Kamil Sadkowski, analityk laboratorium antywirusowego ESET
Trwające konflikty zbrojne w różnych częściach świata przyjmują postać hybrydową – tradycyjne działania zbrojne łączą się z działaniami w przestrzeni cyfrowej, np. w postaci aktywności cyberszpiegowskich grup APT. Są to wyspecjalizowane jednostki, często powiązane z rządami lub organizacjami rządowymi, wykorzystujące swoją profesjonalizację do precyzyjnych ataków na infrastrukturę krytyczną lub obywateli danych krajów, destabilizując ich codzienne funkcjonowanie. Działania grup APT wielokrotnie stanowią ważną część już dziejących się realnych działań wojennych.
Aktywne działania grup APT w ostatnim półroczu (październik ’24-marzec ’25) pokrywają się z działaniami zbrojnymi w poszczególnych rejonach świata lub generowanymi przez dane rządy napięciami. Tak jest właśnie w przypadku trwającego konfliktu Iran – Izrael. Aktywność irańskich grup APT stanowi już ponad 9% aktywności wszystkich tego typu grup na świecie, zajmując wysokie miejsce za Chinami (odpowiadają za 40,1% działań), Rosją (25,7%) czy Koreą Północną (14,4%).
Aktywność grup APT powiązanych z Iranem w ostatnim półroczu nabrała zarówno rozmachu, jak i taktycznej różnorodności. Choć klasyczne operacje szpiegowskie nadal dominują, analitycy ESET zaobserwowali coraz śmielsze przechodzenie w stronę szerokich działań destrukcyjnych. Wśród głównych celów irańskich grup APT wymienia się przemysł, transport, usługi finansowe, organizacje rządowe i edukację.
Tu na pierwszy plan wysuwa się przypadek grupy CyberToufan, która przeprowadziła spektakularny atak destrukcyjny z podłożem ideologicznym. W styczniu 2025 roku grupa CyberToufan zainfekowała 50 izraelskich organizacji oprogramowaniem niszczącym dane, które błyskawicznie usuwało pliki z zainfekowanych systemów, stanowiąc działanie destabilizujące. Choć technicznie prosty, atak wyróżniał się poprzez symboliczne osadzenie w kontekście konfliktu izraelsko-palestyńskiego. Jako klucz deszyfrujący użyto dokładnej daty i godziny ataku Hamasu z 7 października 2023 r. Dodatkowo, malware zmieniał tło pulpitu ofiar na obraz propagandowy związany z Palestyną, co jednoznacznie wskazuje na polityczny i psychologiczny wymiar ataku. W tym przypadku nie chodziło o wykradanie danych — celem było maksymalne zniszczenie i zastraszenie.
To jeden z pierwszych tak jawnych przypadków, w których operacja cybernetyczna powiązana z Iranem w sposób niemal manifestacyjny łączy taktykę z przekazem ideologicznym. Jest to istotny sygnał dla sektora bezpieczeństwa: granica między klasyczną cyberwojną a operacjami informacyjno-psychologicznymi w regionie Bliskiego Wschodu nabrała rozpędu. Spodziewamy się, że aktywność w cyberprzestrzeni ze strony zaangażowanych w konflikt stron będzie się nasilać, stanowiąc ważną odnogę prowadzonych działań wojennych.