Współczesny krajobraz cyberbezpieczeństwa charakteryzuje się coraz większą złożonością, skalą i intensywnością. Jedną z najbardziej zaawansowanych oraz niebezpiecznych form zagrożeń są ataki przeprowadzane przez grupy typu APT (Advanced Persistent Threat). Są to zorganizowane, często sponsorowane przez państwa zespoły cyberprzestępcze o długofalowych i ukierunkowanych działaniach, skupiających się na szpiegostwie, sabotażu, destabilizacji infrastruktury krytycznej, wykradaniu danych czy dezinformacji. APT coraz częściej stanowią integralny element wojny hybrydowej.
Opublikowany przez ESET raport analizujący okres od października 2024 do marca 2025 r. przedstawia aktualne trendy w działalności grup APT, ze szczególnym uwzględnieniem kontekstu geopolitycznego oraz rosnącej agresji podmiotów działających z upoważnieniem państw stawiających na konflikty w cyberprzestrzeni. Dane zawarte w raporcie wskazują nie tylko na wzrost liczby ataków, ale też na większą ich skuteczność oraz ukierunkowanie na infrastrukturę krytyczną, sektor finansowy i instytucje rządowe. Szczególną uwagę zwraca fakt, że ataki prowadzone są w sposób przemyślany i wieloetapowy, często z wykorzystaniem łańcuchów dostaw, ataków socjotechnicznych i złośliwego oprogramowania typu wiper.
Chiny: globalna ekspansja i wyrafinowane szpiegostwo
Największą aktywność wykazują grupy powiązane z Chińską Republiką Ludową, które odpowiadają za ponad 40% globalnych incydentów typu APT.
Jedną z najbardziej agresywnych formacji pozostaje Mustang Panda, która kontynuowała kampanie szpiegowskie przeciwko instytucjom rządowym i organizacjom międzynarodowym, w tym z Unii Europejskiej. Stosowane przez nią techniki obejmują fałszywe wiadomości e-mail zawierające pliki zainfekowane różnymi wariantami malware’u Korplug, napisanymi m.in. w Go, Delphi i Nim.
Inne chińskie grupy, jak DigitalRecyclers, PerplexedGoblin i Worok, udoskonalają swoje techniki operacyjne, implementując rozproszone struktury C2, mechanizmy szyfrowania komunikacji, a także backdoory nowej generacji takie jak HydroRShell, NanoSlate czy XMLDoor. Część operacji jest prowadzona z użyciem platform chmurowych takich jak Dropbox, co utrudnia ich wykrycie.
Rosja: sabotaż, destabilizacja, propaganda
Z kolei rosyjskie grupy APT odpowiadają za 25,7% zaobserwowanych incydentów i coraz częściej koncentrują się na działaniach destrukcyjnych, wymierzonych w infrastrukturę energetyczną, systemy logistyczne oraz instytucje polityczne w Ukrainie i państwach NATO.
Grupa Sednit zintensyfikowała wykorzystanie ataków XSS przeciwko webmailom, a RomCom wykorzystywał exploity typu zero-day (m.in. CVE-2024-9680 i CVE-2024-49039) w przeglądarkach i systemach operacyjnych, infekując użytkowników bez potrzeby interakcji. Gamaredon, znany z brutalnych metod operacyjnych, wdrożył nowe narzędzia takie jak PteroBox – platformę umożliwiającą wykradanie danych i przesyłanie ich do chmury.
Najbardziej niepokojącą działalność przejawia grupa Sandworm, której działania w sektorze energetycznym Ukrainy obejmują użycie zaawansowanego malware’u wiper ZEROLOT. Złośliwe oprogramowanie rozprzestrzenia się za pomocą Active Directory i polityk GPO, co czyni je niezwykle trudnym do powstrzymania.
