Ruská ofenzíva graduje od špionáže iPhonů kitem Coruna po globální AI dezinformace. Zatímco Kreml izoluje svůj internet, USA přitvrzují ofenzivní strategii a řeší etiku zapojení AI modelů do autonomních zbraňových systémů.
Březen 2026 potvrdil dominantní postavení ruské státní skupiny APT28 (známé také jako Fancy Bear, Sednit nebo Pawn Storm) jako hlavního agresora v kyberprostoru. Tento aktér je součástí ruské vojenské zpravodajské služby GRU. Skupina zahájila masivní kampaň namířenou na vládní infrastrukturu a dodavatelské řetězce obrany nejen na Ukrajině, ale i v České republice, Polsku a na Slovensku. K infiltraci využívá novou modulární sadu malwaru PRISMEX, která pomocí pokročilé steganografie ukrývá škodlivý kód v obrázcích, a zneužívá zranitelnosti v Microsoft Office k nasazení destruktivních modulů typu wiper, jež trvale ochromují systémy. APT28 se rovněž soustředí na špionáž v ukrajinské státní správě: v rámci „Operation GhostMail“ zneužila XSS zranitelnost v platformě Zimbra k exfiltraci dat ze Státní hydrologické služby, zatímco v „Operation Roundish“ cílila na Státní migrační službu skrze platformu Roundcube. Pro útoky na vojenské cíle skupina nasadila backdoory SlimAgent a BeardShell využívající cloudové úložiště Icedrive a malware MeowMeow, který je chráněn pakerem .NET Reactor proti odhalení v sandboxech.
Mimořádnou technologickou úroveň vykazují útoky na zařízení iPhone prostřednictvím exploit kitu Coruna (CryptoWaters), který pravděpodobně vyvinul americký dodavatel L3Harris/Trenchant a Rusko jej získalo přes odsouzeného překupníka Petra Williamse. Coruna využívá řetězec pěti komplexních exploitů pro ovládnutí systému iOS (verze 13 až 17.2.1) a umožňuje injektáž škodlivých modulů do procesů jako locationd pro sledování polohy. Podobně funguje i řetězec DarkSword, který zneužívá šest zranitelností v rozhraní WebKit a jádru systému k bleskové exfiltraci dat a následnému samočinnému smazání stop.
Další hrozbu představují skupiny UAC-0252 a UAC-0255 útočící na Ukrajinu. Prvně jmenovaná šíří infostealery SHADOWSNIFF a SALATSTEALER pod záminkou aktualizací mobilních aplikací, přičemž CERT-UA v její infrastruktuře odhalil i ransomware „AVANGARD ULTIMATE v6.0" a exploity pro WinRAR (CVE-2025-8088). Skupina UAC-0255 (Cyber Sickle) pak zneužívá identitu státních autorit k šíření trojského koně AGEWHEEZE v jazyce Go, který útočníkům umožňuje plnou kontrolu nad napadeným zařízením včetně sledování obrazovky. Vedle digitálních útoků odhalila ukrajinská SBU i fyzický pokus o špionáž v továrně TechEx, kde byla v kanceláři šéfkonstruktéra nalezena odposlouchávací zařízení určená ke krádeži dat o dronech Stalker a Striker Mini. Finsko v této souvislosti varuje, že Rusko a Čína jsou nejvýznamnějšími hrozbami pro region Baltského moře, přičemž k zefektivnění svých kampaní stále častěji využívají generativní umělou inteligenci .
Ruská dezinformační síť Doppelgänger v březnu 2026 dále zdokonalila svou infrastrukturu pro ovlivňování veřejného mínění v EU a USA. Využívá rozsáhlou síť falešných domén s koncovkami jako .ltd či .agency, které precizně imitují prestižní média jako Spiegel nebo The Guardian. Tato síť se ve spolupráci se skupinou Matrjoška zaměřila i na TikTok, kde pomocí AI generovaných moderátorů a deepfakes celebrit vedla kampaň na podporu Viktora Orbána a diskreditaci maďarské opozice.
