Tổng hợp các nhóm Hacker APT trên thế giới

Các nhóm Hacker APT thường có mục đích nhắm vào các tổ chức chính phủ, quân sự, các công ty lớn và tổ chức phi chính phủ, với mục tiêu đánh cắp thông tin nhạy cảm, điều tra gián điệp, phá hoại hệ thống mạng, hoặc gây ảnh hưởng đến chính trị, kinh tế và an ninh quốc gia.

Dưới đây là một số nhóm APT (Advanced Persistent Threat) nổi tiếng trên thế giới, được cho là có liên quan đến các quốc gia khác nhau. Danh sách này không đầy đủ và có thể còn nhiều nhóm APT khác đang hoạt động mà không được công bố rộng rãi.

1. APT28 (Fancy Bear, Sofacy, PawnStorm, Sednit, Strontium) – Nga
2. APT29 (Cozy Bear, The Dukes, CozyDuke) – Nga
3. APT30 (APT-C-01) – Trung Quốc
4. APT31 (Zirconium, Judgment Panda, Stonesoft, Axiom, Bronze Panda) – Trung Quốc
5. APT32 (OceanLotus, SeaLotus, Cobalt Kitty, APT-C-00, OceanBuffalo) – Việt Nam
6. APT33 (Elfin, Refined Kitten, Holmium, Magnallium) – Iran
7. APT34 (OilRig, Helix Kitten, Chrysene) – Iran
8. APT35 (Newscaster, Charming Kitten, Phosphorus, Ajax Security Team) – Iran
9. APT36 (Transparent Tribe, ProjectM, Mythic Leopard, TEMP.Lapis) – Pakistan
10. APT37 (Reaper, StarCruft, Group123, Ricochet Chollima, RedEyes) – Triều Tiên
11. APT38 (Lazarus Group, Hidden Cobra, Guardians of Peace) – Triều Tiên
12. APT39 (Chafer, Remexi, Cadelspy) – Iran
13. APT40 (Periscope, Mudcarp, TEMP.Periscope, TEMP.Jumper, Leviathan) – Trung Quốc
14. APT41 (Double Dragon, Winnti, Barium, Wicked Panda, Wicked Spider) – Trung Quốc

Các nhóm Hacker APT thường có mục tiêu và chiến thuật khác nhau như đánh cắp thông tin, gián điệp, phá hoại hệ thống mạng, hoặc tiến hành các cuộc tấn công mạng nhắm vào chính trị, kinh tế, và an ninh quốc gia. Thông tin về các nhóm APT và hoạt động của họ thường không rõ ràng và thay đổi theo thời gian. Việc xác định chính xác nguồn gốc và mục tiêu của các nhóm này đôi khi gặp khó khăn do tính chất bí mật và phức tạp của hoạt động gián điệp mạng.

APT28 – Nga

APT28 (còn được gọi là Fancy Bear, Sofacy, PawnStorm, Sednit, Strontium) là một nhóm APT (Advanced Persistent Threat) được cho là có liên kết với chính phủ Nga, cụ thể là GRU – Tổng cục Tình báo Quân sự Nga. Nhóm này hoạt động từ năm 2008 và là một trong những nhóm APT nổi tiếng nhất trên thế giới.

APT28 chủ yếu tập trung vào các mục tiêu có liên quan đến chính trị, quân sự và các tổ chức phi chính phủ. Họ đã thực hiện nhiều cuộc tấn công mạng như:

1. (tin chưa kiểm chứng) Đánh cắp dữ liệu từ Ủy ban Quốc gia Đảng Dân chủ (DNC) của Mỹ trong cuộc bầu cử tổng thống năm 2016.
2. (tin chưa kiểm chứng) Tấn công vào Ủy ban Thể thao Quốc tế (IOC) và các tổ chức thể thao quốc tế khác.
3. (tin chưa kiểm chứng) Tấn công vào các cơ quan chính phủ và quân sự của các quốc gia thuộc NATO.
4. (tin chưa kiểm chứng) Tấn công vào các tổ chức báo chí và phi chính phủ ủng hộ người dân Syria trong cuộc nội chiến.

