W pierwszej połowie 2025 roku rosyjskie operacje w cyberprzestrzeni przeciwko Ukrainie weszły w nową fazę. Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) odnotowała nie tylko więcej incydentów niż pod koniec 2024 r., lecz przede wszystkim jakościową zmianę: agresor coraz śmielej wykorzystuje generatywną sztuczną inteligencję nie tylko do tworzenia treści phishingowych, ale również do konstruowania i modyfikowania samego złośliwego oprogramowania.
Według danych SSSCIP w H1 2025 zarejestrowano 3 018 incydentów, wobec 2 575 w H2 2024. Rosła presja na administrację lokalną i wojsko, nieco zmalała na sektor rządowy i energetyczny. Ten przesuwający się wektor ataków pokazuje, że celem jest destabilizacja państwa „od dołu” i uderzanie w strukturę obrony oraz logistykę.
Najbardziej niepokojącym sygnałem jest przejście od eksperymentów z AI do jej praktycznego wdrożenia w łańcuchu ataku. Ukrócona bariera wejścia i szybkość iteracji to dwie przewagi napastników. Analitycy SSSCIP opisują próbki malware’u, które noszą wyraźne ślady wygenerowania lub rozszerzenia przy użyciu narzędzi AI. W praktyce oznacza to szybsze powstawanie nowych wariantów, lepsze dopasowanie socjotechniki do ofiar i większą automatyzację etapów infekcji oraz eksfiltracji.
Wśród szczególnie groźnych operacji znalazły się ataki grupy UAC-0219, która użyła oprogramowania WRECKSTEEL do uderzeń w organy administracji państwowej i infrastrukturę krytyczną. To złodziej danych oparty na PowerShellu, przy którego rozwoju – jak wskazują ślady w kodzie – zastosowano narzędzia AI. Taki profil zagrożenia jest niebezpieczny z dwóch powodów: wykorzystuje natywne mechanizmy systemowe trudniejsze do wykrycia i może być szybko modyfikowany, by ominąć sygnatury antywirusowe.
Równolegle utrzymuje się szeroka fala kampanii phishingowych, które coraz częściej stanowią przedsionek do złożonych operacji. UAC-0218 atakowała siły obronne, rozpowszechniając ładunki HOMESTEEL za pomocą spreparowanych archiwów RAR. UAC-0226 celowała w organizacje zaangażowane w innowacje przemysłu obronnego, samorządy, jednostki wojskowe i służby – jej celem było dostarczenie kradnącego dane modułu GIFTEDCROOK. UAC-0227 uderzała w administrację lokalną, infrastrukturę krytyczną oraz Wojskowe Centra Rekrutacji i Ośrodki Wsparcia Społecznego, wykorzystując taktyki w stylu ClickFix lub załączniki SVG, które prowadziły do kradzieży przez Amatera Stealer i Strela Stealer. Oddzielnie zidentyfikowano subklaster UAC-0125 powiązany z Sandworm, który rozsyłał wiadomości z linkami do fałszywej strony podszywającej się pod ESET; tam ofiary pobierały rzekome narzędzie do usuwania zagrożeń, które w rzeczywistości instalowało backdoora w C# o nazwie Kalambur (aka SUMBUR).
Na poziomie technicznym rosyjscy operatorzy skutecznie zgrywają socjotechnikę z exploitami na popularne systemy webmail
Aktorzy APT28 (UAC-0001) wykorzystywali podatności typu cross-site scripting w Roundcube (CVE-2023-43770, CVE-2024-37383, CVE-2025-49113) oraz w Zimbra (CVE-2024-27443, CVE-2025-27915) do przeprowadzania ataków zero-click. W takich przypadkach ofiara nie musi niczego potwierdzać – wystarczy wyświetlenie zainfekowanej wiadomości. Napastnicy wstrzykiwali złośliwy kod, który przez API Roundcube lub Zimbra uzyskiwał dostęp do poświadczeń i list kontaktów, a także konfigurował filtry przekierowujące całą korespondencję do skrzynek kontrolowanych przez atakujących. Dodatkową, pomysłową metodą kradzieży danych było tworzenie ukrytych bloków HTML z polami loginu i hasła, ustawionymi na „autocomplete=on”. Przeglądarka automatycznie uzupełniała je zapisanymi danymi, które następnie były dyskretnie wyprowadzane poza organizację.
