Home Bezpieczeństwo Cyberszpiedzy nie odpoczywają. A Polska już jest na ich mapie

Cyberszpiedzy nie odpoczywają. A Polska już jest na ich mapie

0
0
161

Są takie raporty, które czyta się jak thriller — i ma się nadzieję, że to fikcja. Najnowszy przegląd aktywności grup APT, opublikowany przez analityków ESET, do tej kategorii nie należy. To sucha analiza tego, co wydarzyło się między czwartym kwartałem 2025 a pierwszym kwartałem 2026. I już na drugiej stronie pojawia się Polska.

Nie jako „kraj w okolicy zagrożeń”. Jako konkretny cel.

Kontekst: APT to nie hakerzy w kapturach. To polityka zagraniczna innym narzędziem

Zanim wejdziemy w szczegóły, warto zatrzymać się przy skrócie, który pojawia się w tytule i robi karierę w raportach bezpieczeństwa: APT — Advanced Persistent Threat.

Nie chodzi o nastoletnich włamywaczy szukających adrenaliny. Chodzi o grupy zawodowców, finansowanych i kierowanych przez państwa, których zadaniem jest jedno: wejść do systemu, pozostać niezauważonym jak najdłużej i wyciągnąć z niego tyle, ile się da. Albo — w wersji destrukcyjnej — zniszczyć to, co znaleźli.

„Skala i wektory ich ataków stanowią bezpośrednie odzwierciedlenie globalnych konfliktów i napięć geopolitycznych” — mówi Kamil Sadkowski, analityk ESET. To zdanie brzmi jak dyplomacja. W praktyce znaczy: jeśli chcesz wiedzieć, gdzie naprawdę jest gorąco na świecie, sprawdź nie tylko serwisy informacyjne, ale też telemetrię cyberataków. Mapa jest niemal identyczna.

Polska: grudzień 2025, firma energetyczna, złośliwe oprogramowanie o nazwie DynoWiper

Zacznijmy od miejsca, które najbardziej powinno interesować czytelnika KwF.

W grudniu 2025 roku polska firma z sektora energetycznego została zaatakowana przez grupę Sandworm — strukturę przypisywaną rosyjskiemu wywiadowi wojskowemu GRU, odpowiedzialną wcześniej m.in. za ataki na ukraińską sieć elektroenergetyczną. Tym razem narzędziem był DynoWiper: złośliwe oprogramowanie, którego jedynym zadaniem jest bezpowrotne nadpisywanie i usuwanie danych z dysków.

Napastnicy nie weszli przez przypadkową lukę w mailu. Zdobyli uprawnienia administratora domeny Active Directory — czyli w praktyce klucze do całego zamku — i za pomocą grupowych polityk systemowych rozesłali DynoWipera po infrastrukturze firmy. Elegancko, metodycznie, bezlitośnie.

Czym jest atak na polską firmę energetyczną zimą? Analitycy ESET piszą wprost: Polska pełni rolę zewnętrznego filaru stabilizującego ukraińską sieć elektroenergetyczną. Uderzyć w nią w szczycie sezonu grzewczego, gdy Rosja równolegle prowadzi rakietowe ostrzały ukraińskiej infrastruktury — to nie przypadek logistyczny. To koordynacja.

Polska jest w wojnie energetycznej, nawet jeśli nie pada w niej ani jeden strzał.

Chiny: szpiegostwo z adresem dostawczym

Rosja to nie jedyny aktor. Grupy powiązane z Chinami były w tym samym czasie aktywne na kilku kontynentach jednocześnie — i to w miejscach, które układają się w spójną opowieść o priorytetach Pekinu.

  • FamousSparrow uderzyła w wenezuelską instytucję odpowiedzialną za gospodarkę morską — tuż po operacji wojskowej USA w tym kraju. Tłumaczenie jest proste: Wenezuela dostarcza Chinom ropę, a Pekin chciał wiedzieć, czy dostawy są bezpieczne.
  • SteppeDriver zaatakował syryjską sieć rządową. Syria jest w trakcie odbudowy. Chińskie firmy budowlane i infrastrukturalne chcą w tej odbudowie uczestniczyć. A przy okazji — Pekin interesuje się obecnością ujgurskich bojowników w regionie.
  • UNC5221 zaś wziął na cel firmę z branży AI i robotyki w Korei Południowej. To nie jest szpiegostwo klasyczne. To kradzież technologiczna — wpisana wprost w politykę przemysłową Made in China 2025, której celem jest technologiczna niezależność Chin w branżach strategicznych.

