Επιμέλεια & ανάλυση: Audax Adversary Intelligence Team · 10 Ιουνίου 2026

Η Audax διατηρεί μία ανοιχτή, ελληνόγλωσση Βιβλιοθήκη Threat Actors με 177 προφίλ αντιπάλων, χαρτογραφημένα στο πλαίσιο MITRE ATT&CK. Για πρώτη φορά, παρουσιάζουμε μια συγκεντρωτική ανάλυση αυτού του συνόλου δεδομένων, με στόχο να δώσουμε σε CISOs, CIOs και ομάδες συμμόρφωσης στην Ελλάδα και την ΕΕ μια τεκμηριωμένη εικόνα του τοπίου απειλών — και να συνδέσουμε τα ευρήματα με τις υποχρεώσεις NIS2 και DORA.

Τα βασικά μεγέθη

  • 177 παρακολουθούμενοι αντίπαλοι · 175 αντιστοιχισμένοι σε ομάδα MITRE ATT&CK (G-ID).
  • 15 χώρες προέλευσης· 65 αντίπαλοι παραμένουν unattributed.
  • 18 στοχευόμενοι κλάδοι · 5.097 αναφερόμενα CVEs (εκ των οποίων 799 κρίσιμα).
  • 531 διακριτές οικογένειες malware / εργαλείων.
  • 48 αντίπαλοι αναφέρουν ρητά στόχευση ή δραστηριότητα στην Ευρώπη / ΕΕ / Βαλκάνια / NATO.

Από πού προέρχονται οι αντίπαλοι

Από τους αποδιδόμενους actors, κυριαρχούν τέσσερα κρατικά οικοσυστήματα: Κίνα (50), Ιράν (19), Ρωσία (18) και Βόρεια Κορέα (8). Η κατανομή ανά τύπο δείχνει 135 APT ομάδες, 21 ransomware και 21 cybercrime οργανώσεις. Αξίζει να σημειωθεί ότι το ρωσικό οικοσύστημα είναι το μόνο που συνδυάζει εκτεταμένη κρατική κατασκοπεία (APT) με σημαντική ransomware δραστηριότητα — ένα μοτίβο ιδιαίτερα σχετικό για τον ελληνικό χρηματοπιστωτικό και ενεργειακό τομέα.

Αντίπαλοι ανά χώρα προέλευσηςAudax Threat Actors Library · 177 προφίλ · κορυφαία οικοσυστήματα + μη αποδιδόμενοιΆγνωστη απόδοση65Κίνα50Ιράν19Ρωσία18Βόρεια Κορέα8Πηγή: Audax Adversary Intelligence Team — audax.gr/apt-intelligence65 αντίπαλοι παραμένουν χωρίς δημόσια απόδοση (unattributed). Κίνα, Ιράν, Ρωσία & Β. Κορέα συγκεντρώνουν τους αποδιδόμενους.

Τι κινητοποιεί τις επιθέσεις

Η κατασκοπεία παραμένει το κυρίαρχο κίνητρο (131 αντίπαλοι), ακολουθούμενη από το οικονομικό όφελος (55). Η δολιοφθορά / διαταραχή λειτουργίας (13) και ο hacktivism / ιδεολογικά κίνητρα (8) είναι μικρότερες αλλά υψηλού αντίκτυπου κατηγορίες — ιδίως για κρίσιμες υποδομές και δημόσιους οργανισμούς.

Κίνητρα επιθέσεωνAudax Threat Actors Library · 177 προφίλ · αναφορές κινήτρων (ένας αντίπαλος μπορεί να έχει >1)Κατασκοπεία131 · 63%Οικονομικό όφελος55 · 27%Δολιοφθορά / διαταραχή13 · 6%Hacktivism8 · 4%207αναφορές κινήτρωνΠηγή: Audax Adversary Intelligence Team — audax.gr/apt-intelligenceΗ κατασκοπεία κυριαρχεί, αλλά δολιοφθορά & hacktivism είναι μικρές αλλά υψηλού αντικτύπου κατηγορίες για κρίσιμες υποδομές.

Ποιοι κλάδοι δέχονται τη μεγαλύτερη πίεση

Οι πιο στοχευόμενοι κλάδοι στη βιβλιοθήκη είναι: Κυβέρνηση / Δημόσιος τομέας (92), Άμυνα (43), Χρηματοοικονομικά (39), Τεχνολογία (38), και σε σταθερά υψηλά επίπεδα Υγεία, Εκπαίδευση, Ενέργεια, Τηλεπικοινωνίες και Βιομηχανία (24–27 ο καθένας). Το κρίσιμο εύρημα για την Ελλάδα: σχεδόν κάθε κλάδος που η Οδηγία NIS2 χαρακτηρίζει «κρίσιμο» ή «σημαντικό» βρίσκεται στο στόχαστρο πολλαπλών κρατικών και εγκληματικών ομάδων ταυτόχρονα.

Στοχευόμενοι κλάδοι vs NIS2/DORA scopeAudax Threat Actors Library · 177 προφίλ · πλήθος αντιπάλων ανά κλάδο-στόχοΚυβέρνηση / Δημόσιος92NIS2/DORAΆμυνα43Χρηματοοικονομικά39NIS2/DORAΤεχνολογία38NIS2/DORAΕνέργεια27NIS2/DORAΥγεία26NIS2/DORAΤηλεπικοινωνίες25NIS2/DORAΕκπαίδευση24Βιομηχανία24NIS2/DORAΠηγή: Audax Adversary Intelligence Team — audax.gr/apt-intelligenceΣχεδόν κάθε «κρίσιμος/σημαντικός» κλάδος της NIS2 (και ο χρηματοπιστωτικός του DORA) δέχεται ταυτόχρονη πίεση πολλαπλών ομάδων.