Cyberoperacje nie pozostają w próżni – wpisują się w szerszą strategię wojny hybrydowej. SSSCIP podkreśla synchronizację działań w sieci z uderzeniami kinetycznymi. Grupa Sandworm (UAC-0002), jedna z najbardziej agresywnych rosyjskich jednostek, konsekwentnie bierze na cel sektor energii, obronność, operatorów internetowych i ośrodki badawcze. Taka koordynacja zwiększa presję na zdolności reagowania państwa i komplikuje ocenę priorytetów obrony, bo cyberatak może służyć i rozpoznaniu, i dezorganizacji, i maskowaniu innych operacji.
Kolejnym wątkiem jest rosnące nadużywanie legitymizujących infrastrukturę dostawców usług chmurowych i komunikatorów. Do hostingu malware’u i stron phishingowych lub jako kanały eksfiltracji danych wykorzystywano m.in. Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io czy mocky.io. To taktyka znana od lat, ale obserwowany jest wyraźny wzrost liczby platform używanych w ten sposób. Daje to napastnikom dwie przewagi: kamuflaż w „szumie” legalnego ruchu oraz utrudnienie natychmiastowej blokady, ponieważ odcięcie usługodawcy bywa nieakceptowalne biznesowo.
Z perspektywy obrony państwa i organizacji publicznych wnioski są jasne
Po pierwsze, tempo i skala ewolucji narzędzi atakujących wymagają równie zwinnych mechanizmów detekcji i reagowania. Jeżeli kod jest generowany lub modyfikowany przez AI, mechanizmy oparte wyłącznie na sygnaturach tracą skuteczność, a większą rolę muszą odgrywać analityka behawioralna, sandboxing i korelacja zdarzeń w czasie rzeczywistym. Po drugie, priorytetem stają się aktualizacje i twardnienie systemów pocztowych, które – jak pokazują zero-clicki na Roundcube i Zimbrę – są dzisiaj jednym z najważniejszych wektorów wejścia. Po trzecie, polityki DLP i kontrola ruchu do usług chmurowych powinny być precyzyjniejsze, by odróżnić normalny transfer od anomalii typowych dla kanałów C2 i eksfiltracji, nawet jeśli odbywają się one na infrastrukturze zaufanych dostawców.
Istotne jest również podniesienie świadomości użytkowników w administracji i wojsku. Choć część ataków staje się bezklikowa, phishing pozostaje furtką do wielu włamań. Kampanie z archiwami RAR, fałszywymi aktualizacjami czy podszywanie się pod renomowane firmy bezpieczeństwa to nadal skuteczne triki – tym groźniejsze, że treści i lądowiska phishingowe są coraz lepiej „personalizowane” przez modele generatywne. Edukacja musi więc nadążać nie tylko za nowymi sztuczkami, ale i za zmianą jakości tych treści.
Wreszcie, wojna w cyberprzestrzeni to nie odrębny teatr działań, lecz integralna część współczesnych konfliktów. Rosyjskie grupy – od APT28 po Sandworm – łączą eksploatację podatności, socjotechnikę i nadużycia legalnych platform z coraz częściej automatyzowanymi procesami tworzenia i modyfikacji narzędzi. Dla obrońców oznacza to konieczność ciągłego przechodzenia z reaktywnej ochrony na proaktywną łowczy-obronę, przyspieszenia cykli łatania i inwestycji w telemetrykę, która wychwyci nie samą sygnaturę, ale zachowanie. H1 2025 pokazuje, że sztuczna inteligencja z ciekawostki w rękach napastników stała się elementem ich stałego arsenału – i nic nie wskazuje, by mieli się na tym etapie zatrzymać.
Czytaj też: Discord ma za sobą wyciek skanów dokumentów tożsamości 70 tys. użytkowników