Listopad 2025 potvrdil, že hybridní válka nezná hranic. Rusko prohloubilo spolupráci se Severní Koreou a zkoordinovalo raketové údery s kyberútoky, které paralyzovaly ukrajinskou infrastrukturu. Bojiště se navíc rozšířilo o nový strategický rozměr: obě strany vzájemně útočí na své zemědělství a export komodit – zatímco ruští hackeři mažou data obchodníkům s ukrajinským obilím, kybernetické údery na ruské přístavy blokují vývoz hnojiv. Moskva na vnější tlak reaguje drakonickou cenzurou vlastních obyvatel, zatímco Západ kontruje rozbíjením finančních sítí Kremlu.
Ruské kyberútoky
Ruské operace v kyberprostoru během sledovaného období získaly na intenzitě i komplexnosti, přičemž jednotlivé útoky se často prolínaly s fyzickými údery proti infrastruktuře a nově také s mezinárodní spoluprací mezi státními aktéry.
Pololetní zpráva společnosti ESET ukazuje, že skupiny Gamaredon a Sandworm dál stupňují tlak na ukrajinské instituce i klíčové podniky. Gamaredon pokračoval v agresivní špionážní kampani, zatímco Sandworm znovu sázel na destruktivní nástroje: podle analytiků nasadil nové wipery Sting a ZEROLOT, které zasáhly vládní úřady, energetiku, logistiku i firmy spojené s obilným exportem. Cílem těchto operací bylo podle ESETu ekonomicky podkopat odolnost Ukrajiny a narušit fungování sektorů, které jsou pro zemi existenční.
K intenzivnějšímu tlaku přispívá i měnící se mezinárodní ekosystém kyberšpionáže. Analýza Gen Digital odhalila sdílení infrastruktury mezi ruským Gamaredonem a severokorejským Lazarusem – krok, který signalizuje užší koordinaci mezi státy dlouhodobě vystupujícími proti Západu. Výzkumníci upozorňují, že podobné aliance se stávají běžnou součástí moderních APT operací a výrazně zvyšují dosah, rychlost i flexibilitu kampaní. Severní Korea přitom již dříve sdílela infrastrukturu mezi Lazarusem a skupinou Kimsuky, což naznačuje, že vzniká propojená síť schopná rychle reagovat na geopolitické potřeby jednotlivých režimů.
Kybernetické operace se navíc stále častěji propojují s fyzickými útoky. Ilustrací byla listopadová raketová vlna, která zasáhla ukrajinskou energetickou infrastrukturu. Poškození tepelných a plynových elektráren, ale i rozvoden napojených na jaderné zdroje vyvolalo rozsáhlé výpadky elektřiny a tím i internetu a mobilních sítí. Omezena byla dostupnost klíčových služeb, od celních systémů až po přeshraniční dopravu. Podle ukrajinských úřadů útok doprovázely kybernetické operace jednotky Sandworm, která v předchozích měsících nasazovala mazací malware právě v odvětví energetiky, zemědělství a logistiky. Kombinace kinetických a kybernetických úderů tak mířila nejen na fyzické zničení infrastruktury, ale i na způsobení chaosu v informačních sítích a veřejné správě.
Ruské operace v informačním prostoru během sledovaného období ukazují, že hranice mezi státem, propagandou a kyberkriminalitou se dál rozplývá. Podle analýzy Analyst1 se ruské bezpečnostní složky v posledních letech systematicky propojují s prostředím kyberzločinu i s proruskými „hacktivisty“, kteří navenek vystupují jako autonomní hnutí. Dobrovolnické programy typu CyberSquad rekrutují tzv. digitální vojáky a vytvářejí polooficiální struktury, v nichž působí známé skupiny jako Killnet či NoName057. Tyto entity využívají jazyk i symboliku ruské státní propagandy a často útočí na cíle, které odpovídají prioritám Kremlu. Rusko jim zároveň poskytuje bezpečné útočiště, pokud jejich aktivity slouží státním zájmům, čímž podporuje militarizaci kyberprostoru a normalizaci útoků proti západním státům.
Hybridní povaha ruského působení se projevuje i mimo Evropu. Analýza NewsGuardu ukázala, že Moskva rozjela neobvykle časnou a koordinovanou dezinformační operaci proti prozápadní arménské vládě — a to více než rok před parlamentními volbami plánovanými na červen 2026. Kampaň, vedená skupinou Storm-1516 a fiktivní organizací Foundation to Battle Injustice, šířila 18 různých narativů prostřednictvím téměř 14 000 příspěvků na 11 platformách v osmi jazycích. Témata sahala od sexuálních obvinění přes údajnou korupci až po manipulované zprávy o převodu území či jaderném odpadu. Ruské aktéry navíc podpořilo zneužití velkých jazykových modelů — například Perplexity, Mistralu či Meta AI — které nekriticky opakovaly obsah z podvržených článků. Celkový dopad směřoval k oslabení premiéra Pašinjana a k podkopání důvěry v samotný volební proces.