Στοχευόμενοι κλάδοι ανά χώρα προέλευσης αντιπάλου Audax Threat Actors Library · 177 adversary profiles · MITRE ATT&CK-aligned China Iran Russia North Korea Lebanon Pakistan Κυβέρνηση 31 9 11 4 2 3 Άμυνα 17 5 4 2 2 1 Χρηματοοικονομικά 10 2 3 6 Τεχνολογία 19 3 1 2 1 Επιχειρηματικές υπηρεσίες 3 4 2 2 1 Υγεία 11 3 4 Εκπαίδευση 9 3 4 1 1 Ενέργεια 5 8 4 1 Τηλεπικοινωνίες 11 4 1 Βιομηχανία 9 4 1 1 Πηγή: Audax Adversary Intelligence Team — audax.gr/apt-intelligence Οι τιμές αφορούν πλήθος αντιπάλων στη βιβλιοθήκη ανά κλάδο-στόχο και χώρα προέλευσης.
Πηγή δεδομένων: Audax Threat Actors Library
— ανάλυση: Audax Adversary Intelligence Team.

Πώς επιτίθενται: εργαλεία και τεχνικές

Η ανάλυση των εργαλείων αναδεικνύει μια αλήθεια που συχνά παραβλέπεται: οι αντίπαλοι βασίζονται κυρίως σε γνωστά, εμπορικά ή «living-off-the-land» εργαλεία, όχι σε εξωτικό malware. Τα συχνότερα: Mimikatz (47), PsExec (33), Net (29), Cobalt Strike (25), Impacket (16), Empire (15), PlugX (14), certutil (13). Αυτό σημαίνει ότι η ανίχνευση δεν είναι ζήτημα «νέων υπογραφών» — είναι ζήτημα επικύρωσης ότι το SOC, το SIEM και το EDR σας πιάνουν συμπεριφορές που χρησιμοποιούνται από δεκάδες ομάδες ταυτόχρονα.

Top malware & εργαλεία αντιπάλωνAudax Threat Actors Library · 177 προφίλ · πλήθος αντιπάλων που χρησιμοποιούν κάθε εργαλείοMimikatz47PsExec33Net29Cobalt Strike25Impacket16Empire15PlugX14certutil13Πηγή: Audax Adversary Intelligence Team — audax.gr/apt-intelligenceΚυριαρχούν “living-off-the-land” & εμπορικά εργαλεία — η ανίχνευση είναι ζήτημα επικύρωσης συμπεριφορών, όχι νέων υπογραφών.

Η σύνδεση με NIS2 και DORA

Τόσο η NIS2 όσο και ο DORA μετατοπίζουν τη συμμόρφωση από τη «δήλωση πολιτικών» στην απόδειξη ανθεκτικότητας: threat-led testing, διαχείριση ευπαθειών, ικανότητα ανίχνευσης και απόκρισης. Τα δεδομένα μας δείχνουν γιατί αυτό έχει σημασία:

  • 48 αντίπαλοι αναφέρουν ρητά ευρωπαϊκή στόχευση — η «γεωγραφική απόσταση» δεν είναι άμυνα.
  • Οι κλάδοι-στόχοι ταυτίζονται σχεδόν απόλυτα με τις οντότητες που καλύπτει η NIS2 (ενέργεια, υγεία, μεταφορές, δημόσιος τομέας, ψηφιακή υποδομή) και ο DORA (χρηματοπιστωτικός τομέας).
  • Με 799 κρίσιμα CVEs να αναφέρονται σε ενεργές καμπάνιες, η διαχείριση ευπαθειών δεν είναι «best practice» αλλά κανονιστική απαίτηση.

Τι σημαίνει πρακτικά για έναν ελληνικό οργανισμό

Η ουσιαστική ερώτηση δεν είναι «ποιος μας απειλεί» αλλά «αν ένας από αυτούς τους αντιπάλους μας στόχευε αύριο, θα τον βλέπαμε;». Η μεθοδολογία της Audax μετατρέπει κάθε προφίλ της βιβλιοθήκης σε ελεγχόμενο σενάριο επίθεσης (adversary simulation / purple teaming), προσαρμοσμένο στην υποδομή σας, ώστε να αποδειχθεί τι ανιχνεύεται και τι περνά απαρατήρητο — με τεχνική τεκμηρίωση, όχι θεωρητική υπόσχεση.

Ενδεικτικά αναλυτικά προφίλ από τη βιβλιοθήκη

Μεθοδολογία & διαφάνεια

Τα στοιχεία προέρχονται από τη δημόσια Βιβλιοθήκη Threat Actors της Audax (177 προφίλ), η οποία συγκεντρώνει δημόσια διαθέσιμες πληροφορίες threat intelligence και τις αντιστοιχίζει στο MITRE ATT&CK. Τα μεγέθη είναι εσωτερικά της βιβλιοθήκης και αποτυπώνουν την κάλυψή της — δεν αποτελούν ισχυρισμό για το σύνολο των απειλών παγκοσμίως. Η ανάλυση συντάχθηκε από την Audax Adversary Intelligence Team.

Δικαίωμα αναδημοσίευσης: Τα γραφήματα και τα στοιχεία μπορούν να αναπαραχθούν ελεύθερα με αναφορά πηγής και σύνδεσμο προς audax.gr/apt-intelligence.