Globální kybernetické bojiště zamrzá v nekončícím hybridním konfliktu. Od sofistikovaného ruského malwaru s integrovanou AI až po masivní úniky dat a západní odvety – přinášíme detailní přehled kyberválky za uplynulý měsíc.
Ruské státem sponzorované hackerské skupiny procházejí zásadním strategickým posunem. Podle výroční zprávy ukrajinského Národního koordinačního centra pro kybernetickou bezpečnost (NKCC) se operace přesouvají od masivních destruktivních útoků k dlouhodobému, skrytému působení v systémech státní správy, energetiky a výrobců bezpilotních systémů. Klíčovou technologickou inovací je přímá integrace velkých jazykových modelů (AI) do architektury škodlivého softwaru, což demonstruje backdoor zvaný LameHug generující systémové příkazy za běhu pro efektivní obcházení tradiční detekce. Tento trend potvrzuje i globální zpráva společnosti ESET, podle níž jsou Rusko společně s Čínou zodpovědné za téměř dvě třetiny státem sponzorovaných kyberútoků cílících na vládní, průmyslový a obranný sektor. Jejich operativci jsou systematicky cvičeni na elitních institucích; investigace odhalila existenci utajovaného „oddělení 4“ na Baumanově moskevské státní technické univerzitě, které slouží jako školicí středisko pro budoucí agenty ruské vojenské rozvědky GRU posilující známé kybernetické jednotky Unit 74455 (Sandworm) a Unit 29155. Skupina Sandworm spolu s formací Sednit nasazuje implantáty Covenant a BeardShell doprovázené novými destruktivními wipery. Ukrajina navíc varuje před blížící se synchronizovanou kampaní „Černá zima“, která má propojit raketové údery s ochromujícími kybernetickými útoky.
Ruská agrese se neomezuje pouze na ukrajinské území, ale probíhá na bázi každodenních hybridních útoků proti Západu, kde se zaměřuje na kritickou infrastrukturu, dodavatelské řetězce a podmořské komunikační kabely. Příkladem byla operace skupiny APT28 (Fancy Bear), napojené na rozvědku GRU, která zaútočila na polskou vodohospodářskou infrastrukturu. Hackeři zneužili zranitelnost v archivačním softwaru WinRAR k doručení škodlivého kódu prostřednictvím spear-phishingu a získali přístup k ovládacím panelům obecní čističky odpadních vod, přičemž pokus o manipulaci s procesy úpravy vody byl včas zastaven.
Kromě vlastních kapacit Kreml prohlubuje technickou spolupráci s Íránem, což zahrnuje sdílení technologií, společné dezinformační kampaně a využívání sítě krycích firem pro infiltraci vládních institucí v USA a obranného sektoru v Izraeli. Dochází také k provázání ruských služeb se severokorejskou skupinou Lazarus, která spolu s formací Andariel kompromitovala JavaScriptovou knihovnu axios a na napadené systémy nasazovala nástroj TigerRAT či ransomware Rook.
Přímo na Ukrajině pokračuje intenzivní kampaň proti vládním i vojenským cílům. Skupina Gamaredon od září 2025 zneužívá kompromitované vládní e-mailové účty a zranitelnost WinRAR k šíření škodlivých archivů, které přes platformu Cloudflare Workers zajišťují trvalý přístup k systémům. Podobně skupina UAC-0057 (UNC1151) zneužívá falešnou tematiku certifikátů platformy Prometheus a infikované PDF dokumenty a v pozdějších fázích nasazuje penetrační nástroj Cobalt Strike. Do útoků se aktivně zapojuje i běloruská špionážní skupina FrostyNeighbor (Ghostwriter), která imituje společnost Ukrtelecom a rozesílá PDF soubory s odkazy na servery doručující pokročilý zavaděč PicassoLoader v jazyce JavaScript, přičemž k exfiltraci dat rovněž zneužívá Cobalt Strike.