APT28 sử dụng nhiều kỹ thuật tấn công mạng tinh vi và phức tạp, bao gồm spear-phishing, malware tùy chỉnh, kỹ thuật tấn công 0-day, và hệ thống C&C (Command & Control) đa tầng. Họ đã phát triển và sử dụng nhiều công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. Sofacy, X-Agent, X-Tunnel: Các công cụ đa nền tảng giúp APT28 đánh cắp thông tin, chụp ảnh màn hình, ghi âm từ xa, và điều khiển hệ thống mục tiêu.
2. Seduploader, Sedreco, JHUHUGIT: Các phần mềm độc hại giúp APT28 đánh cắp thông tin, tải lên/tải xuống tập tin, và thực thi mã từ xa trên hệ thống mục tiêu.
3. SoursFace, Chopstick: Các công cụ giúp APT28 giám sát và điều khiển hệ thống mục tiêu thông qua hệ thống C&C.

APT29 – Nga

APT29 (còn được gọi là Cozy Bear, The Dukes, CozyDuke) là một nhóm APT được cho là có liên kết với chính phủ Nga, đặc biệt là cơ quan tình báo ngoại giao SVR (Sluzhba Vneshney Razvedki). Nhóm này đã hoạt động từ ít nhất năm 2008 và được biết đến với các chiến dịch tấn công mạng tinh vi và kiên nhẫn.

APT29 chủ yếu nhắm vào các tổ chức chính phủ, ngoại giao, quốc phòng, và các tổ chức phi chính phủ trên toàn cầu. Họ thường tập trung vào các mục tiêu có liên quan đến chính sách an ninh quốc gia, công nghệ thông tin và truyền thông, và nghiên cứu khoa học. Một số cuộc tấn công đáng chú ý của APT29 bao gồm:

1. Tấn công vào Ủy ban Quốc gia Đảng Dân chủ (DNC) của Mỹ trong cuộc bầu cử tổng thống năm 2016, cùng với APT28.
2. Tấn công vào Bộ Ngoại giao Hoa Kỳ, Bộ Quốc phòng Hoa Kỳ, và các cơ quan chính phủ của các nước Đông Âu và Trung Âu.
3. Tấn công vào các tổ chức nghiên cứu y tế và dược phẩm liên quan đến nghiên cứu và phát triển vắc-xin COVID-19.

APT29 sử dụng nhiều kỹ thuật tấn công mạng như: spear-phishing, tấn công supply chain, và sử dụng các công cụ độc hại tùy chỉnh. Nhóm này đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. MiniDuke, CosmicDuke, OnionDuke, CozyDuke: Các phần mềm độc hại giúp APT29 đánh cắp thông tin, chụp ảnh màn hình, ghi âm từ xa, và điều khiển hệ thống mục tiêu.
2. SeaDaddy, SeaDuke, Hammertoss: Các công cụ giúp APT29 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. WellMess, WellMail: Các phần mềm độc hại được sử dụng trong các cuộc tấn công nhắm vào tổ chức nghiên cứu vắc-xin COVID-19.

APT29 được đánh giá là một trong những nhóm APT hàng đầu. Đây không chỉ đe dọa an ninh mạng của các tổ chức chính phủ và quốc phòng, mà còn ảnh hưởng đến các lĩnh vực quan trọng khác như y tế, nghiên cứu khoa học và công nghệ thông tin.

APT30 – Trung Quốc

APT30 (còn được gọi là APT-C-01) là một nhóm Hacker có liên kết với chính phủ Trung Quốc. Nhóm này hoạt động từ ít nhất năm 2005 và chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, ngoại giao, và các tổ chức phi chính phủ ở Đông Nam Á và Ấn Độ-Thái Bình Dương.

Mục tiêu chính của APT30 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin kinh tế để hỗ trợ các mục tiêu chiến lược và chính sách của Trung Quốc trong khu vực. Một số cuộc tấn công đáng chú ý của APT30 bao gồm:

1. Tấn công vào các cơ quan chính phủ và quân sự của các nước Đông Nam Á, bao gồm Việt Nam, Philippines, Malaysia, và Indonesia.
2. Tấn công vào các tổ chức báo chí và nghiên cứu ở Ấn Độ.
3. Tấn công vào các tổ chức phi chính phủ và các tổ chức quốc tế có liên quan đến biển Đông và chính sách khu vực.

