900 APT-groepen en -operaties wereldwijd, helpt het team organisaties en cybersecurityprofessionals een effectief stappenplan te ontwikkelen om zich voor te bereiden op het komende jaar.

De opmars van AI in staat gesponsorde cyberaanvallen 

In 2024 hebben cybercriminelen en APT-groepen AI steeds vaker ingezet voor geavanceerdere en overtuigendere aanvallen. Zo gebruikte de Lazarus Group door AI gegenereerde afbeeldingen om een zero-day kwetsbaarheid in Chrome te exploiteren en cryptocurrency te stelen. Een verontrustende nieuwe trend is het verspreiden van gemanipuleerde versies van AI-modellen door APT-groepen. Deze actoren richten zich op populaire open-source AI-modellen en datasets, waarbij ze kwaadaardige code of subtiele manipulaties toevoegen die lastig te detecteren zijn, maar zich breed verspreiden. Volgens GReAT-experts zullen LLM’s (large language models) standaardtools worden voor verkenning, het automatiseren van kwetsbaarheidsdetectie en het genereren van schadelijke scripts om de slagingskans van aanvallen te vergroten.

“Bij AI snijdt het mes aan twee kanten: terwijl cybercriminelen het gebruiken om hun aanvallen te versterken, kunnen verdedigers de kracht ervan gebruiken om bedreigingen sneller te detecteren en securityprotocollen te versterken. Cybersecuritydeskundigen moeten dit krachtige hulpmiddel echter voorzichtig benaderen en ervoor zorgen dat het gebruik ervan niet onbedoeld nieuwe wegen opent voor uitbuiting,” zegt Maher Yamout, Lead Security Researcher bij Kaspersky’s GReAT.    Experts verwachten ook dat APT-groepen steeds vaker deepfake-technologie zullen gebruiken om zich voor te doen als belangrijke personen. Hierbij kan het gaan om het creëren van zeer overtuigende berichten of video’s om werknemers te misleiden, gevoelige informatie te stelen of andere kwaadaardige acties uit te voeren.

  Kaspersky’s Global Research and Analysis Team (GReAT) maakt zijn voorspellingen voor 2025 voor het APT-landschap bekend. Hierbij ligt de nadruk op belangrijke verschuivingen in cyberdreigingen zoals bondjes van hacktivisten, toenemend gebruik van AI-tools door aan de staat gelieerde actoren, meer aanvallen op open source-projecten in de toeleveringsketen en een toename in de ontwikkeling van malware met behulp van Go en C++.

Als onderdeel van het Kaspersky Security Bulletin biedt GReAT elk jaar diepgaande inzichten in de meest geavanceerde APT-activiteiten en opkomende dreigingstrends. Met de monitoring van meer dan 900 APT-groepen en -operaties wereldwijd, helpt het team organisaties en cybersecurityprofessionals een effectief stappenplan te ontwikkelen om zich voor te bereiden op het komende jaar.

De opmars van AI in staat gesponsorde cyberaanvallen 

In 2024 hebben cybercriminelen en APT-groepen AI steeds vaker ingezet voor geavanceerdere en overtuigendere aanvallen. Zo gebruikte de Lazarus Group door AI gegenereerde afbeeldingen om een zero-day kwetsbaarheid in Chrome te exploiteren en cryptocurrency te stelen.

Een verontrustende nieuwe trend is het verspreiden van gemanipuleerde versies van AI-modellen door APT-groepen. Deze actoren richten zich op populaire open-source AI-modellen en datasets, waarbij ze kwaadaardige code of subtiele manipulaties toevoegen die lastig te detecteren zijn, maar zich breed verspreiden. Volgens GReAT-experts zullen LLM’s (large language models) standaardtools worden voor verkenning, het automatiseren van kwetsbaarheidsdetectie en het genereren van schadelijke scripts om de slagingskans van aanvallen te vergroten.

“Bij AI snijdt het mes aan twee kanten: terwijl cybercriminelen het gebruiken om hun aanvallen te versterken, kunnen verdedigers de kracht ervan gebruiken om bedreigingen sneller te detecteren en securityprotocollen te versterken. Cybersecuritydeskundigen moeten dit krachtige hulpmiddel echter voorzichtig benaderen en ervoor zorgen dat het gebruik ervan niet onbedoeld nieuwe wegen opent voor uitbuiting,” zegt Maher Yamout. Experts verwachten ook dat APT-groepen steeds vaker deepfake-technologie zullen gebruiken om zich voor te doen als belangrijke personen. Hierbij kan het gaan om het creëren van zeer overtuigende berichten of video’s om werknemers te misleiden, gevoelige informatie te stelen of andere kwaadaardige acties uit te voeren.

Toenemende aanvallen in de toeleveringsketen op open source-projecten     

Hoewel de beruchte XZ-zaak een belangrijk probleem aan het licht heeft gebracht, heeft dit incident het bewustzijn binnen de cybersecuritygemeenschap vergroot en organisaties ertoe gezet om de bewaking van open source-ecosystemen te verbeteren. Hoewel de frequentie van zulke aanvallen misschien niet dramatisch zal toenemen, zal het aantal aanvallen dat wordt ontdekt waarschijnlijk toenemen naarmate de detectie-inspanningen verbeteren.

  Naarmate open source-projecten steeds meer moderne versies van C++ en Go overnemen, zullen kwaadwillende hun malware moeten aanpassen aan deze veelgebruikte talen. In 2025 kunnen we een aanzienlijke toename verwachten van APT-groepen en cybercriminelen die migreren naar de nieuwste versies van C++ en Go, en die gerbruik maken van hun groeiende prevalentie in open source-projecten.

  IoT als groeiende aanvalsvector voor APT’s in 2025  

Met naar verwachting 32 miljard IoT-apparaten in 2030, zullen de beveiligingsrisico’s toenemen. Veel apparaten vertrouwen op onveilige servers en verouderde firmware, waardoor ze kwetsbaar zijn. Aanvallers zullen gebruik maken van zwakke plekken in apps en toeleveringsketens door malware in te sluiten tijdens de productie. Omdat de zichtbaarheid van IoT-security beperkt blijft, zullen verdedigers moeite hebben om bij te blijven. Deze situatie zal waarschijnlijk verergeren tegen 2025.

Hacktivistengroepen vormen steeds vaker bondjes en , delen tools en middelen om grotere, impactvollere doelen na te streven. In 2025 zullen deze bondjes waarschijnlijk in omvang toenemen, wat zal leiden tot meer gecoördineerde en ontwrichtende campagnes omdat groepen zich verenigen rond gemeenschappelijke sociaal-politieke doelen.

  BYOVD-exploits in APT-campagnes 

De BYOVD-techniek (bring your own vulnerable driver) is een trend geworden in 2024 en er wordt verwacht dat deze trend zich in 2025 voortzet. Naarmate aanvallers meer bedreven raken in het benutten van low-level kwetsbaarheden, zal de complexiteit van dergelijke aanvallen waarschijnlijk toenemen en zullen we mogelijk nog verfijndere technieken zien, zoals het misbruiken van verouderde of third-party stuurprogramma’s die doorgaans niet worden onderzocht op beveiligingslekken.

 De APT-voorspellingen zijn ontwikkeld dankzij Kaspersky’s threat intelligence services die over de hele wereld worden gebruikt. Lees het volledige rapport op Securelist.com