Ukrajinská armáda čelí vysoce specifickým hrozbám. Skupina UAC-0184 se zaměřuje na vojáky s cílem zcizit interní dokumenty a data z komunikačních aplikací. Využívá k tomu podvržené archivy s LNK zástupci, které stahují zákeřné HTA soubory; následně zneužije metodu DLL sideloading ve vizualizéru Plane9, dešifruje data přes formát LZNT1 a rafinovaně nasadí legitimně podepsanou utilitu PassMark Endpoint, jejíž kompletní síťový zásobník a API funkce MiniDumpWriteDump jim umožňují skrytě dumpovat paměť procesů. Jiná skupina, UAC-0247, cílila přímo na operátory FPV dronů pomocí falešných pozvánek nadace UkrVarta a odborných konferencí. Přes nástroj mshta a plánovač úloh injektovala kód do procesu RuntimeBroker.exe a nasadila upravený payload EncryptedReverseShell.exe pro vzdálené spouštění příkazů přes šifrované zpětné spojení. Nejpokročilejší ruská skupina Secret Blizzard (Turla) přebudovala svůj botnet Kazuar, využívaný k politické a vojenské špionáži, na vysoce sofistikovanou modulární P2P síť rozdělenou do tří funkčních modulů s označením Kernel, Bridge a Worker, což jí umožňuje utajit síťový provoz pomocí volby jednoho řídicího uzlu.
Ruský vliv zasahuje i vzdálenější demokratické státy a globální instituce. Nově odhalená ruskojazyčná skupina GREYVIBE provádí kampaně za systematického využití generativní AI, která jí pomáhá vytvářet přesvědčivé vizuální návnady (např. falešná CAPTCHA ověření či podvržené weby charitativních fondů) a efektivněji programovat malware jako PhantomRelay, LegionRelay či FallSpy. V Pobaltí vyšetřuje litevská generální prokuratura masivní únik více než 600 000 záznamů ze státní agentury Centrum registrů, kde útočníci zneužili přihlašovací údaje Migračního úřadu a odcizili identifikační data občanů. Útok zasáhl i australský parlament, kde zahraniční státní aktér pomocí cíleného phishingu a sociálního inženýrství vylákal verifikační kódy a kompletně převzal WhatsApp účty federálního poslance a tří jeho asistentů. Vzhledem k podobnosti postupů se předpokládá, že za tímto útokem stojí ruské zpravodajské služby. Na poli strategické špionáže pak nové dokumenty odhalily, že skupina Cozy Bear (APT29) získala v roce 2020 hluboký přístup k e-mailům Ministerstva financí USA, kde se selektivně zaměřila na osm klíčových účtů úzce propojených s dalšími třemi sty adresami napříč úřadem.
Proruská dezinformační mašinerie v čele s rozsáhlou kampaní Doppelgänger nadále intenzivně pracuje na narativní saturaci západního informačního prostoru s cílem oslabit podporu napadených států. Tuto kampaň, zneužívající ekosystém podvržených zpravodajských webů jako Reliable Recent News, řídí technické entity Social Design Agency (SDA) a Structura úzce napojené na ruskou prezidentskou administrativu. Skupina SDA (známá též jako Matryoshka) nedávno zkompromitovala stovky autentických uživatelských účtů na decentralizované síti Bluesky, včetně profilů amerických novinářů a akademiků, a zneužila jejich reálných identit k šíření protiukrajinských narativů. Ruský vliv se potvrdil i v Maďarsku, kde únik 8,5 terabajtu dat z mediální agentury Mediaworks, za nímž stojí skupina World Leaks, odhalil interní zápis, podle kterého redaktor Tamás Antal Tóth žádal o pomoc přímo v Moskvě za účelem mediální diskreditace Volodymyra Zelenského.
