Coraz więcej rosyjskich i chińskich cyberataków na Polskę

Rosyjskie oraz chińskie grupy szpiegowskie coraz mocniej uderzają w energetykę, logistykę i technologie.

Cyberataki APT przestały być sprawą wyłącznie zespołów bezpieczeństwa w największych instytucjach państwowych. Najnowszy raport ESET o aktywności grup Advanced Persistent Threat za okres od października 2025 do marca 2026 pokazuje, że operacje cyberszpiegowskie idą za napięciami politycznymi, wojną, walką o surowce i wyścigiem technologicznym. Na tej mapie jest także Polska.

Najważniejszym polskim wątkiem jest atak z końca grudnia 2025 roku na podmioty związane z energetyką. ESET wskazuje, że w jednym z incydentów użyto nowego destrukcyjnego oprogramowania DynoWiper, a jego wykorzystanie przypisuje z umiarkowaną pewnością grupie Sandworm, powiązanej z rosyjskimi interesami. CERT Polska opisał ten sam dzień jako skoordynowane uderzenie wymierzone między innymi w ponad 30 farm wiatrowych i fotowoltaicznych, dużą elektrociepłownię oraz firmę produkcyjną.

Według Kancelarii Prezesa Rady Ministrów ataki nie doprowadziły do blackoutu ani destabilizacji krajowego systemu energetycznego.

Skuteczna obrona nie oznacza, że zagrożenie było symboliczne. CERT Polska porównał destrukcyjny cel sprawców do celowego podpalenia w świecie fizycznym. W przypadku elektrociepłowni napastnik miał wcześniej prowadzić długotrwałą infiltrację, kraść informacje operacyjne i uzyskać dostęp do kont uprzywilejowanych. Dopiero przy próbie uruchomienia złośliwego oprogramowania zadziałały zabezpieczenia.

Czym są grupy APT i dlaczego interesują się biznesem

APT, czyli Advanced Persistent Threat, oznacza grupy prowadzące zaawansowane, ukierunkowane i długotrwałe operacje. W praktyce chodzi o zespoły, które nie ograniczają się do jednego phishingowego maila. Najpierw wybierają cel, badają jego pracowników, dostawców, infrastrukturę i słabe punkty. Potem próbują wejść do sieci, utrzymać się w niej jak najdłużej, zebrać dane albo przygotować sabotaż.

W komunikacie ESET Kamil Sadkowski, analityk bezpieczeństwa ESET, zwraca uwagę, że skala i wektory takich ataków odzwierciedlają globalne konflikty oraz napięcia geopolityczne. Rok 2026 dopisał do tej definicji konkretny przypis: cyberatak stał się narzędziem konfliktu, używanym obok presji dyplomatycznej, sankcji, sabotażu i działań wojskowych.

Dla małych i średnich firm brzmi to czasem jak odległa wojna służb. Ten komfort jest złudny. Microsoft w Digital Defense Report 2025 wskazywał, że rosyjscy aktorzy rozszerzają działania poza Ukrainę, także na małe firmy w państwach NATO, traktując je jako możliwe wejścia do większych organizacji. Z kolei ENISA w Threat Landscape 2025 podkreślała, że w Unii Europejskiej sektorami szczególnie interesującymi dla grup państwowych pozostają administracja publiczna, transport, infrastruktura cyfrowa, energetyka i zdrowie.

Polska energetyka na celowniku. DynoWiper jako ostrzeżenie

W grudniu 2025 roku ataki na polską energetykę uderzyły w szczególnie czułe miejsca. CERT Polska opisał farmy OZE, w których celem były punkty przyłączenia do sieci - urządzenia automatyki przemysłowej, lokalne interfejsy HMI, zabezpieczenia, modemy, routery i przełączniki. Uszkodzenie części urządzeń nie przerwało produkcji energii, ale ograniczyło komunikację z operatorem systemu dystrybucyjnego i zablokowało zdalne sterowanie.

