Wojna mocarstw w sieci: chińskie i rosyjskie grupy cyberszpiegów uderzają na całym świecie – także w Polce

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

W okresie Q4 2025 – Q1 2026 zdecydowanie wzrosła aktywność grup cyberprzestępczych, trudniących się aktywnością szpiegowską w najbardziej zapalnych punktach świata. Cyberprzestępcy powiązani z Chinami wzięli na cel m.in. Wenezuelę. Z kolei grupy powiązane z Rosją skupiały się nie tylko na Ukrainie, ale i Polsce przeprowadzając m.in. bezprecedensowy cyberatak z użyciem destrukcyjnego oprogramowania DynoWiper wymierzony w firmę z sektora energetycznego wynika z opublikowanego przez analityków ESET najnowszego raportu, dotyczącego aktywności grup APT.

Wenezuela, Syria, państwa Zatoki Perskiej, Ukraina, a także Polska – to główne punkty na mapie najnowszych cyberataków APT. Powiązani z największymi mocarstwami cyberprzestępcy konsekwentnie prowadzą intensywną aktywność w kluczowych geopolitycznie miejscach. Analitycy podkreślają, że działanie takich grup cyberprzestępczych jest dziś jednym z najbardziej wiarygodnych wskaźników rzeczywistych celów strategicznych i zagrożeń dla bezpieczeństwa międzynarodowego.

Grupy APT, czyli Advanced Persistent Threat, to grupy cyberprzestępców skupiające się na zaawansowanych, długotrwałych atakach. Są zazwyczaj wspierane przez rządy i koncentrują się na ukierunkowanych działaniach pozwalających przeniknąć do systemów celów wysokiego szczebla (np. organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Grupy APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami. Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych – mówi Kamil Sadkowski, analityk bezpieczeństwa ESET.

Rosyjskie ataki na Ukrainę i Polskę

W okresie Q4 2025 – Q1 2026 grupy powiązane z Rosją koncentrowały się na Ukrainie i podmiotach wspierających jej obronność. W styczniu 2026 roku analitycy odnotowali kampanię phishingową przeprowadzoną przez grupę Sednit. Wykorzystywała ona nieujawnioną jeszcze wtedy przez Microsoft podatność (CVE-2026-21509) do infekowania systemów implantem Covenant. Oprócz ukraińskich instytucji rządowych, celem tej fali ataków stały się firmy transportowe w Polsce oraz przedsiębiorstwa logistyczne w Turcji.

W analizowanym czasie, poza Ukrainą, także Polska stała się ważnym celem prorosyjskich grup APT. Najpoważniejszym incydentem był grudniowy atak na polską firmę energetyczną, przypisywany z umiarkowaną pewnością grupie Sandworm. Cyberprzestępcy zdołali uzyskać uprawnienia administratora domeny, co pozwoliło im na instalację za pomocą polityk grupowych Active Directory nowego, złośliwego oprogramowania niszczącego dane – DynoWipera. Zadaniem tego malware było bezpowrotne nadpisywanie lub usuwanie plików z dysków stałych i przenośnych, a w konsekwencji sparaliżowanie systemów IT przedsiębiorstwa.

Analitycy ESET wskazują, że uderzenie w infrastrukturę krytyczną kraju należącego do NATO stanowi wyraźną eskalację działań. Rola Polski jako zewnętrznego filaru stabilizującego ukraińską sieć elektroenergetyczną sugeruje, że operacja miała na celu wywarcie dodatkowej presji na system energetyczny Ukrainy w okresie zimowym, gdy zapotrzebowanie na prąd jest najwyższe, a Rosja nasila tradycyjne ostrzały rakietowe.

Azjatyckie cele cyberprzestępców

W analizowanym okresie grupy powiązane z Chinami pozostały niezwykle aktywne na całym świecie. Ich kampanie szpiegowskie były bezpośrednio podyktowane geopolitycznymi interesami Pekinu – zarówno gospodarczymi, jak i związanymi z bezpieczeństwem.

