Els ciberatacs arriben a velocitat de màquina mitjançant una nova divisió del treball.
L'informe "Nation-Aligned APTs in 2025" analitza les activitats dels grups de hackers recolzats pels estats de la Xina, Rússia i Corea del Nord durant l'any 2025 i identifica quatre desenvolupaments clau que canvien fonamentalment l'entorn estratègic per a empreses i autoritats.
Premier Pass-as-a-Service: Divisió del treball entre hackers recolzats pels estats
TrendAI observa per primera vegada un model sistemàtic en què els grups APT comparteixen accés a xarxes compromeses com si fos un "Priority Pass" entre ells. Un grup especialitzat aconsegueix l'accés inicial, i d'altres continuen amb espionatge, robatori de dades o sabotatge sense haver de realitzar l'intrusió inicial. Aquesta divisió del treball accelera els atacs considerablement i dificulta l'assignació a actors individuals. Per exemple, els grups associats a la Xina Earth Estries (també coneguts com Salt Typhoon) i Earth Naga van ser actius en les mateixes sessions de xarxa, cosa que indica una col·laboració coordinada.
Cadenes d'atac basades en IA: D'eines auxiliars a agents autònoms
L'any 2025 marca el primer ús pràctic de grans models lingüístics (LLM) en programari maliciós actiu. El grup associat a Rússia Pawn Storm (APT28) va utilitzar el programari maliciós LAMEHUG, que genera ordres dinàmicament a través de LLMs. Altres grups utilitzen IA per al reconeixement automàtic i identificació d'objectius. Els atacants ja no fan servir la IA només com a suport, sinó que desenvolupen "AI Agents" autònoms que poden adaptar-se en temps real a les mesures de defensa. TrendAI espera que els pròxims 24 mesos es converteixin en una "cursa per la resiliència a velocitat de màquina".
"Les activitats cibernètiques recolzades pels estats estan cada cop més industrialitzades," diu Feike Hacquebord, Principal Threat Researcher a TrendAI. "Els grups d'amenaces es especialitzen en fases individuals de la cadena d'atac i comparteixen després l'accés a xarxes compromeses perquè altres actors puguin començar directament amb espionatge o sabotatge. Si aquest model es combina amb el reconeixement basat en IA i la recerca automatitzada de vulnerabilitats, es redueix dràsticament el temps d'execució de campanyes complexes."
Domini de la cadena de subministrament i Edge: Atacs a cadenes de subministrament i infraestructures límit
L'explotació de vulnerabilitats en infraestructures Edge i els atacs a través d'ecosistemes de desenvolupadors (per exemple, ofertes de treball falses del grup nord-coreà Void Dokkaebi) s'ha convertit en la ruta preferida per a una persistència a llarg termini i difícil de detectar. Un exemple: els atacants van intentar utilitzar el servidor d'un proveïdor de programari taiwanès amb accés potencial a tota la cadena de subministrament de la producció d'alta tecnologia com a punt de distribució de programari maliciós.
Coplament geopolític: Els ciberatacs com a acompanyament de conflictes militars
Les operacions cibernètiques estan actualment lligades estretament a esdeveniments geopolítics i operacions militars. L'informe documenta atacs a cadenes logístiques i d'infraestructura en el context del suport a Ucraïna, atacs de sabotatge a xarxes d'energia i transport, així com campanyes d'espionatge que es duen a terme alhora que les negociacions diplomàtiques. El reconeixement amb drons de Corea del Nord a Ucraïna va ocórrer paral·lelament a les campanyes cibernètiques. Aquesta sincronització mostra que el ciberespai i la guerra física es fusionen cada cop més.
Recomanacions per a empreses
L’informe mostra que el major risc no prové d'un augment sobtat de les capacitats dels atacants, sinó de la normalització dels ciberatacs basats en IA. Per això, TrendAI recomana a les empreses incorporar els atacs APT a les seves estratègies de seguretat. Són centrals:
- Integració de gestió de riscos de la cadena de subministrament i revisió contínua de proveïdors i serveis - Establiment de mecanismes ràpids de detecció i contenció per a atacs accelerats per IA - Major intercanvi d'informació amb autoritats i socis del sector - Ús de "Defensive AI" per anticipar i neutralitzar amenaces autònomes - Exercicis regulars de resposta a incidents i proves Red-Team incloent escenaris APT
Branques afectades
Els objectius més freqüents dels atacs recolzats per l'estat l'any 2025 van ser institucions governamentals i empreses tecnològiques, seguides per infraestructures crítiques (energia, transport, logística), fabricació i serveis financers.