W innym wątku tego samego incydentu pojawił się wiper, czyli złośliwe oprogramowanie zaprojektowane nie do kradzieży pieniędzy, lecz do niszczenia danych. ESET nazwał je DynoWiper. Według analizy firmy malware nadpisywał lub usuwał pliki z dysków stałych i przenośnych, a następnie wymuszał restart systemu. ESET wskazał podobieństwa do wcześniejszego narzędzia ZOV używanego przeciw celom w Ukrainie.

Atrybucja pozostaje ostrożna. ESET mówi o umiarkowanej pewności w przypadku Sandworm. To istotne, bo w cyberbezpieczeństwie ślady techniczne rzadko są tak jednoznaczne jak odcisk palca na klamce. Liczą się podobieństwa kodu, infrastruktura, sposób działania, wcześniejsze kampanie i dobór celów. W tym przypadku wszystkie te elementy układają się w obraz operacji zbliżonej do wcześniejszych działań rosyjsko powiązanych aktorów przeciw Ukrainie.

Rosyjskie grupy APT uderzają w Ukrainę, logistykę i transport

Według raportu ESET w okresie Q4 2025 - Q1 2026 rosyjsko powiązane grupy skupiały się przede wszystkim na Ukrainie oraz organizacjach wspierających jej zdolności obronne. Sednit miał wykorzystywać implanty Covenant i BeardShell przeciwko ukraińskim wojskowym, producentom dronów i podmiotom związanym z badaniami nad bezzałogowcami. Celem były również firmy logistyczne i transportowe poza Ukrainą.

W komunikacie prasowym ESET wskazano także wykorzystanie podatności CVE-2026-21509 w pakiecie Microsoft Office, zanim została ona szerzej ujawniona. NVD opisuje tę lukę jako możliwość lokalnego obejścia zabezpieczeń w Microsoft Office przez nieuwierzytelnionego atakującego, przy udziale użytkownika. W praktyce oznacza to klasyczny punkt wejścia do organizacji: spreparowany dokument, kliknięcie, przejęcie stacji roboczej, dalszy ruch w sieci.

Dla firm transportowych, logistycznych, produkcyjnych i e-commerce to sygnał bardzo praktyczny. Dokumenty biurowe, załączniki ofertowe, pliki od kontrahentów i korespondencja z klientami są codziennym narzędziem pracy. Atakujący wybierają ten kanał właśnie dlatego, że nikt nie może go po prostu wyłączyć.

Chiny szukają danych o ropie, morzu i technologiach strategicznych

Chińsko powiązane grupy APT w raporcie ESET poruszają się po innej mapie interesów. FamousSparrow miała zaatakować wenezuelską instytucję rządową związaną ze sprawami morskimi. ESET interpretuje to jako próbę monitorowania ciągłości dostaw ropy po amerykańskiej operacji wojskowej w Wenezueli. SteppeDriver uderzyła w syryjską sieć rządową, co badacze łączą z interesami Pekinu przy odbudowie Syrii oraz obawami dotyczącymi obecności ujgurskich bojowników.

Pojawia się także wątek technologiczny. UNC5221, grupa również wiązana z Chinami, miała używać elementów zestawu SPAWN przeciw celom rządowym w Kambodży i Panamie oraz firmie z branży AI i robotyki w Korei Południowej. Ten ostatni cel dobrze pokazuje, jak zmienia się szpiegostwo przemysłowe. Dane o algorytmach, robotyce, automatyzacji i półprzewodnikach są dziś równie strategiczne jak informacje o surowcach.

Made in China 2025, chińska polityka przemysłowa nastawiona na rozwój zaawansowanych sektorów gospodarki, nadaje takim operacjom gospodarczy kontekst. Cyberatak może stać się narzędziem skracania dystansu technologicznego, rozpoznawania konkurencji albo pozyskiwania wiedzy o łańcuchach dostaw.

Korea Północna: kryptowaluty, programiści i łańcuch dostaw

Raport ESET opisuje także aktywność grup powiązanych z Koreą Północną. Ten kierunek ma dwie twarze: szpiegostwo i finansowanie reżimu. Cyberprzestępcy z KRLD od lat atakują giełdy kryptowalut, portfele, programistów i firmy technologiczne. Według ESET grupy takie jak Lazarus czy DeceptiveDevelopment budowały długotrwałe relacje z wartościowymi celami, natomiast inne prowadziły szybsze, bardziej oportunistyczne operacje socjotechniczne.

