V decembri 2025 sa skupina Sandworm pokúsila zničiť dáta v poľskej energetickej spoločnosti. Bol to útok na kritickú infraštruktúru členského štátu NATO, ktorý bezpečnostní výskumníci zo spoločnosti ESET pripisujú elitnej ruskej jednotke so strednou mierou istoty., informoval server TECHBYTE.sk.
ESET zverejnil správu APT Activity Report mapujúcu aktivity skupín pokročilých pretrvávajúcich hrozieb za obdobie od októbra 2025 do marca 2026. Dokument zachytáva operácie napojené na Rusko, Čínu, Severnú Kóreu a Irán. Útočníci reagovali na každý geopolitický otras, od vojenskej operácie USA vo Venezuele až po izraelsko-americké útoky na Irán.
Ruské skupiny patria v sledovanom období k najaktívnejším. Sednit nasadil implantáty Covenant a BeardShell proti ukrajinskému vojenskému personálu, pričom primárnym cieľom boli výrobcovia dronov a organizácie zapojené do vývoja bezpilotných lietadiel. Rovnaká skupina útočila aj na logistické a dopravné firmy mimo územia Ukrajiny, ktoré zabezpečujú zásobovanie.
Sandworm v Poľsku
Sandworm, skupina známa útokmi na energetické siete, nasadila počas zimy niekoľko nových wiperov proti štátnemu aj súkromnému sektoru na Ukrajine. Decembrový incident v Poľsku bol však kvalitatívne iný. Nešlo o Ukrajinu. Bol to útok na infraštruktúru krajiny NATO.
Čínske skupiny operovali súbežne, hoci s odlišnými cieľmi. FamousSparrow zaútočil na venezuelskú vládnu inštitúciu zaoberajúcu sa námornými záležitosťami s cieľom monitorovať toky dodávok ropy po zásahu amerických síl. SteppeDriver napadol vládnu sieť v Sýrii. Oba útoky prišli krátko po vojenskej operácii USA vo Venezuele, čo podľa správy ukazuje priamu väzbu na geopolitický vývoj.
Robotika a umelá inteligencia
Skupina UNC5221, stojaca za malvérom SPAWN, sa okrem vládnych inštitúcií v Kambodži a Paname zamerala na juhokórejskú firmu z oblasti robotiky a umelej inteligencie. Jean-Ian Boutin, riaditeľ oddelenia výskumu hrozieb v ESETe, to komentoval stručne: „V Ázii sa kampane zameriavali predovšetkým na vládne organizácie, strategické odvetvia a sektory špičkových technológií.“ Záujem o Južnú Kóreu podľa správy súvisí s čínskym priemyselným konceptom Made in China 2025, ktorý radí tieto technológie medzi najvyššie priority.
Severná Kórea operuje na iných frontoch. Skupina Andariel nasadila špionážny nástroj TigerRAT a pokúsila sa šíriť ransomvér Rook v strojárskej spoločnosti vyrábajúcej zariadenia na manipuláciu s kvapalným vodíkom a jadrovým priemyslom. Pchjongjang tak útočí nielen na kryptomeny a softvérové dodávateľské reťazce, ale podľa správy ESETu siaha aj po technológiách priamo využiteľných pre balistický a jadrový arzenál.
Iránski hackeri paralyzovaní
Situácia okolo Iránu je paradoxná. Po izraelsko-amerických útokoch klesla aktivita štátnych iránskych skupín. Dôvod: tvrdé internetové obmedzenia, ktoré zaviedol samotný iránsky režim počas vojnového stavu, zablokovali schopnosť vlastných hackerov operovať v zahraničí. Zároveň to uvoľnilo priestor neoficiálnym proxy a hacktivistom.
Skupiny označené ako Rusty Boots a MoKhargosh nasadili wiper typu bootkit s cieľom odstaviť izraelské ciele. Terčom sa stala aj nemenovaná obranná firma v Spojených arabských emirátoch. Arabsky hovoriaci novinári a OSINT analytici čelili špionážnemu malvéru šírenému cez podvodný kanál na Telegrame, pričom niektoré z týchto operácií ESET pripisuje neznámym skupinám, nie priamo iránskemu štátu.
Správa ESETu pokrýva päť mesiacov. Sandworm útočil na NATO, Sednit na výrobcov dronov, severokórejský Andariel na jadrový priemysel a čínska UNC5221 na firmy s umelou inteligenciou. Všetky tieto operácie prebiehali súbežne, v rovnakom časovom okne.
