W okresie Q4 2025 – Q1 2026 zdecydowanie wzrosła aktywność grup cyberprzestępczych, trudniących się aktywnością szpiegowską w najbardziej zapalnych punktach świata. Wojna mocarstw w sieci: chińskie i rosyjskie grupy cyberszpiegów uderzają na całym świecie – także w Polce
Cyberprzestępcy powiązani z Chinami wzięli na cel m.in. Wenezuelę. Z kolei grupy powiązane z Rosją skupiały się nie tylko na Ukrainie, ale i Polsce przeprowadzając m.in. bezprecedensowy cyberatak z użyciem destrukcyjnego oprogramowania DynoWiper wymierzony w firmę z sektora energetycznego – wynika z opublikowanego przez analityków ESET najnowszego raportu, dotyczącego aktywności grup APT.
Wenezuela, Syria, państwa Zatoki Perskiej, Ukraina, a także Polska – to główne punkty na mapie najnowszych cyberataków APT. Powiązani z największymi mocarstwami cyberprzestępcy konsekwentnie prowadzą intensywną aktywność w kluczowych geopolitycznie miejscach. Analitycy podkreślają, że działanie takich grup cyberprzestępczych jest dziś jednym z najbardziej wiarygodnych wskaźników rzeczywistych celów strategicznych i zagrożeń dla bezpieczeństwa międzynarodowego.
- Grupy APT, czyli Advanced Persistent Threat, to grupy cyberprzestępców skupiające się na zaawansowanych, długotrwałych atakach. Są zazwyczaj wspierane przez rządy i koncentrują się na ukierunkowanych działaniach pozwalających przeniknąć do systemów celów wysokiego szczebla (np. organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Grupy APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami. Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych – mówi Kamil Sadkowski, analityk bezpieczeństwa ESET.
Rosyjskie ataki na Ukrainę i Polskę
W okresie Q4 2025 – Q1 2026 grupy powiązane z Rosją koncentrowały się na Ukrainie i podmiotach wspierających jej obronność. W styczniu 2026 roku analitycy odnotowali kampanię phishingową przeprowadzoną przez grupę Sednit. Wykorzystywała ona nieujawnioną jeszcze wtedy przez Microsoft podatność (CVE-2026-21509) do infekowania systemów implantem Covenant. Oprócz ukraińskich instytucji rządowych, celem tej fali ataków stały się firmy transportowe w Polsce oraz przedsiębiorstwa logistyczne w Turcji.
W analizowanym czasie, poza Ukrainą, także Polska stała się ważnym celem prorosyjskich grup APT. Najpoważniejszym incydentem był grudniowy atak na polską firmę energetyczną, przypisywany z umiarkowaną pewnością grupie Sandworm. Cyberprzestępcy zdołali uzyskać uprawnienia administratora domeny, co pozwoliło im na instalację za pomocą polityk grupowych Active Directory nowego, złośliwego oprogramowania niszczącego dane – DynoWipera. Zadaniem tego malware było bezpowrotne nadpisywanie lub usuwanie plików z dysków stałych i przenośnych, a w konsekwencji sparaliżowanie systemów IT przedsiębiorstwa.
Analitycy ESET wskazują, że uderzenie w infrastrukturę krytyczną kraju należącego do NATO stanowi wyraźną eskalację działań. Rola Polski jako zewnętrznego filaru stabilizującego ukraińską sieć elektroenergetyczną sugeruje, że operacja miała na celu wywarcie dodatkowej presji na system energetyczny Ukrainy w okresie zimowym, gdy zapotrzebowanie na prąd jest najwyższe, a Rosja nasila tradycyjne ostrzały rakietowe.
Azjatyckie cele cyberprzestępców
W analizowanym okresie grupy powiązane z Chinami pozostały niezwykle aktywne na całym świecie. Ich kampanie szpiegowskie były bezpośrednio podyktowane geopolitycznymi interesami Pekinu – zarówno gospodarczymi, jak i związanymi z bezpieczeństwem.
Po operacji wojskowej USA w Wenezueli oraz w obliczu ciągłej niestabilności w rejonie Zatoki Perskiej, ESET odnotował wyraźną mobilizację chińskich grup. Ich celem było zwiększenie wglądu Pekinu w zagraniczne sprawy morskie, energetyczne i polityczne.