ESET wskazał również powrót Andariel w Korei Południowej. Grupa użyła trojana TigerRAT i próbowała zainfekować ransomware Rook firmę inżynieryjną produkującą sprzęt do obsługi ciekłego wodoru oraz komponenty dla energetyki jądrowej. To nie jest przypadkowa branża. Technologie wodorowe, jądrowe i precyzyjna inżynieria mogą mieć znaczenie dla ambicji rakietowych oraz nuklearnych Pjongjangu.

Dla firm technologicznych w Europie płynie z tego prosty wniosek: rekrutacja, GitHub, npm, rozmowy z kandydatami, testowe projekty i zewnętrzni wykonawcy również stały się powierzchnią ataku. W raporcie ESET pojawia się przypadek kompromitacji popularnej biblioteki JavaScript axios, która ma ponad 100 milionów pobrań tygodniowo w rejestrze npm. Atak przez łańcuch dostaw nie musi zaczynać się w korporacyjnej sieci. Czasem wystarczy konto maintenera, token, biblioteka i zaufanie tysięcy zespołów deweloperskich.

Iran, Izrael i cyberwojna wokół konfliktów zbrojnych

Według ESET wojna w Iranie, która rozpoczęła się pod koniec lutego 2026 roku, zmieniła aktywność tamtejszych grup APT. Firma odnotowała spadek widoczności znanych irańskich grup w swojej telemetrii, prawdopodobnie z powodu restrykcji internetowych wprowadzonych przez sam reżim. Jednocześnie wzrosła aktywność aktorów proxy i haktywistów atakujących Izrael, USA oraz inne państwa uznawane przez Teheran za wrogie.

ESET opisał także dwa nowe klastry działań, Rusty Boots i MoKhargosh, których nie przypisano jednoznacznie żadnej znanej grupie. Wykazywały zdolności szpiegowskie i destrukcyjne, w tym użycie bootkitowego wipera. To kolejny przykład przesunięcia granicy między szpiegowaniem a sabotażem. W jednym narzędziu można ukryć kamerę i zapalnik.

AI przyspiesza phishing i rozpoznanie celów

W tej układance pojawia się jeszcze sztuczna inteligencja. Google Threat Intelligence Group pisał w listopadzie 2025 roku, że aktorzy państwowi z Korei Północnej, Iranu i Chin używali narzędzi generatywnych do rozpoznania, przygotowywania przynęt phishingowych, rozwoju infrastruktury C2 i eksfiltracji danych. GTIG opisał też pierwsze obserwacje malware wykorzystującego modele językowe w trakcie działania, między innymi do generowania poleceń lub zmieniania kodu.

ENISA wskazuje z kolei, że phishing pozostaje głównym punktem wejścia do organizacji w Unii Europejskiej - odpowiada za około 60 proc. obserwowanych przypadków początkowego dostępu. AI nie zmienia więc podstawowego problemu. Zmienia skalę, tempo i jakość przynęty. Mail od rzekomego kontrahenta może być lepiej napisany, bardziej zgodny z kontekstem branży, poprawny językowo i dopasowany do konkretnego pracownika.

Dla marketerów, działów sprzedaży i obsługi klienta ma to szczególne znaczenie. Te zespoły z natury otwierają załączniki, klikają linki, sprawdzają briefy, odbierają pliki od agencji i klientów. Atakujący nie muszą szukać administratora. Czasem zaczynają od osoby, która codziennie pracuje z dokumentami z zewnątrz.

Co firmy powinny zrobić po raportach ESET, CERT Polska i ENISA

Pierwsza sprawa to aktualizacje. Luka CVE-2026-21509 pokazuje, że dokument biurowy nadal bywa nośnikiem poważnego ryzyka. Firmy powinny mieć procedurę szybkiego wdrażania poprawek dla Microsoft Office, systemów operacyjnych, VPN, firewalli, rozwiązań pocztowych i narzędzi używanych przez pracowników zdalnych.