Wzorzec jest ten sam we wszystkich trzech przypadkach: działaj tam, gdzie masz interes, zanim ktoś się zorientuje.

Korea Północna: kryptowaluty, programiści i broń atomowa

Grupy z Korei Północnej grają na innej częstotliwości. Mniej prestiżu, więcej pragmatyzmu finansowego — i równie dużo precyzji.

W analizowanym okresie ESET odnotował powrót grupy Andariel w Korei Południowej. Jej celem była firma inżynierska produkująca sprzęt do obsługi ciekłego wodoru i komponentów dla energetyki jądrowej. Użyte narzędzia: trojan TigerRAT i próba instalacji ransomware Rook.

Zestawienie tych dwóch elementów dużo mówi o logice operacji: najpierw wykradnij dane techniczne, potem ewentualnie zaszyfruj systemy dla efektu. Albo po prostu jako sygnał, że można.

Technologie wodorowe i jądrowe nie są wyborem przypadkowym — obie bezpośrednio wspierają balistyczne i nuklearne ambicje Pjongjangu. To nie jest kryminalny oportunizm. To zamówienie publiczne z Seulu do Pjongjangu, tyle że bez faktury.

Dygresja: Iran, zakłócenia własne i hakerzy-proxy

Jest w raporcie jeden wątek, który jest prawie ironiczny. Gdy w lutym 2026 roku wybuchła wojna w Iranie, aktywność znanych irańskich grup APT w telemetrii ESET… gwałtownie spadła.

Nie dlatego, że grupy się zatrzymały. Dlatego że irański reżim sam odciął sobie internet — restrykcje nałożone na własnych obywateli uderzyły rykoszetem we własnych szpiegów cyfrowych.

W ich miejsce aktywizowały się grupy proxy i haktywistyczne — mniej wyrafinowane, bardziej głośne. Dwa nowe klastry działań, roboczo nazwane Rusty Boots i MoKhargosh, zaatakowały Izrael narzędziami niszczącymi dane. Nie przypisano ich żadnej znanej grupie. Co samo w sobie jest informacją: nowi gracze weszli na pole.

Co to znaczy dla polskiej firmy — bez straszenia, za to z konkretem

Atak na polską firmę energetyczną nie jest historią o cyberterrorystach z filmów sensacyjnych. Jest historią o tym, że infrastruktura krytyczna w Polsce — energetyka, logistyka, transport — jest już nie potencjalnym, ale realnym polem gry dla grup finansowanych przez wrogie państwa.

Sandworm nie działał przez nieuwagę. Działał przez podatność w procesach zarządzania domeną Active Directory — czyli w infrastrukturze, którą każda większa firma IT zna i obsługuje na co dzień.

Jeśli jesteś właścicielem firmy z sektora, który choćby pośrednio dotyka energetyki, logistyki, transportu lub obronności — pytania, które warto zadać swojemu działowi IT lub zewnętrznemu dostawcy, są trzy:

  1. Kto ma uprawnienia administratora domeny i kiedy ostatnio to audytowaliśmy?
    Sandworm nie włamał się oknem. Wszedł drzwiami, które ktoś zostawił uchylone.

  2. Czy mamy monitoring aktywności na poziomie Active Directory?
    DynoWiper nie spadł z nieba — był instalowany przez polityki grupowe. Dobry monitoring to widziałby.

  3. Czy nasze kopie zapasowe są naprawdę offline — czy tylko „prawie offline”?
    Wiper niszczy to, co widzi. Backup, do którego nie ma dostępu przez sieć, przeżywa.


Raport ESET APT nie jest ostrzeżeniem na przyszłość. Jest opisem teraźniejszości.

Cyberszpiedzy nie planują uderzeń na Polskę kiedyś-tam-może. Oni już tu byli. Grudniowy atak na firmę energetyczną to nie incydent — to sygnał, że jesteśmy wystarczająco blisko frontu, żeby stać się narzędziem nacisku.

Polska nie może zmienić swojej geografii. Może natomiast zadbać o to, żeby jej infrastruktura — energetyczna, logistyczna, cyfrowa — nie była najłatwiejszym celem w okolicy.


Raport ESET APT Activity Report Q4 2025–Q1 2026 „Conflict-informed espionage: Monitoring oil shipments, targeting drone makers” dostępny jest na WeLiveSecurity.com. Szczegółowe dane wywiadowcze — w serwisie ESET Threat Intelligence.

Dodaj komentarz

Przeczytaj również

Zarządzanie informacją

Ktoś na pewno widział ten nagłówek w tym tygodniu: 9 na 10 firm rośnie dzięki lepszemu zar…