APT30 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control) đa tầng. Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. NetEagle, Backspace: Các phần mềm độc hại giúp APT30 đánh cắp thông tin, chụp ảnh màn hình, ghi âm từ xa, và điều khiển hệ thống mục tiêu.
2. Flashflood, Lecna: Các công cụ giúp APT30 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. Spaceship, Flashlight: Các phần mềm độc hại giúp APT30 đánh cắp thông tin và tải lên/tải xuống tập tin trên hệ thống mục tiêu.

APT31 – Trung Quốc

APT31 (còn được gọi là Zirconium, Judgment Panda, Red Apollo) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Trung Quốc. Nhóm này chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, nghiên cứu công nghệ, tài chính và thông tin quốc gia của các nước ở khu vực Đông Á và trên toàn thế giới.

Mục tiêu của APT31 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về công nghệ cao để hỗ trợ các mục tiêu chiến lược và chính sách của Trung Quốc. Một số cuộc tấn công đáng chú ý của APT31 bao gồm:

1. Tấn công vào các cơ quan chính phủ, quân sự và các nhà nghiên cứu công nghệ của Mỹ, Canada, Châu Âu, Đài Loan và khu vực Đông Á.
2. Tấn công vào các tổ chức phi chính phủ và các tổ chức quốc tế liên quan đến chính sách khu vực và vấn đề an ninh mạng.
3. Tấn công vào các công ty trong lĩnh vực công nghệ, tài chính và năng lượng.

APT31 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. WELLMESS, WELLMAIL: Các phần mềm độc hại giúp APT31 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu.
2. EVILNUGGET, HIGHTIDE: Các công cụ giúp APT31 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. SAKERAT, MURKYTOP: Các phần mềm độc hại giúp APT31 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT32 – Đông Lào

Không có thông tin

APT33 – Iran

APT33 (còn được gọi là Elfin, Refined Kitten, Magnallium) là một nhóm Hacker có nguồn gốc từ Iran. Nhóm này đã hoạt động từ ít nhất năm 2013 và chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, năng lượng, hóa dầu, và các tổ chức phi chính phủ ở khu vực Trung Đông, Bắc Mỹ và châu Âu.

Mục tiêu của APT33 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Iran. Một số cuộc tấn công đáng chú ý của APT33 bao gồm:

1. Tấn công vào các công ty dầu khí và hóa chất ở Ả Rập Saudi, Hàn Quốc, và Hoa Kỳ.
2. Tấn công vào các tổ chức quốc phòng của các nước như Mỹ và Israel.
3. Tấn công vào các tổ chức nghiên cứu và phát triển công nghệ.

APT33 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. DROPSHOT, TURNEDUP: Các phần mềm độc hại giúp APT33 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu.
2. StoneDrill, SHAPESHIFT: Các công cụ giúp APT33 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. Nanocore, NJRAT: Các phần mềm độc hại giúp APT33 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT34 – Iran

APT34 (còn được gọi là OilRig, Helix Kitten, Cobalt Gypsy) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Iran. Nhóm này chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, tài chính, năng lượng, và các tổ chức phi chính phủ tại khu vực Trung Đông, Bắc Mỹ và châu Âu.

Mục tiêu của APT34 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Iran. Một số cuộc tấn công đáng chú ý của APT34 bao gồm:

1. Tấn công vào các công ty dầu khí và hóa chất ở các nước như Ả Rập Saudi, Hoa Kỳ và các nước châu Âu.
2. Tấn công vào các tổ chức quốc phòng của các nước như Mỹ, Israel và các nước châu Âu.
3. Tấn công vào các tổ chức nghiên cứu và phát triển công nghệ.

