Firmy korzystają z centrów danych, aby sprawnie obsłużyć duże ilości ruchu przychodzącego i wychodzącego oraz umożliwić płynną komunikację między partnerami biznesowymi. Centra danych są jednak mocno rozproszone geograficznie. Umożliwia to szybsze i bardziej niezawodne połączenie użytkownikom z całego świata, of...
Współczesne środowiska IT stają się coraz bardziej wymagające. Firmy i instytucje muszą sprostać rosnącym oczekiwaniom w zakresie wydajności, elastyczności, bezpieczeństwa oraz zgodności z regulacjami. Tradycyjne modele zarządzania infrastrukturą IT coraz częściej okazują się niewystarczające, a konieczność szyb...
W erze dynamicznej transformacji cyfrowej coraz więcej organizacji sięga po technologie dostępne na żądanie - takie jak chmura publiczna, SaaS czy generatywna sztuczna inteligencja (GenAI). Ich wspólnym celem jest zwiększenie zwinności, innowacyjności i konkurencyjności firm. Jednak, jak pokazuje najnowsze globa...
W dobie szybko rozwijających się technologii Smart Home coraz więcej użytkowników poszukuje rozwiązań, które pozwolą na wygodne i centralne zarządzanie inteligentnymi urządzeniami w domu. Połączenie bramki FRITZ!Smart Gateway z głośnikami Amazon Echo i asystentem Alexa to prosty sposób na wprowadze...
Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...
Osoby, które w ostatnich tygodniach planowały rozbudowę komputera o dodatkową pamięć RAM lub szybszy dysk SSD, mogły przeżyć niemałe zaskoczenie. Ceny komponentów pamięci RAM i dysków wyraźnie poszły w górę, a wszystko wskazuje na to, że nie jest to chwilowa korekta, lecz efekt głębszych zmi...
W okresie Q4 2025 - Q1 2026 zdecydowanie wzrosła aktywność grup cyberprzestępczych, trudniących się aktywnością szpiegowską w najbardziej zapalnych punktach świata. Cyberprzestępcy powiązani z Chinami wzięli na cel m.in. Wenezuelę. Z kolei grupy powiązane z Rosją skupiały się nie tylko na Ukrainie, ale i Polsce przeprowadzając m.in. bezprecedensowy cyberatak z użyciem destrukcyjnego oprogramowania DynoWiper wymierzony w firmę z sektora energetycznego - wynika z opublikowanego przez analityków ESET najnowszego raportu, dotyczącego aktywności grup APT.
Wenezuela, Syria, państwa Zatoki Perskiej, Ukraina, a także Polska - to główne punkty na mapie najnowszych cyberataków APT. Powiązani z największymi mocarstwami cyberprzestępcy konsekwentnie prowadzą intensywną aktywność w kluczowych geopolitycznie miejscach. Analitycy podkreślają, że działanie takich grup cyberprzestępczych jest dziś jednym z najbardziej wiarygodnych wskaźników rzeczywistych celów strategicznych i zagrożeń dla bezpieczeństwa międzynarodowego.
"Grupy APT, czyli Advanced Persistent Threat, to grupy cyberprzestępców skupiające się na zaawansowanych, długotrwałych atakach. Są zazwyczaj wspierane przez rządy i koncentrują się na ukierunkowanych działaniach pozwalających przeniknąć do systemów celów wysokiego szczebla (np. organizacji rządowych, korporacji) i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Grupy APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami. Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych" - mówi Kamil Sadkowski, analityk bezpieczeństwa ESET.
Rosyjskie ataki na Ukrainę i Polskę.
W okresie Q4 2025 - Q1 2026 grupy powiązane z Rosją koncentrowały się na Ukrainie i podmiotach wspierających jej obronność. W styczniu 2026 roku analitycy odnotowali kampanię phishingową przeprowadzoną przez grupę Sednit. Wykorzystywała ona nieujawnioną jeszcze wtedy przez Microsoft podatność (CVE-2026-21509) do infekowania systemów implantem Covenant. Oprócz ukraińskich instytucji rządowych, celem tej fali ataków stały się firmy transportowe w Polsce oraz przedsiębiorstwa logistyczne w Turcji.
W analizowanym czasie, poza Ukrainą, także Polska stała się ważnym celem prorosyjskich grup APT. Najpoważniejszym incydentem był grudniowy atak na polską firmę energetyczną, przypisywany z umiarkowaną pewnością grupie Sandworm. Cyberprzestępcy zdołali uzyskać uprawnienia administratora domeny, co pozwoliło im na instalację za pomocą polityk grupowych Active Directory nowego, złośliwego oprogramowania niszczącego dane - DynoWipera. Zadaniem tego malware było bezpowrotne nadpisywanie lub usuwanie plików z dysków stałych i przenośnych, a w konsekwencji sparaliżowanie systemów IT przedsiębiorstwa.
