Najnowszy raport analityków ESET pokazuje, że w ostatnich miesiącach gwałtownie wzrosła aktywność zaawansowanych grup APT, czyli cyberprzestępców prowadzących długotrwałe operacje szpiegowskie i sabotażowe. Na celowniku znalazły się m.in. Ukraina, Polska, państwa Zatoki Perskiej, Wenezuela oraz Korea Południowa.
Eksperci podkreślają, że działania takich grup coraz częściej odzwierciedlają realne cele geopolityczne największych światowych potęg.
Czym są grupy APT?
APT (Advanced Persistent Threat) to najbardziej zaawansowane grupy cyberprzestępcze na świecie. Najczęściej działają przy wsparciu państw lub służb wywiadowczych, a ich celem nie jest szybki zysk, lecz długoterminowe cyberszpiegostwo, sabotaż oraz pozyskiwanie strategicznych informacji.
– Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych – podkreśla Kamil Sadkowski, analityk bezpieczeństwa ESET.
Grupy APT wykorzystują zaawansowane techniki infiltracji, często przez wiele miesięcy pozostając niewykryte w sieciach rządów, korporacji czy operatorów infrastruktury krytycznej.
Polska na celowniku rosyjskich cyberataków
Według raportu szczególnie aktywne były grupy powiązane z Rosją. Ich głównym celem pozostawała Ukraina oraz państwa wspierające jej obronność.
W styczniu 2026 roku grupa Sednit przeprowadziła kampanię phishingową wykorzystującą nieznaną wcześniej podatność oznaczoną jako CVE-2026-21509. Ataki wymierzone były nie tylko w ukraińskie instytucje rządowe, ale również firmy transportowe w Polsce i przedsiębiorstwa logistyczne w Turcji.
Jeszcze poważniejszy incydent miał miejsce w grudniu 2025 roku. Celem rosyjskich cyberprzestępców stała się polska firma energetyczna. Według analityków za operacją mogła stać grupa Sandworm, znana z wcześniejszych ataków na ukraińską infrastrukturę krytyczną.
Napastnicy zdobyli uprawnienia administratora domeny i wykorzystali polityki Active Directory do rozprzestrzenienia destrukcyjnego malware DynoWiper. Oprogramowanie zostało zaprojektowane do bezpowrotnego niszczenia danych poprzez nadpisywanie lub usuwanie plików z dysków komputerów i serwerów.
Eksperci alarmują, że atak na infrastrukturę krytyczną państwa należącego do NATO oznacza wyraźną eskalację działań w cyberprzestrzeni.
Chiny rozszerzają cyfrową strefę wpływów
Bardzo aktywne pozostawały również grupy powiązane z Chinami. Ich działania koncentrowały się przede wszystkim na zdobywaniu informacji związanych z energetyką, transportem morskim oraz nowoczesnymi technologiami.
Chińska grupa FamousSparrow zaatakowała wenezuelską instytucję odpowiedzialną za gospodarkę morską. Zdaniem analityków mogło chodzić o monitorowanie dostaw ropy naftowej po amerykańskiej operacji wojskowej w regionie.
Inna grupa, SteppeDriver, prowadziła działania przeciwko syryjskim sieciom rządowym. Operacje te mają prawdopodobnie związek z chińskimi interesami gospodarczymi dotyczącymi odbudowy Syrii oraz obawami Pekinu dotyczącymi obecności ujgurskich bojowników w regionie.
Z kolei grupa UNC5221 wykorzystywała malware SPAWN do ataków na cele rządowe w Kambodży i Panamie, a także firmę z branży AI i robotyki w Korei Południowej. Według ekspertów wpisuje się to w szerszą strategię pozyskiwania technologii strategicznych rozwijanych w ramach programu Made in China 2025.
Korea Północna poluje na kryptowaluty i technologie strategiczne
Raport wskazuje również na dużą aktywność grup powiązanych z Koreą Północną. Cyberprzestępcy z tego kraju nadal intensywnie atakują sektor kryptowalut i środowiska programistów.
Celem takich operacji jest zarówno szybkie pozyskiwanie środków finansowych, jak i infekowanie łańcuchów dostaw oprogramowania.
Analitycy odnotowali również powrót grupy Andariel w Korei Południowej. Hakerzy wykorzystali trojana TigerRAT i próbowali wdrożyć ransomware Rook w firmie produkującej urządzenia do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej.
Według ekspertów technologie te mogą mieć znaczenie dla północnokoreańskich programów balistycznych i nuklearnych.
Konflikty zbrojne coraz mocniej przenoszą się do sieci
Raport ESET pokazuje również, jak silnie cyberprzestrzeń jest dziś powiązana z tradycyjnymi konfliktami militarnymi.
Po wybuchu wojny w Iranie pod koniec lutego 2026 roku aktywność irańskich grup APT niespodziewanie spadła. Zdaniem ekspertów mogło to być efektem restrykcji internetowych wprowadzonych przez sam irański reżim.
Jednocześnie pojawił się wzrost aktywności grup proxy i haktywistów atakujących Izrael oraz Stany Zjednoczone.
Analitycy wykryli także nowe, wcześniej nieznane klastry ataków nazwane Rusty Boots i MoKhargosh. Operacje te były wymierzone w Izrael i wykorzystywały destrukcyjne oprogramowanie typu wiper, zdolne do całkowitego usuwania danych z urządzeń.
Odnotowano również włamanie do firmy obronnej w Zjednoczonych Emiratach Arabskich oraz kampanię szpiegowską prowadzoną przeciwko arabskojęzycznym użytkownikom Androida. Ofiarami mogli być dziennikarze oraz analitycy OSINT zajmujący się monitorowaniem konfliktów zbrojnych.
Cyberwojna stała się elementem globalnej polityki
Eksperci nie mają wątpliwości, że cyberataki przestały być jedynie domeną cyberprzestępców nastawionych na kradzież pieniędzy. Coraz częściej są integralnym elementem strategii państw oraz nowoczesnych konfliktów hybrydowych.
Ataki na energetykę, logistykę, sektor AI czy firmy związane z obronnością pokazują, że celem jest już nie tylko cyberszpiegostwo, ale także możliwość realnego destabilizowania infrastruktury krytycznej przeciwnika.
Foto: DepositPhotos.