Proruské hacktivistické skupiny mezitím pokračovaly v útocích proti evropským státům. NoName057(16), jedna z nejaktivnějších, se dvakrát během listopadu přihlásila k DDoS operacím: v Belgii a následně v Dánsku. Belgické útoky cílily na telekomunikační weby Proximus a Scarlet, které byly krátkodobě vyřazeny z provozu v reakci na výrok ministra obrany Thea Franckena o možné odvetě NATO. Zasažen byl také nemocniční systém univerzitní nemocnice v Gentu, kde útok způsobil zdrženou externí komunikaci, i když zdravotní péče zůstala funkční.
O necelé dva týdny později se NoName057(16) zaměřila na dánské komunální volby. Den před hlasováním znepřístupnily DDoS útoky weby několika politických stran včetně Konzervativců, Sociálních demokratů a Rudozelené aliance, stejně jako anglickojazyčný server The Copenhagen Post. Dánské úřady následně uvedly, že šlo o typický pokus o narušení veřejné debaty, nikoli o ohrožení samotného volebního procesu.
Ruské úřady během listopadu dál utahovaly šrouby digitální kontroly, a to jak vůči zahraničním službám, tak vůči vlastním občanům a technologické komunitě. Trend je patrný napříč celým spektrem opatření — od cenzury komunikátorů přes zásahy do infrastruktury až po kriminalizaci běžné online aktivity.
Prvním viditelným krokem byla snaha ztížit fungování populárních zahraničních komunikačních služeb. Ruští mobilní operátoři začali blokovat SMS a hovory s autorizačními kódy pro Telegram a WhatsApp, čímž uživatelům fakticky znemožnili registraci nových účtů a komplikovali přístup ke stávajícím. Telegram proto začal testovat alternativní ověřovací metody, například posílání kódů e-mailem či hlasové ověření z ruského čísla. Krátce poté Roskomnadzor zavedl další restrikce, tentokrát přímo proti WhatsAppu, což vedlo ke zpomalování načítání médií a výpadkům zpráv zejména v Moskvě a Petrohradu. Úřady krok zdůvodnily tvrzením o údajném využívání platformy k terorismu a špionáži a poukazovaly na nedávný únik diplomatických hovorů z prostředí Kremlu.
Součástí zpřísňování digitálního dohledu jsou i zásahy do samotné infrastruktury ruského internetu. Společnost Akamai zaznamenala začátkem listopadu výrazné výpadky konektivity v několika regionech, které podle analýzy souvisejí s úpravami BGP směrování a výpadky datových center. Tyto události se kryly s blokacemi zahraničních webů a VPN služeb — tedy obdobími, kdy dochází ke zvýšenému filtrování obsahu v rámci válečné cenzury. Dalším opatřením je nově zavedená 24hodinová blokace mobilních dat a SMS u ruských SIM karet po návratu ze zahraničí nebo po delší neaktivitě. Úřady tvrdí, že tak chtějí zabránit využívání SIM karet k navigaci ukrajinských dronů; uživatelé si mohou přístup obnovit přes CAPTCHA svého operátora.
Zákonodárci zároveň posilují kontrolu nad jednotlivci. Podle nového nařízení budou ruští operátoři muset zablokovat přístup konkrétnímu uživateli do 24 hodin na přímý pokyn FSB, a to bez soudního povolení. Opatření vyvolává obavy z možného zneužívání k umlčování kritiků, neboť umožňuje rychlé a netransparentní odstřihnutí občana od komunikace. Ve stejném duchu byla uplatněna i nová legislativa kriminalizující „vyhledávání extremistických materiálů“: první obviněný, dvacetiletý zdravotník ze Sverdlovské oblasti, čelí trestnímu stíhání za to, že vyhledával informace o ukrajinské jednotce Azov.
Represe dopadají i na odborníky z oboru kyberbezpečnosti. V Moskvě byl zatčen 21letý podnikatel a bezpečnostní analytik Timur Kilin, který upozorňoval na zranitelnosti vládní chatovací aplikace Max a kritizoval návrh zákona o kriminalizaci zveřejňování bezpečnostních chyb. Obvinění z vlastizrady přichází jen krátce po odsouzení spoluzakladatele bezpečnostní společnosti Group-IB Ilji Sačkova a ukazuje, že ruský stát se nebojí zasahovat i proti vlastním technologickým specialistům, pokud naruší oficiální narativ či zpochybní státní dohled nad digitálním prostorem.
Na ruské cíle mířila během sledovaného období pestrá škála kybernetických operací – od státem řízené špionáže až po útoky hacktivistických skupin a zásahy zahraničních APT aktérů. Společným jmenovatelem byla snaha proniknout do infrastruktury, narušit citlivé systémy a získat dlouhodobý přístup k datům, často s využitím sofistikovaných technik a nástrojů.