APT34 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. BONDUUPDATE, POWRUNER: Các phần mềm độc hại giúp APT34 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu.
2. QUADAGENT, RGDoor: Các công cụ giúp APT34 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. KARKOFF, DNSpionage: Các phần mềm độc hại giúp APT34 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT35 – Iran

APT35 (còn được gọi là Charming Kitten, Phosphorus, Ajax Security Team, NewsBeef) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Iran. Nhóm này đã hoạt động từ ít nhất năm 2011 và chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, truyền thông, công nghiệp hóa chất và dầu khí, và các tổ chức phi chính phủ tại khu vực Trung Đông, Bắc Mỹ và châu Âu.

Mục tiêu của APT35 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Iran. Một số cuộc tấn công đáng chú ý của APT35 bao gồm:

1. Tấn công vào các công ty dầu khí và hóa chất ở các nước như Ả Rập Saudi, Hoa Kỳ và Israel.
2. Tấn công vào các tổ chức quốc phòng của các nước như Mỹ, Israel và các nước châu Âu.
3. Tấn công vào các tổ chức nghiên cứu và phát triển công nghệ.

APT35 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. ClearSky, MacDownloader: Các phần mềm độc hại giúp APT35 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu.
2. NetRepser, POISONFROG: Các công cụ giúp APT35 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. TwoFace, DownPaper: Các phần mềm độc hại giúp APT35 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác

APT36 – Pakistan

APT36 (còn được gọi là Transparent Tribe, Mythic Leopard, ProjectM) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Pakistan. Nhóm này chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, năng lượng, và truyền thông tại khu vực Nam Á, đặc biệt là Ấn Độ.

Mục tiêu của APT36 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Pakistan. Một số cuộc tấn công đáng chú ý của APT36 bao gồm:

1. Tấn công vào các tổ chức quốc phòng, chính phủ và năng lượng của Ấn Độ.
2. Tấn công vào các tổ chức truyền thông và thông tin của Ấn Độ.
3. Tấn công vào các tổ chức phi chính phủ và quốc tế liên quan đến chính sách khu vực và vấn đề an ninh.

APT36 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. Crimson RAT: Một phần mềm độc hại giúp APT36 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu từ xa.
2. Peppy RAT: Một phần mềm độc hại tương tự như Crimson RAT, được sử dụng để kiểm soát hệ thống mục tiêu và đánh cắp thông tin.
3. DoubleAgent: Một công cụ giúp APT36 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.

APT37 – Triều Tiên

APT37 (còn được gọi là Reaper, Group123, ScarCruft, StarCruft) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Triều Tiên. Nhóm này chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, năng lượng, truyền thông, và các tổ chức phi chính phủ tại Hàn Quốc, Nhật Bản, Việt Nam và Trung Đông.

Mục tiêu của APT37 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Triều Tiên. Một số cuộc tấn công đáng chú ý của APT37 bao gồm:

1. Tấn công vào các tổ chức quốc phòng và chính phủ của Hàn Quốc, Nhật Bản và Việt Nam.
2. Tấn công vào các tổ chức truyền thông và thông tin ở khu vực Châu Á và Trung Đông.
3. Tấn công vào các tổ chức phi chính phủ và quốc tế liên quan đến chính sách khu vực và vấn đề an ninh.

APT37 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. ROKRAT, KARAE: Các phần mềm độc hại giúp APT37 đánh cắp thông tin, chụp ảnh màn hình, và điều khiển hệ thống mục tiêu từ xa.
2. SHARPKNOT, RUHAPPY: Các công cụ giúp APT37 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. MILKDROP, POORAIM: Các phần mềm độc hại giúp APT37 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT38 – Triều Tiên

APT38 (còn được gọi là Lazarus Group, Hidden Cobra, Guardians of Peace, DarkSeoul) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Triều Tiên. Nhóm này chủ yếu tập trung vào các cuộc tấn công tài chính, nhắm vào các tổ chức ngân hàng, công nghiệp tài chính và các tổ chức tài chính khác trên toàn thế giới.