Druga sprawa to segmentacja. Incydent w polskiej energetyce pokazuje, jak groźne jest połączenie środowisk IT i OT. Tam, gdzie firma ma produkcję, automatykę, magazyn wysokiego składowania, roboty przemysłowe albo systemy sterowania budynkiem, sieć biurowa nie powinna dawać swobodnej drogi do urządzeń technicznych.

Trzecia sprawa to kopie zapasowe. Wiper nie negocjuje okupu. Jego zadaniem jest zniszczenie danych. Kopie muszą być odseparowane, testowane i możliwe do odtworzenia w realnym czasie. Sama polityka bezpieczeństwa nie przywróci plików po udanym wiperze.

Czwarta sprawa to kontrola dostępu. MFA odporne na phishing, zasada najmniejszych uprawnień, monitoring kont uprzywilejowanych i szybkie wyłączanie kont po odejściu pracownika są dziś podstawową higieną. Microsoft podkreśla, że silne uwierzytelnianie wieloskładnikowe może blokować ponad 99 proc. ataków opartych na tożsamości.

Piąta sprawa to dostawcy. Atakujący coraz częściej wchodzą bocznymi drzwiami: przez integratora, firmę serwisową, bibliotekę open source, agencję, konto dewelopera albo narzędzie SaaS. Działy marketingu i e-commerce korzystają z wielu zewnętrznych platform, pikseli, wtyczek, systemów mailingowych i analitycznych. Każdy z tych elementów powinien mieć właściciela, aktualną listę dostępów i plan reakcji na incydent.

Cyberbezpieczeństwo staje się częścią zarządzania firmą

Najbardziej niepokojący w raporcie ESET jest kierunek. Grupy APT nie wybierają celów losowo. Patrzą na mapę konfliktów, ropy, transportu, energii, technologii i sojuszy. Polska znalazła się w tym polu ze względu na położenie, rolę w pomocy Ukrainie i znaczenie infrastruktury energetycznej.

Dla biznesu oznacza to koniec myślenia o cyberbezpieczeństwie jako koszcie technicznym. To element ciągłości działania, reputacji, odpowiedzialności wobec klientów i pozycji w łańcuchu dostaw. Atak na dużą infrastrukturę może zacząć się od małego dostawcy. Atak na państwo może przejść przez firmę transportową. Atak na technologię może zacząć się od rozmowy rekrutacyjnej z programistą.

Wojna w sieci nie ma jednej linii frontu. Czasem biegnie przez elektrownię, czasem przez załącznik w Wordzie, czasem przez konto w repozytorium kodu.

Źródła:

ESET Research. “ESET APT Activity Report Q4 2025-Q1 2026.” WeLiveSecurity, 28 maja 2026. https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/

ESET. “Russian Sandworm Group Attacks Energy Company in Poland with DynoWiper, ESET Research Discovers.” ESET Newsroom, 30 stycznia 2026. https://www.eset.com/us/about/newsroom/research/eset-research-russian-sandwormapt-attacks-energy-company-poland-with-dynowiper/

CERT Polska. “Energy Sector Incident Report - 29 December 2025.” CERT Polska, 30 stycznia 2026. https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/

Kancelaria Prezesa Rady Ministrów. “Poland Stops Cyberattacks on Energy Infrastructure.” Gov.pl, 15 stycznia 2026. https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure

ENISA. “ENISA Threat Landscape 2025.” European Union Agency for Cybersecurity, październik 2025. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025

Microsoft. “Microsoft Digital Defense Report 2025.” Microsoft, 2025. https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/

Google Threat Intelligence Group. “GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools.” Google Cloud Blog, 5 listopada 2025. https://cloud.google.com/blog/topics/threat-intelligence/threat-actor-usage-of-ai-tools

National Vulnerability Database. “CVE-2026-21509 Detail.” NIST National Vulnerability Database, 2026. https://nvd.nist.gov/vuln/detail/CVE-2026-21509

 

Pobierz ebook "Wielki ranking agencji marketingowych 2026 roku i e-book o trendach w promocji w sieci"