Dezinformační sítě se zaměřují i na štěpení společnosti v konkrétních regionech. V kanadské Albertě odhalili výzkumníci z CDMRN síť na platformě YouTube produkující masový AI obsah, tzv. „slopaganda“, s cílem podnítit separatistické nálady, na čemž spolupracují ruští dezinformátoři s americkou krajní pravicí. V Rumunsku zase organizace Expert Forum zdokumentovala koordinovanou automatizovanou kampaň botů na TikToku během vládní krize, která masivně diskreditovala proevropské lídry a uměle propagovala suverenistického kandidáta Călina Georgescuho a stranu AUR. Výsledkem těchto aktivit je proces s proruskou skupinou „Comandamentul Vlad Țepeș“ v Bukurešti, jejímiž hlavními organizátory jsou Adrian Robertin Dinu a Marius Semeniuc; vyšetřovatelé zjistili, že obvinění konspirovali s ruskou tajnou službou FSB s cílem provést puč a násilně vynutit vystoupení země z NATO, přičemž ke kontaktování moskevského zprostředkovatele Petra Ghetska a prověření rizik využili ChatGPT.
Zneužívání umělé inteligence dosahuje alarmujících rozměrů. Audit společnosti NewsGuard odhalil, že chatbot Claude od firmy Anthropic vlivem záměrné saturace prostoru a technik „maligních promptů“ opakoval prokremelskou propagandu v 15 % případů a íránské dezinformace ve 20 % případů, přičemž přímo citoval zdroje jako RT nebo síť Pravda. Souběžně s tím odhalila společnost Trend Micro pětiletou vlivovou a podvodnou kampaň „Patriot Bait“, řízenou ruskojazyčným útočníkem s přezdívkou bandcampro, který od září 2025 zneužíval upravenou AI Google Gemini ke generování konspiračního obsahu pro komunity QAnon a MAGA. Tento útočník šířil pod názvem StellarMonSetup.exe legitimní nástroj GoToResolve jako trojského koně, s jehož pomocí vyprázdnil kryptoměnové peněženky obětí a prováděl brute-force útoky na weby WordPress.
Ruská opatření
Uvnitř samotné Ruské federace dochází k dramatickému utahování šroubů v oblasti digitální kontroly a cenzury. Ruská vláda vydala nařízení zakazující dovoz zařízení určených pro příjem a přenos signálu ze zahraničních satelitů, což v praxi dopadá zejména na technologii Starlink; dovoz je nově podmíněn výslovným povolením Státní komise pro radiové frekvence, čímž chce režim zamezit šíření internetu nepodléhajícího státní cenzuře. Současně probíhá intenzivní debata o úplném zákazu VPN. Předseda Rady pro lidská práva Valerij Fadějev sice varoval, že plošné vypnutí těchto šifrovaných kanálů by kvůli jejich masivnímu využívání bankami a průmyslem nevratně poškodilo národní internet, Ministerstvo pro digitální rozvoj však přesto pokračuje v nátlaku na omezování přístupu k zablokovaným zdrojům. Kontrola nad obyvatelstvem vyvrcholila rozšířením vládního sledovacího systému SORM; mobilní operátoři musí k IP adresám a navštíveným doménám nově povinně párovat také citlivé osobní údaje zákazníků včetně adres, pasových dat a zeměpisných souřadnic s cílem preventivně potlačit jakýkoli protiválečný disent.
Režim zároveň posiluje své personální kybernetické vedení v nejvyšších patrech politiky. Vladimir Putin jmenoval Andreje Kozlova novým poradcem tajemníka Bezpečnostní rady Sergeje Šojgu. Kozlov, který dříve působil v korporaci Rostec a disponoval vazbami na vojenskou jednotku 26165 přímo spojenou s proslulou hackerskou skupinou Fancy Bear (APT28), ve funkci nahradil generála Pavla Konovalčika se stejnou vojenskou kybernetickou minulostí.
Rusko se však potýká s vážnými vnitřními slabinami v IT sektoru. Podle Centra kompetencí pro substituci importu (CKIT) až 30 % velkých ruských podniků stále používá zastaralý zahraniční software jako Microsoft Exchange či Office 365 bez oficiální technické podpory a bezpečnostních aktualizací, což z nich dělá snadný cíl pro phishingové útoky a zneužití chyb skrze kanály paralelního importu licencí.