Korea Północna: pieniądze i przetrwanie
Grupy powiązane z Koreą Północną, takie jak DeceptiveDevelopment czy TraderTraitor, koncentrują się przede wszystkim na działaniach przynoszących korzyści finansowe. Wykorzystują one inżynierię społeczną – często w postaci ofert pracy skierowanych do programistów – by infekować systemy i kraść dane logowania do platform kryptowalutowych.
Atak na giełdę Bybit, w wyniku którego skradziono środki o wartości 1,5 mld USD, był klasycznym przypadkiem skutecznego ataku typu supply chain. DeceptiveDevelopment posługuje się też złośliwym oprogramowaniem typu WeaselStore, służącym do infekcji i późniejszego wyprowadzania środków z portfeli cyfrowych.
Iran: wojna informacyjna i destrukcja
Irańskie ugrupowania APT, odpowiadające za 9,1% globalnych incydentów, coraz częściej łączą klasyczne techniki cyberszpiegostwa z atakami sabotażowymi oraz propagandowymi.
Grupa MuddyWater wykorzystuje popularne oprogramowanie zdalnego zarządzania (RMM), by infekować systemy ofiar – często stając się pośrednikiem dostępu dla innych, bardziej destrukcyjnych grup. Współpracując z formacją Lyceum, przeprowadziła złożoną kampanię w Izraelu, a atak CyberToufan z użyciem oprogramowania typu wiper objął aż 50 organizacji.
Charakterystyczne dla tej akcji było wykorzystanie danych nawiązujących do ataku Hamasu z 7 października 2023 roku oraz ich połączenie z materiałami wizualnymi zmieniającymi pulpity ofiar – co świadczy o głęboko przemyślanej kampanii psychologicznej.
Trzy najbardziej spektakularne ataki APT ostatnich lat
Oprócz bieżących zagrożeń, warto przyjrzeć się najbardziej spektakularnym atakom APT z ostatnich pięciu lat, które zdefiniowały krajobraz cyberbezpieczeństwa i pokazały rosnącą złożoność oraz potencjał destrukcyjny tych grup.
Hafnium / Microsoft Exchange Server Exploits (marzec 2021)
Grupa Hafnium, którą Microsoft powiązał z Chinami, wykorzystała szereg luk zero-day w serwerach Microsoft Exchange. Luki te pozwoliły napastnikom na dostęp do serwerów pocztowych i kradzież danych z tysięcy organizacji na całym świecie. Atak ten był szczególnie niebezpieczny ze względu na jego szeroki zasięg i fakt, że wiele organizacji nie zaktualizowało swoich serwerów na czas, co uczyniło je łatwym celem.
Incydent ten podkreślił znaczenie szybkiego łatania luk w zabezpieczeniach i uwrażliwił firmy na zagrożenia związane z oprogramowaniem on-premise. Skala eksploitacji i szybkość, z jaką Hafnium wykorzystało te luki, uczyniły ten atak jednym z najbardziej pamiętnych w ostatnich latach.
Atak na Colonial Pipeline (maj 2021)
Chociaż formalnie przypisywany grupie ransomware DarkSide, z późniejszymi powiązaniami z Rosją, atak na Colonial Pipeline w Stanach Zjednoczonych był jednym z najbardziej widocznych incydentów, które pokazały realne konsekwencje cyberataków na infrastrukturę krytyczną. Atak doprowadził do tymczasowego zamknięcia największego rurociągu paliwowego w USA, wywołując panikę i niedobory paliwa na wschodnim wybrzeżu.
Pokazało to, jak nawet ataki ransomware, jeśli są odpowiednio ukierunkowane, mogą mieć strategiczne i gospodarcze implikacje na skalę narodową, często z ukrytymi powiązaniami z aktorami państwowymi, którzy mogą wykorzystywać grupy przestępcze do swoich celów.