Po operacji wojskowej USA w Wenezueli oraz w obliczu ciągłej niestabilności w rejonie Zatoki Perskiej, ESET odnotował wyraźną mobilizację chińskich grup. Ich celem było zwiększenie wglądu Pekinu w zagraniczne sprawy morskie, energetyczne i polityczne.

Powiązana z Chinami grupa FamousSparrow obrała za cel wenezuelską instytucję rządową odpowiedzialną za gospodarkę morską. Chodziło najpewniej o monitorowanie ciągłości dostaw ropy naftowej po amerykańskiej interwencji. W tym samym regionie ESET wykrył aktywność innej chińskiej grupy – SteppeDriver – która uderzyła w syryjską sieć rządową. Działanie to odzwierciedla komercyjne interesy Chin w projektach odbudowy Syrii oraz obawy Pekinu przed obecnością ujgurskich bojowników w tym kraju.

Z kolei grupa UNC5221 (również powiązana z Chinami) użyła szkodliwego oprogramowania SPAWN do ataków na cele rządowe w Kambodży i Panamie oraz na firmę z branży AI i robotyki w Korei Południowej. Atak na Seul wpisuje się w długofalowe zainteresowanie Chin technologiami strategicznymi, które są priorytetem krajowej polityki przemysłowej Made in China 2025.

Z kolei cyberprzestępcy z Korei Północnej działali na wielu frontach, m.in. polując na programistów i sektor kryptowalut za pomocą socjotechniki, co przynosi im szybki zysk i pozwala infekować łańcuchy dostaw oprogramowania. ESET odnotował też powrót grupy Andariel w Korei Południowej. Cyberprzestępcy użyli tam trojana TigerRAT i próbowali zainfekować oprogramowaniem ransomware Rook firmę inżynieryjną produkującą sprzęt do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej. Technologie te bezpośrednio wspierają balistyczne i nuklearne ambicje Pjongjangu.

Wpływ konfliktów zbrojnych na cyberprzestrzeń

Wojna w Iranie, która wybuchła pod koniec lutego 2026 roku, zdominowała aktywność tamtejszych grup APT. Co ciekawe, konflikt ten zbiegł się w czasie z wyraźnym spadkiem aktywności znanych irańskich grup APT w telemetrii ESET. Najpewniej stało się tak przez restrykcje internetowe nałożone przez sam irański reżim, co sparaliżowało działania lokalnych cyberprzestępców. Sytuacja ta sprzyjała jednak aktywizacji grup typu proxy oraz haktywistów uderzających w Izrael, USA i inne państwa nieprzyjazne Teheranowi.

ESET Research zaobserwował też nagły, nietypowy skok liczby ataków na Izrael, których nie udało się jednoznacznie przypisać żadnej znanej grupie. Dwa nowe klastry działań, nazwane Rusty Boots i MoKhargosh, wykazały zarówno potencjał szpiegowski, jak i niszczycielski. Zainstalowały one m.in. złośliwe oprogramowanie czyszczące dyski (wiper) typu bootkit, zachowując przy tym inne destrukcyjne narzędzia na przyszłość.

Analitycy ESET wykryli również włamanie do firmy obronnej w Zjednoczonych Emiratach Arabskich oraz kampanię szpiegowską wymierzoną w użytkowników arabskojęzycznych za pomocą malware na Androida. Ofiarami mogli paść dziennikarze lub analitycy OSINT (wywiadu ze źródeł otwartych) – nazwa kanału napastników na Telegramie nawiązywała bowiem do Liveuamap, popularnej platformy mapującej konflikty zbrojne.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...

Brexit – tracą wszyscy poza Polską (no i Irlandią) – 10 lat po Brexicie

Szacujemy wymierne straty we wzroście brytyjskiego PKB z tytułu...
Wiadomości

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...

Google: Polska potrzebuje odpornej architektury cyfrowej dla obronności

Spośród wszystkich członków NATO to Polska w 2025 roku...
Coś dla Ciebie

Wybrane kategorie