Ruská federace a její spojenec Bělorusko čelí masivní ofenzivě ze strany pro-ukrajinských skupin i pokročilých špionážních aktérů. Hacktivistická skupina BO Team ve spolupráci s formací Head Mare výrazně vystupňovala útoky na ruský ropný, plynárenský a telekomunikační sektor. Využívají k tomu novou multiplatformní verzi backdooru ZeronetKit komunikující přes DNS tunelování a sofistikovaný phishing maskovaný za úřední formuláře, který doručuje škodlivý kód BrockenDoor určený k exfiltraci dat a post-exploitačním aktivitám. Významné škody působí také skupina Leek Likho (SkyCloak, Vortex Werewolf), která se zaměřila na organizace státního sektoru v Rusku a Bělorusku. Přes Telegram distribuuje archivy s LNK soubory, které spouštějí řetězec dalšího malwaru, vedoucí až k exfiltraci citlivých dat.
Paralelně s tím experti ze společnosti Kaspersky zaznamenali zvýšenou aktivitu pokročilé hrozby Cloud Atlas cílicí na vládní a komerční sféru v obou agresorských státech. Tato skupina zneužívá starší známou zranitelnost CVE-2018-0802 v editoru rovnic Microsoft Office a nasazuje novou sadu nástrojů včetně malwaru PowerCloud, zadních vrátek PowerShower a backdooru VBCloud, přičemž k zajištění trvalého přístupu upravuje systémovou knihovnu termsrv.dll pro vícenásobné RDP relace. Ofenzívu uzavírá dosud neznámá hackerská skupina, která provedla rozsáhlou kyberšpionážní kampaň proti ruským námořním univerzity, energetickým zařízením, diplomatickým misím a státním institucím. K průniku využila spear-phishing s infikovanými ZIP archivy obsahujícími podvržený konfigurační soubor aplikace Microsoft Excel, což jí umožnilo nasadit do systémů penetrační framework Ravage pro kompletní vzdálenou kontrolu, manipulaci se soubory a pořizování snímků obrazovky.
Západní státy reagují na ruskou hybridní agresi kombinací sankcí, policejních zásahů a technologických protiopatření. Nový Zéland oznámil svůj v pořadí již 35. balíček sankcí, který míří na 20 jednotlivců a dezinformačních entit podporujících ruskou agresi, přičemž zasahuje i alternativní platební systémy a dodavatele z KLDR a Íránu zásobující ruský vojensko-průmyslový komplex.
Na poli mezinárodní policejní spolupráce došlo k zásadnímu úspěchu v Argentině, kde byl zadržen šestadvacetiletý ruský občan Dmitrij Novikov, klíčová postava vlivové sítě La Compañía (Lakhta), dříve ovládané Jevgenijem Prigožinem a nyní převzaté ruskou Službou vnější rozvědky (SVR). Novikov pod rouškou turisty koordinoval dezinformační operace k destabilizaci státních institucí v Latinské Americe, přičemž celá operace byla rozkryta díky kooperaci argentinské SIDE s nizozemskými a ukrajinskými experty. V Evropě provedla nizozemská policie rozsáhlou razii proti kriminální a dezinformační infrastruktuře využívané pro kampaň Doppelgänger a web Reliable Recent News. Zadrženi byli dva IT podnikatelé, včetně Andreje N., provozovatele firmy Mirhosting, která poskytovala servery dříve sankcionovaným moldavským bratrům Ivanovi a Jurimu Neculitiovým a jejich firmě Stark Industries Solutions; policie při koordinovaném zátahu zabavila přibližně 800 serverů a datová média.
Na vlnu sociálního inženýrství ruských státních aktérů proti zahraničním politikům reagují i samotní technologičtí giganti. Šifrovaná komunikační platforma Signal integrovala nové bezpečnostní mechanismy, jako jsou varovné bannery při pokusu o naskenování neoficiálních QR kódů pro propojení s novým zařízením, vizuální indikátory pro neověřené kontakty vydávající se za podporu a omezení přístupu k historii zpráv, což má zamezit neautorizovanému převzetí účtů.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 5. 6. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