SolarWinds Supply Chain Attack (grudzień 2020)
Ten atak, przypisywany rosyjskiej grupie APT29 (Cozy Bear), był jednym z najbardziej wyrafinowanych i dalekosiężnych incydentów w historii cyberbezpieczeństwa. Hakerzy wstrzyknęli złośliwy kod do aktualizacji oprogramowania Orion firmy SolarWinds, dostawcy rozwiązań IT dla tysięcy organizacji na całym świecie, w tym agencji rządowych USA i firm z listy Fortune 500. Dzięki temu uzyskali dostęp do sieci setek ofiar, co pozwoliło im na prowadzenie szeroko zakrojonego szpiegostwa.
Skala i zakres tego ataku, obejmujący łańcuch dostaw oprogramowania, uwidoczniły nowe, trudne do wykrycia wektory ataków i zmusiły organizacje do przemyślenia swoich strategii bezpieczeństwa.
Predatory Sparrow: cybernetyczna dywersja na Bliskim Wschodzie
Grupa Predatory Sparrow, znana również jako Gonjeshke Darande (w języku perskim), to pro-izraelska grupa hakerska, która w ostatnich dniach przeprowadziła serię głośnych cyberataków na cele w Iranie. Ich działania są wyraźnym przykładem eskalacji konfliktu cybernetycznego w regionie, ściśle powiązanego z bieżącymi napięciami militarnymi między Izraelem a Iranem.
Atak na Bank Sepah (17 czerwca)
Według doniesień z 17 czerwca, Predatory Sparrow wzięło odpowiedzialność za cyberatak na irański państwowy Bank Sepah. Grupa twierdzi, że zhakowała bank, ponieważ oskarża go o finansowanie irańskiego wojska. W wyniku ataku strona internetowa banku była niedostępna, a klienci zgłaszali problemy z dostępem do swoich kont.
Rob Joyce, były wysoki urzędnik ds. cyberbezpieczeństwa w NSA, podkreślił, że zakłócenie dostępności funduszy tego banku lub wywołanie szerszego załamania zaufania do irańskich banków mogłoby mieć poważne konsekwencje dla Iranu. Chociaż Reuters nie mógł natychmiast zweryfikować ataku na Bank Sepah, incydent ten wpisuje się w historię działań Predatory Sparrow, które już wcześniej celowały w irańskie organizacje.
Atak na giełdę kryptowalut Nobitex (18 czerwca)
Dzień później, 18 czerwca, Predatory Sparrow oświadczyło, że przeprowadziło cyberatak na irańską giełdę kryptowalut Nobitex. Według grupy, celem ataku było ukaranie Nobitex za rzekome finansowanie terroryzmu na rzecz irańskiego reżimu i unikanie międzynarodowych sankcji.
Nobitex potwierdził incydent, informując o „anomalii technicznej” i tymczasowej niedostępności swojej strony internetowej i aplikacji. Publiczne rejestry wskazują, że hakerzy ukradli co najmniej 90 milionów dolarów aktywów firmy w wielu transakcjach. Co więcej, firma analityczna Elliptic, zajmująca się blockchainem, podała, że hakerzy „spalili” skradzione fundusze, wysyłając kryptowaluty do niedostępnych portfeli, skutecznie wycofując pieniądze z obiegu.
Nobitex, z ponad 10 milionami klientów, stanowił znaczący cel, a atak podkreśla rosnące zaangażowanie grup hakerskich w destabilizację gospodarki przeciwnika poprzez ataki na instytucje finansowe.
Wnioski i implikacje
Zarówno dane z raportu ESET, jak i opisane powyżej incydenty wskazują jednoznacznie: cyberprzestrzeń stała się pełnoprawnym obszarem prowadzenia działań ofensywnych i defensywnych w wymiarze strategicznym. Grupy APT nie tylko kradną dane czy szpiegują, ale też niszczą zasoby, manipulują opinią publiczną i destabilizują całe sektory gospodarki. Co więcej, ich działania coraz częściej są prowadzone w czasie rzeczywistym z pełnym wsparciem logistycznym państw narodowych.