Mục tiêu của APT38 là đánh cắp tiền từ các tổ chức tài chính để tài trợ cho chương trình vũ khí, chính sách kinh tế và các hoạt động khác của chính phủ Triều Tiên. Một số cuộc tấn công đáng chú ý của APT38 như:

1. Tấn công vào các ngân hàng và hệ thống tài chính trên toàn cầu, như cuộc tấn công vào ngân hàng trung ương Bangladesh và cuộc tấn công SWIFT.
2. Tấn công vào các công ty chứng khoán và các tổ chức tài chính khác.
3. Tấn công vào các tổ chức quốc phòng và chính phủ của một số quốc gia nhằm đánh cắp thông tin và tiền tệ.

APT38 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. BANKSHOT, FASTCash: Các phần mềm độc hại giúp APT38 đánh cắp thông tin tài chính, thực hiện các giao dịch giả mạo và điều khiển hệ thống mục tiêu từ xa.
2. RATANKBA, HARDRAIN: Các công cụ giúp APT38 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. MANUSCRIPT, FALLCHILL: Các phần mềm độc hại giúp APT38 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT39 – Triều Tiên

APT39 (còn được gọi là Chafer, Remexi, Cadelspy, ITG07) là một nhóm APT (Advanced Persistent Threat) có nguồn gốc từ Iran. Nhóm này chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, công nghiệp hạng nặng, dịch vụ viễn thông, và các tổ chức tài chính trên toàn thế giới, đặc biệt là tại khu vực Trung Đông.

Mục tiêu của APT39 là đánh cắp thông tin nhạy cảm, bí mật chính trị, thông tin quân sự, và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Iran. Một số cuộc tấn công đáng chú ý của APT39 bao gồm:

1. Tấn công vào các tổ chức quốc phòng và chính phủ của các quốc gia tại khu vực Trung Đông và trên toàn cầu.
2. Tấn công vào các công ty viễn thông và dịch vụ công nghệ thông tin.
3. Tấn công vào các tổ chức tài chính và công nghiệp hạng nặng.

APT39 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh, và hệ thống C&C (Command & Control). Họ đã phát triển và sử dụng một số công cụ và phần mềm độc hại đặc biệt, bao gồm:

1. Remexi: Một phần mềm độc hại giúp APT39 đánh cắp thông tin, ghi lại các phím gõ và chụp ảnh màn hình của hệ thống mục tiêu.
2. SEAWEED, CACHEMONEY: Các công cụ giúp APT39 truy cập và điều khiển hệ thống mục tiêu từ xa thông qua hệ thống C&C.
3. TONADO, ZIRCONIUM: Các phần mềm độc hại giúp APT39 đánh cắp thông tin và thực hiện các hoạt động gián điệp khác.

APT40,  APT41 – Trung Quốc

APT40 (còn được gọi là Periscope, TEMP.Periscope, TEMP.Jumper, Leviathan) – Trung Quốc: APT40 là một nhóm APT có nguồn gốc từ Trung Quốc, chủ yếu nhắm vào các tổ chức chính phủ, quốc phòng, hải quân, công nghiệp hàng hải và công nghệ thông tin, đặc biệt là tại khu vực Đông Nam Á và Hoa Kỳ. Mục tiêu của APT40 là đánh cắp thông tin nhạy cảm và bí mật liên quan đến chiến lược hàng hải, an ninh quốc gia và công nghệ mới. APT40 sử dụng nhiều kỹ thuật tấn công mạng tinh vi, bao gồm spear-phishing, malware tùy chỉnh và hệ thống C&C (Command & Control).

APT41 (còn được gọi là Barium, Winnti, Wicked Panda, Wicked Spider) – Trung Quốc: APT41 là một nhóm APT đặc biệt có nguồn gốc từ Trung Quốc, nổi bật với hoạt động kết hợp giữa tình báo nhà nước và tội phạm mạng. Họ nhắm vào các tổ chức chính phủ, quốc phòng, công nghiệp trò chơi điện tử, công nghệ thông tin, dược phẩm và viễn thông trên toàn cầu. Mục tiêu của APT41 là đánh cắp thông tin nhạy cảm, bí mật công nghệ, thông tin quân sự và thông tin về cơ sở hạ tầng quan trọng để hỗ trợ các mục tiêu chiến lược và chính sách của Trung Quốc, cũng như kiếm lợi thông qua các hoạt động tội phạm mạng.