Powiązana z Chinami grupa FamousSparrow obrała za cel wenezuelską instytucję rządową odpowiedzialną za gospodarkę morską. Chodziło najpewniej o monitorowanie ciągłości dostaw ropy naftowej po amerykańskiej interwencji. W tym samym regionie ESET wykrył aktywność innej chińskiej grupy – SteppeDriver – która uderzyła w syryjską sieć rządową. Działanie to odzwierciedla komercyjne interesy Chin w projektach odbudowy Syrii oraz obawy Pekinu przed obecnością ujgurskich bojowników w tym kraju.
Z kolei grupa UNC5221 (również powiązana z Chinami) użyła szkodliwego oprogramowania SPAWN do ataków na cele rządowe w Kambodży i Panamie oraz na firmę z branży AI i robotyki w Korei Południowej. Atak na Seul wpisuje się w długofalowe zainteresowanie Chin technologiami strategicznymi, które są priorytetem krajowej polityki przemysłowej Made in China 2025.
Z kolei cyberprzestępcy z Korei Północnej działali na wielu frontach, m.in. polując na programistów i sektor kryptowalut za pomocą socjotechniki, co przynosi im szybki zysk i pozwala infekować łańcuchy dostaw oprogramowania. ESET odnotował też powrót grupy Andariel w Korei Południowej. Cyberprzestępcy użyli tam trojana TigerRAT i próbowali zainfekować oprogramowaniem ransomware Rook firmę inżynieryjną produkującą sprzęt do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej. Technologie te bezpośrednio wspierają balistyczne i nuklearne ambicje Pjongjangu.
Wpływ konfliktów zbrojnych na cyberprzestrzeń
Wojna w Iranie, która wybuchła pod koniec lutego 2026 roku, zdominowała aktywność tamtejszych grup APT. Co ciekawe, konflikt ten zbiegł się w czasie z wyraźnym spadkiem aktywności znanych irańskich grup APT w telemetrii ESET. Najpewniej stało się tak przez restrykcje internetowe nałożone przez sam irański reżim, co sparaliżowało działania lokalnych cyberprzestępców. Sytuacja ta sprzyjała jednak aktywizacji grup typu proxy oraz haktywistów uderzających w Izrael, USA i inne państwa nieprzyjazne Teheranowi.
ESET Research zaobserwował też nagły, nietypowy skok liczby ataków na Izrael, których nie udało się jednoznacznie przypisać żadnej znanej grupie. Dwa nowe klastry działań, nazwane Rusty Boots i MoKhargosh, wykazały zarówno potencjał szpiegowski, jak i niszczycielski. Zainstalowały one m.in. złośliwe oprogramowanie czyszczące dyski (wiper) typu bootkit, zachowując przy tym inne destrukcyjne narzędzia na przyszłość.
Analitycy ESET wykryli również włamanie do firmy obronnej w Zjednoczonych Emiratach Arabskich oraz kampanię szpiegowską wymierzoną w użytkowników arabskojęzycznych za pomocą malware na Androida. Ofiarami mogli paść dziennikarze lub analitycy OSINT (wywiadu ze źródeł otwartych) – nazwa kanału napastników na Telegramie nawiązywała bowiem do Liveuamap, popularnej platformy mapującej konflikty zbrojne.
—————
Więcej informacji o Raportach ESET APT, można znaleźć na stronie ESET Threat Intelligence.
Więcej szczegółów na temat opisywanych oraz innych działań grup APT, znaleźć można w raporcie: „Conflict-informed espionage: Monitoring oil shipments, targeting drone makers” na stronie WeLiveSecurity.com.
Obserwuj nas na Google News
Zobacz również:
- Test soundcore Boom 2 Plus: Czy 140 W basu potrafi przepędzić komary i rozkręcić grilla u teściów?
- 15,6 CALA SZOKU! 🤯 Ten tablet zastępuje monitor, telewizor i laptop? | MESWAO B3 Pro
- Test ZTE G50 5G: Wywiozłem potwora z Wi-Fi 7 na działkę. Czy robot koszący dostał turbodoładowania?
Informacja prasowa: ESET
Zdjęcia: ESET
