Nowa chińska grupa cyberwywiadowcza przeniknęła do infrastruktury krytycznej w Polsce i w kilku krajach Azji. Eksperci ostrzegają, że prawdziwe zagrożenie może dopiero nadejść – w sieciach mogą już działać „uśpione” mechanizmy ataku.
W polskich i azjatyckich sieciach infrastruktury krytycznej wykryto nową, powiązaną z Chinami grupę cyberwywiadowczą, która od miesięcy działała praktycznie niezauważona. Eksperci alarmują, że zagrożenie może być znacznie poważniejsze niż klasyczne cyberataki. Chodzi w nim nie tylko o szpiegostwo, ale o potencjalne przygotowanie do sabotażu.
Operacja trwała miesiącami – ofiarą także Polska
Z ustaleń zespołu TrendAI wynika, że grupa określana jako Shadow-Earth-053 infiltrowała sieci od grudnia 2024 roku. A jej aktywność była widoczna jeszcze w kwietniu 2026. Celem ataków były instytucje rządowe, firmy technologiczne, sektor transportowy oraz podmioty związane z obronnością.
Wśród zaatakowanych krajów znalazły się m.in. Pakistan, Indie, Malezja, Tajlandia czy Tajwan, ale szczególnie niepokojący jest fakt, że jednym z celów była również organizacja z sektora obronnego w Polsce. To wyraźny sygnał, że operacje cyberwywiadowcze obejmują już także państwa NATO.
Ukryte zagrożenie: „uśpione” systemy sterowania atakiem
Eksperci obawiają się, że największe zagrożenie może dopiero nadejść. Chodzi o tzw. systemy C2 (command and control). Te mogą pozostawać uśpione w zainfekowanych sieciach i zostać aktywowane w dowolnym momencie.
Jak podkreśla Tom Kellermann, wiceprezes TrendAI, nie ma pewności, co dokładnie napastnicy pozostawili po sobie. Istnieje realne ryzyko, że w infrastrukturze krytycznej zostały już rozmieszczone narzędzia zdolne do niszczenia danych lub zakłócania działania systemów.
Znane techniki, nowe cele
Atakujący wykorzystują dobrze znane luki w oprogramowaniu. W tym podatności w Microsoft Exchange Server, które od lat są jednym z głównych wektorów ataku. Szczególnie często wykorzystywana jest luka ProxyLogon, pozwalająca na zdalne przejęcie kontroli nad serwerem.
Po uzyskaniu dostępu cyberprzestępcy instalują tzw. web shele, a następnie wdrażają tylne furtki, takie jak ShadowPad. Jest to zaawansowane narzędzie szpiegowskie używane wcześniej przez chińskie grupy APT, w tym APT41.
W niektórych przypadkach złośliwe oprogramowanie było instalowane przy użyciu legalnych narzędzi, takich jak AnyDesk, co dodatkowo utrudnia wykrycie ataku.
Cyberwojna w cieniu geopolityki
Eksperci zauważają, że działania Shadow-Earth-053 wpisują się w szerszy schemat chińskich operacji cybernetycznych, podobnych do wcześniejszych kampanii znanych jako Volt Typhoon oraz Salt Typhoon.
Tamte operacje polegały na długoterminowym ukrywaniu się w sieciach infrastruktury krytycznej, aby w razie eskalacji napięć geopolitycznych móc przeprowadzić działania sabotażowe.
Nieprzypadkowy może być również moment ujawnienia aktywności nowej grupy. Zbliżające się spotkanie przywódców – Donald Trump oraz Xi Jinping – dodatkowo zwiększa napięcie i rodzi pytania o możliwe scenariusze eskalacji.
Polska na celowniku – co to oznacza?
Obecność Polski wśród celów ataku to wyraźny sygnał, że kraj znajduje się w centrum globalnej gry cyberwywiadowczej.
Zdaniem ekspertów nie chodzi już tylko o kradzież danych, ale o strategiczne przygotowanie infrastruktury do potencjalnych działań w przyszłości.
Foto: ChatGPT Image/AI.