Wenezuela, Syria, państwa Zatoki Perskiej, Ukraina, a także Polska – to główne punkty na mapie najnowszych cyberataków APT (Advanced Persistent Threat). Powiązani z największymi mocarstwami cyberprzestępcy konsekwentnie prowadzą intensywną aktywność w kluczowych geopolitycznie miejscach. Analitycy podkreślają, że działanie takich grup jest dziś jednym z najbardziej wiarygodnych wskaźników rzeczywistych celów strategicznych i zagrożeń dla bezpieczeństwa międzynarodowego.
– To grupy cyberprzestępców zazwyczaj wspierane przez rządy. Koncentrują się na ukierunkowanych działaniach pozwalających przeniknąć do systemów celów wysokiego szczebla i pozostać w nich niewykrytymi przez dłuższy czas. Robią to głównie w celu długoterminowego cyberszpiegostwa i kradzieży poufnych danych. Grupy APT dysponują szeroką wiedzą, zaawansowanymi narzędziami i technikami. Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych – mówi Kamil Sadkowski, analityk bezpieczeństwa ESET.
Rosyjskie grupy APT atakują Europę. To w polską logistykę wymierzono główne uderzenie
W okresie między czwartym kwartałem 2025 roku i pierwszym kwartałem 2026 roku grupy powiązane z Rosją koncentrowały się na Ukrainie i podmiotach wspierających jej obronność. W styczniu 2026 roku analitycy odnotowali kampanię phishingową przeprowadzoną przez grupę Sednit. Wykorzystywała ona nieujawnioną jeszcze wtedy przez Microsoft podatność (CVE-2026-21509) do infekowania systemów implantem Covenant. Celem tej fali ataków stały się firmy transportowe w Polsce oraz przedsiębiorstwa logistyczne w Turcji.
Rosja bierze na cel polską energetykę. W ten sposób chce sparaliżować Ukrainę
W analizowanym czasie Polska stała się ważnym celem prorosyjskich grup APT. Najpoważniejszym incydentem był grudniowy atak na polską firmę energetyczną. Cyberprzestępcy zdołali uzyskać uprawnienia administratora domeny, co pozwoliło im na instalację za pomocą polityk grupowych Active Directory złośliwego oprogramowania niszczącego dane DynoWipera. Zadaniem było bezpowrotne nadpisywanie lub usuwanie plików z dysków stałych i przenośnych, a w konsekwencji sparaliżowanie systemów IT przedsiębiorstwa.
Analitycy ESET wskazują, że uderzenie w infrastrukturę krytyczną kraju stanowi wyraźną eskalację działań. Rola Polski jako zewnętrznego filaru stabilizującego ukraińską sieć elektroenergetyczną sugeruje, że operacja miała na celu wywarcie dodatkowej presji na system energetyczny Ukrainy w okresie zimowym, gdy zapotrzebowanie na prąd jest najwyższe, a Rosja nasila tradycyjne ostrzały rakietowe.
Chińscy hakerzy kradną tajne technologie. Te sektory gospodarki są celem Pekinu
Z kolei Chiny skupiają się na kradzieży informacji i technologii. Aktywność azjatyckich hakerów wzrosła gwałtownie po amerykańskiej operacji wojskowej w Wenezueli. Pekin natychmiast wysłał swoje cyfrowe jednostki, by monitorować m.in. tamtejsze ministerstwo gospodarki morskiej i kontrolować przepływ ropy naftowej.
Chińskie grupy, takie jak SteppeDriver czy UNC5221, uderzyły także w rządowe sieci w Syrii i Kambodży oraz w Panamie. Z kolei w Korei Południowej celem stała się branża AI i robotyki. To realizacja strategii Made in China 2025. Pekin próbuje za wszelką cenę zdobyć przewagę w sektorze najnowszych technologii.
Korea Północna i Iran ruszają do cyfrowej ofensywy. W ten sposób zdobywają wpływy
Własne cele realizuje też Korea Północna. Ich hakerzy polują głównie na programistów i giełdy kryptowalut, by zdobyć gotówkę dla reżimu. Niedawno grupa Andariel próbowała wykraść plany technologiczne od południowokoreańskiej firmy produkującej sprzęt do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej.
Wojna w Iranie, która wybuchła pod koniec lutego 2026 roku, zdominowała aktywność tamtejszych grup APT. Co ciekawe, konflikt ten zbiegł się w czasie z wyraźnym spadkiem aktywności znanych irańskich grup APT w telemetrii ESET. Najpewniej stało się tak przez restrykcje internetowe nałożone przez sam irański reżim, co sparaliżowało działania lokalnych cyberprzestępców. Sytuacja sprzyjała jednak aktywizacji grup typu proxy oraz haktywistów uderzających w Izrael, USA i inne państwa nieprzyjazne Teheranowi.