Analitycy ESET wskazują, że uderzenie w infrastrukturę krytyczną kraju należącego do NATO stanowi wyraźną eskalację działań. Rola Polski jako zewnętrznego filaru stabilizującego ukraińską sieć elektroenergetyczną sugeruje, że operacja miała na celu wywarcie dodatkowej presji na system energetyczny Ukrainy w okresie zimowym, gdy zapotrzebowanie na prąd jest najwyższe, a Rosja nasila tradycyjne ostrzały rakietowe.
W analizowanym okresie grupy powiązane z Chinami pozostały niezwykle aktywne na całym świecie. Ich kampanie szpiegowskie były bezpośrednio podyktowane geopolitycznymi interesami Pekinu - zarówno gospodarczymi, jak i związanymi z bezpieczeństwem.
Po operacji wojskowej USA w Wenezueli oraz w obliczu ciągłej niestabilności w rejonie Zatoki Perskiej, ESET odnotował wyraźną mobilizację chińskich grup. Ich celem było zwiększenie wglądu Pekinu w zagraniczne sprawy morskie, energetyczne i polityczne.
Powiązana z Chinami grupa FamousSparrow obrała za cel wenezuelską instytucję rządową odpowiedzialną za gospodarkę morską. Chodziło najpewniej o monitorowanie ciągłości dostaw ropy naftowej po amerykańskiej interwencji. W tym samym regionie ESET wykrył aktywność innej chińskiej grupy - SteppeDriver - która uderzyła w syryjską sieć rządową. Działanie to odzwierciedla komercyjne interesy Chin w projektach odbudowy Syrii oraz obawy Pekinu przed obecnością ujgurskich bojowników w tym kraju.
Z kolei grupa UNC5221 (również powiązana z Chinami) użyła szkodliwego oprogramowania SPAWN do ataków na cele rządowe w Kambodży i Panamie oraz na firmę z branży AI i robotyki w Korei Południowej. Atak na Seul wpisuje się w długofalowe zainteresowanie Chin technologiami strategicznymi, które są priorytetem krajowej polityki przemysłowej Made in China 2025.
Z kolei cyberprzestępcy z Korei Północnej działali na wielu frontach, m.in. polując na programistów i sektor kryptowalut za pomocą socjotechniki, co przynosi im szybki zysk i pozwala infekować łańcuchy dostaw oprogramowania. ESET odnotował też powrót grupy Andariel w Korei Południowej. Cyberprzestępcy użyli tam trojana TigerRAT i próbowali zainfekować oprogramowaniem ransomware Rook firmę inżynieryjną produkującą sprzęt do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej. Technologie te bezpośrednio wspierają balistyczne i nuklearne ambicje Pjongjangu.
Wojna w Iranie, która wybuchła pod koniec lutego 2026 roku, zdominowała aktywność tamtejszych grup APT. Co ciekawe, konflikt ten zbiegł się w czasie z wyraźnym spadkiem aktywności znanych irańskich grup APT w telemetrii ESET. Najpewniej stało się tak przez restrykcje internetowe nałożone przez sam irański reżim, co sparaliżowało działania lokalnych cyberprzestępców. Sytuacja ta sprzyjała jednak aktywizacji grup typu proxy oraz haktywistów uderzających w Izrael, USA i inne państwa nieprzyjazne Teheranowi.
ESET Research zaobserwował też nagły, nietypowy skok liczby ataków na Izrael, których nie udało się jednoznacznie przypisać żadnej znanej grupie. Dwa nowe klastry działań, nazwane Rusty Boots i MoKhargosh, wykazały zarówno potencjał szpiegowski, jak i niszczycielski. Zainstalowały one m.in. złośliwe oprogramowanie czyszczące dyski (wiper) typu bootkit, zachowując przy tym inne destrukcyjne narzędzia na przyszłość.
Analitycy ESET wykryli również włamanie do firmy obronnej w Zjednoczonych Emiratach Arabskich oraz kampanię szpiegowską wymierzoną w użytkowników arabskojęzycznych za pomocą malware na Androida. Ofiarami mogli paść dziennikarze lub analitycy OSINT (wywiadu ze źródeł otwartych) - nazwa kanału napastników na Telegramie nawiązywała bowiem do Liveuamap, popularnej platformy mapującej konflikty zbrojne.
Kraje i sektory atakowane przez grupy APT w okresie Q4 2025 - Q1 2026
Źródła ataków w okresie Q4 2025 - Q1 2026
Źródło: ESET