Zpráva Evropské služby pro vnější vztahy (EEAS) dokumentuje v březnu celkem 540 incidentů cizího vměšování, za kterými stojí primárně Rusko a Čína. Útočníci masivně nasazují generativní AI k produkci deepfakes a manipulaci jazykových modelů skrze síť více než deseti tisíc dezinformačních kanálů.
Vnitřní digitální politika Ruska směřuje k totální izolaci a kontrole internetu. V Moskvě a Petrohradu byl zaveden systém tzv. whitelistingu, který pomocí technologie hloubkové inspekce paketů (DPI) omezuje mobilní internet pouze na vládou schválené stránky a aplikace. Tato opatření ochromila ekonomiku, zejména kurýrní služby a IT sektor, který kvůli blokaci VPN a zahraničních cloudů ztratil schopnost komunikovat se zahraničními partnery. Na žádost cenzurního úřadu Roskomnadzor navíc Apple odstranil z ruského App Store VPN klienty jako Streisand či V2Box.
Státní správa má nově povinnost používat výhradně domácí messenger Max, k němuž však úředníci chovají takovou nedůvěru, že si pro jeho provoz pořizují izolovaná zařízení ze strachu před sledováním tajnými službami. Rusko rovněž plánuje vynutit v 5G sítích vlastní šifrovací algoritmus NEA-7, což může vést k technologické izolaci země, a ministerstvo pro digitální rozvoj hodlá do roku 2030 navýšit kapacitu systému pro potlačování internetových hrozeb na 954 Tbit/s.
Rusko samo čelí rostoucímu tlaku kyberšpionážních skupin. Aktér Mythic Likho dlouhodobě infiltruje ruskou kritickou infrastrukturu pomocí backdooru Loki a zavaděčů HuLoader a ReflectPulse, které maskuje za legitimní vládní služby. Zároveň analytici BI.ZONE odhalili koordinované operace skupin Paper Werewolf, Versatile Werewolf a Eagle Werewolf, které skrze Telegram šíří malware EchoGather RAT a HeartlessSoul. Tyto kampaně cílí na zaměstnance silových struktur pod záminkou registrace terminálů Starlink nebo výcviku pilotů dronů.
V březnu byl hlášen rozsáhlý DDoS útok na úřad Roskomnadzor a ministerstvo obrany, který ochromil jejich digitální zdroje. Podle zprávy Solar 4RAYS v roce 2025 vzrostl počet útoků na dodavatelské řetězce v Rusku čtyřnásobně, ačkoliv podíl čistě proukrajinských aktérů klesl na 25 % ve prospěch profesionálnějších špionážních entit.
USA v březnu 2026 stabilizovaly své kybernetické velení potvrzením generála Joshuy Rudda do čela US Cyber Command a NSA po jedenáctiměsíční pauze. Administrativa Donalda Trumpa následně představila novou kyberstrategii, která otevřeně akcentuje ofenzivní operace proti nepřátelským sítím a využití post-kvantového šifrování.
Na poli umělé inteligence došlo k rozkolu mezi Pentagonem a technologickými firmami. Společnost Anthropic byla označena za hrozbu pro dodavatelský řetězec poté, co odmítla odstranit bezpečnostní mechanismy bránící použití modelu Claude pro hromadné sledování a autonomní zbraně. Naopak OpenAI uzavřela s ministerstvem války smlouvu na vojenské využití modelů GPT, což zahrnuje i vývoj hlasového ovládání pro roje dronů. Na mezinárodní úrovni byla odhalena tajná ruská jednotka Centrum 795, určená k likvidaci oponentů v zahraničí, jejíž síť byla rozbita poté, co jeden z agentů v Kolumbii neopatrně plánoval vraždy přes Google Translate.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 8. 4. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
