Wraz z narastaniem napięć na Bliskim Wschodzie rośnie ryzyko cybernetyczne. Z najnowszej analizy firmy Check Point Research wynika, że już 1 marca 2026 r. (dzień po rozpoczęciu wojny na Bliskim Wschodzie) zaobserwowano serię ataków hakerskich wymierzonych w firmy z Kataru. Eksperci wskazują, że za częścią działań stoją przestępcy związani z chińską grupą APT.
Według raportu jedna z kampanii została powiązana z grupą Camaro Dragon. Napastnicy mieli próbować wdrożyć wariant złośliwego oprogramowania PlugX przeciwko katarskim celom w bardzo krótkim czasie od rozpoczęcia regionalnej eskalacji. To istotny sygnał geopolityczny pokazujący, że operacje cyberwywiadowcze są dziś zsynchronizowane z wydarzeniami polityczno-wojskowymi niemal w czasie rzeczywistym, a duże kryzysy natychmiast stają się paliwem dla działań szpiegowskich.
Szczególnie wymowne jest to, jak przygotowano przynęty. W jednym z opisanych ataków ofiara otrzymywała archiwum podszywające się pod zdjęcia rzekomych ataków na amerykańskie bazy w Bahrajnie. Po uruchomieniu pliku rozpoczynał się wieloetapowy proces infekcji, który ostatecznie prowadził do wdrożenia backdoora PlugX z użyciem techniki DLL hijacking i legalnego pliku Baidu NetDisk. Sam PlugX to znane od lat narzędzie kojarzone z chińskojęzycznymi operacjami cyberwywiadowczymi, umożliwiające m.in. zdalny dostęp, kradzież plików, przechwytywanie ekranu, logowanie klawiszy i wykonywanie poleceń na zainfekowanym systemie.
Check Point zwraca uwagę, że ten sam wektor ataku był widoczny już wcześniej, pod koniec grudnia, w operacjach wymierzonych w tureckie cele wojskowe. To sugeruje, że nie chodzi o jednorazowy incydent, lecz o szersze, konsekwentne zainteresowanie regionem przez powiązane z Chinami grupy APT. Cyberprzestrzeń staje się zatem narzędziem elastycznego zbierania danych wywiadowczych tam, gdzie układ sił szybko się zmienia, a znaczenie państw pośredniczących, takich jak Katar, rośnie.
W drugiej kampanii opisanej przez badaczy wykorzystano archiwum o nazwie sugerującej uderzenie w infrastrukturę naftową i gazową Zatoki Perskiej. Tym razem przynęta miała imitować komunikację związaną z izraelskim rządem i wykorzystywała niskiej jakości materiały wygenerowane przez AI. Ładunkiem końcowym był Cobalt Strike, czyli framework powszechnie używany legalnie do testów penetracyjnych, ale regularnie wykorzystywany także przez grupy ofensywne do szybkiego rozpoznania środowiska ofiary i przygotowania dalszej infiltracji.
Eksperci oceniają – choć z niskim poziomem pewności – że druga operacja również była powiązana z Państwem Środka. Mają na to wskazywać m.in. zastosowane techniki DLL hijacking, wykorzystanie komponentów NVDA, charakter infrastruktury C2 oraz wzorce znane z wcześniejszych kampanii przypisywanych podmiotom związanym z Chinami.
Najważniejszy wniosek z raportu dotyczy jednak nie samych narzędzi, ale wyboru celu. Katar od lat pozostaje państwem o wyjątkowej pozycji: łączy znaczenie energetyczne, wpływy dyplomatyczne, relacje z Zachodem i własną rolę mediacyjną w regionie. Check Point ocenia, że niemal natychmiastowe skierowanie uwagi na Katar może odzwierciedlać zarówno doraźną potrzebę zbierania danych o skutkach kryzysu, jak i szersze przesunięcie priorytetów wywiadowczych wobec państwa znajdującego się na styku konkurujących ze sobą interesów regionalnych i globalnych.