Dla instytucji publicznych, firm i obywateli oznacza to konieczność wdrożenia nowych standardów bezpieczeństwa – opartych nie tylko na technologii, ale również na świadomości zagrożeń, szybkiej reakcji i współpracy międzynarodowej. Przyszłość cyberbezpieczeństwa zależy dziś nie tylko od firewalla i antywirusa, ale przede wszystkim od strategicznego podejścia, odporności organizacyjnej i konsekwentnego budowania kompetencji w zakresie cyberochrony.
Komentarz eksperta – Kamil Sadkowski, analityk laboratorium antywirusowego ESET
Trwające konflikty zbrojne w różnych częściach świata przyjmują postać hybrydową – tradycyjne działania zbrojne łączą się z działaniami w przestrzeni cyfrowej, np. w postaci aktywności cyberszpiegowskich grup APT. Są to wyspecjalizowane jednostki, często powiązane z rządami lub organizacjami rządowymi, wykorzystujące swoją profesjonalizację do precyzyjnych ataków na infrastrukturę krytyczną lub obywateli danych krajów, destabilizując ich codzienne funkcjonowanie. Działania grup APT wielokrotnie stanowią ważną część już dziejących się realnych działań wojennych.
Aktywne działania grup APT w ostatnim półroczu (październik ’24-marzec ’25) pokrywają się z działaniami zbrojnymi w poszczególnych rejonach świata lub generowanymi przez dane rządy napięciami. Tak jest właśnie w przypadku trwającego konfliktu Iran – Izrael. Aktywność irańskich grup APT stanowi już ponad 9% aktywności wszystkich tego typu grup na świecie, zajmując wysokie miejsce za Chinami (odpowiadają za 40,1% działań), Rosją (25,7%) czy Koreą Północną (14,4%).
Aktywność grup APT powiązanych z Iranem w ostatnim półroczu nabrała zarówno rozmachu, jak i taktycznej różnorodności. Choć klasyczne operacje szpiegowskie nadal dominują, analitycy ESET zaobserwowali coraz śmielsze przechodzenie w stronę szerokich działań destrukcyjnych. Wśród głównych celów irańskich grup APT wymienia się przemysł, transport, usługi finansowe, organizacje rządowe i edukację.
Tu na pierwszy plan wysuwa się przypadek grupy CyberToufan, która przeprowadziła spektakularny atak destrukcyjny z podłożem ideologicznym. W styczniu 2025 roku grupa CyberToufan zainfekowała 50 izraelskich organizacji oprogramowaniem niszczącym dane, które błyskawicznie usuwało pliki z zainfekowanych systemów, stanowiąc działanie destabilizujące. Choć technicznie prosty, atak wyróżniał się poprzez symboliczne osadzenie w kontekście konfliktu izraelsko-palestyńskiego. Jako klucz deszyfrujący użyto dokładnej daty i godziny ataku Hamasu z 7 października 2023 r. Dodatkowo, malware zmieniał tło pulpitu ofiar na obraz propagandowy związany z Palestyną, co jednoznacznie wskazuje na polityczny i psychologiczny wymiar ataku. W tym przypadku nie chodziło o wykradanie danych — celem było maksymalne zniszczenie i zastraszenie.
To jeden z pierwszych tak jawnych przypadków, w których operacja cybernetyczna powiązana z Iranem w sposób niemal manifestacyjny łączy taktykę z przekazem ideologicznym. Jest to istotny sygnał dla sektora bezpieczeństwa: granica między klasyczną cyberwojną a operacjami informacyjno-psychologicznymi w regionie Bliskiego Wschodu nabrała rozpędu. Spodziewamy się, że aktywność w cyberprzestrzeni ze strony zaangażowanych w konflikt stron będzie się nasilać, stanowiąc ważną odnogę prowadzonych działań wojennych.
źródła: informacja prasowa, raport ESET, cnbc.com, news.bitcoin.com, techcrunch.com
Dodaj komentarz