Jednou z nejkomplexnějších kampaní byla „Operation SkyCloak“ odhalená experty společnosti Seqrite. Ta cílila na ruské a běloruské vojenské jednotky, zejména výsadkové síly a speciální jednotky. Útoky začínaly důmyslnými phishingovými e-maily s infikovanými LNK zástupci, které aktivovaly PowerShellové skripty a instalovaly zadní vrátka. Útočníci využívali komunikaci přes síť Tor, zneužívali legitimní binárky OpenSSH pro Windows a nástroje jako curl, aby si zajistili anonymitu a dlouhodobou perzistenci v cílových systémech.
Podobně sofistikované aktivity byly připisovány i čínské skupině APT31. Výzkum PT Security ukázal, že tato skupina v letech 2024–2025 vedla cílené špionážní kampaně proti ruskému IT sektoru, především firmám dodávajícím technologie pro státní instituce. APT31 se spoléhala na DLL sideloading, keyloggery, skryté úlohy a komunikaci přes běžné cloudové služby, což jí umožnilo maskovat provoz jako legitimní firemní aktivitu. Útoky často probíhaly ve chvílích sníženého dohledu, například o víkendech či během svátků.
Ruské systémy zasáhli i hacktivisté a další nestátní aktéři. Společnost Protei, výrobce technologií pro sledování internetového provozu a dodavatel komponent pro systém SORM, se stala obětí útoku, při němž útočníci odcizili 182 GB dat, včetně e-mailové komunikace, a dočasně přepsali její webové stránky. Uniklá data byla následně předána kolektivu DDoSecrets, který se zaměřuje na zveřejňování informací o sledovacích technologiích.
Další incident mířil na ruskou společnost Port Alliance, provozující námořní terminály pro export uhlí a hnojiv. Útočníci spustili masivní DDoS útok a pokusili se proniknout do firemních sítí pomocí botnetu více než 15 000 IP adres z celého světa. Během tří dnů měnili taktiky i infrastrukturu, aby obešli obranné mechanismy. Přesto podle firmy zůstaly klíčové systémy funkční a provoz přístavů nepřerušen.
Sabotační operaci proti poště na okupovaných územích provedla ukrajinská hacktivistická skupina Ukrainian Cyber Alliance (UCA). UCA tvrdí, že zničila více než tisíc pracovních stanic, stovky virtuálních serverů a desítky terabajtů dat. Výpadky zasáhly firemní síť, webové platformy i e-mailové systémy a časově se kryly s ukrajinským dronovým útokem na energetickou infrastrukturu regionu.
Zcela odlišného charakteru jsou operace APT skupiny Tomiris, která podle analýzy Kaspersky cílí na ruské vládní a diplomatické subjekty. Skupina používá phishing s heslem chráněnými archivy a nasazuje reverse shelly v C, Rustu či Pythonu. Komunikaci maskuje přes služby typu Telegram a Discord a v pokročilejších fázích využívá frameworky Havoc a AdaptixC2 pro post-exploitation aktivity. Přestože některé nástroje sdílejí technické znaky s ruskou Turlou, Tomiris se jeví jako samostatný aktér, který podle některých analytiků může pocházet z Kazachstánu.
Celkově se ukazuje, že ruský digitální prostor je pod tlakem širokého spektra útočníků — od státních APT skupin po hacktivisty — kteří se zaměřují na infrastrukturu, armádu i společnosti propojené se státním dohledem. Dynamika útoků potvrzuje, že i Rusko, jež samo aktivně působí v kyberprostoru, zůstává zranitelné vůči sofistikovaným operacím zahraničních i domácích aktérů.
Evropská unie představila návrh „European Democracy Shield“, jehož cílem je zvýšit odolnost vůči zahraničnímu zasahování do voleb. Klíčovým pilířem má být nové Evropské centrum pro demokratickou odolnost, které bude shromažďovat a sdílet informace o manipulacích a dezinformačních kampaních. Zapojení států však zůstane dobrovolné. Komise zároveň reaguje na nedávné incidenty s deepfaky v Irsku a Nizozemsku a plánuje doporučení pro odpovědné využívání AI ve volbách, určené hlavně politickým stranám. Navrhuje také vytvoření sítě influencerů, kteří mají veřejnosti srozumitelně vysvětlovat pravidla EU pro politickou reklamu, obsah a používání AI.
Společná operace FBI a thajských úřadů vedla k zatčení Denise Obrezka, údajného člena ruské kyberšpionážní skupiny Void Blizzard (známé také jako Laundry Bear). Skupina dlouhodobě útočí na instituce v USA, Evropě i na Ukrajině, často za využití kradených přihlašovacích údajů a technik typu password spraying. Obrezko nyní čeká na možné vydání do Spojených států.
Britská National Crime Agency rozbila mezinárodní síť praní špinavých peněz obcházející sankce a financující ruské válečné operace. Síť, do níž byly zapojeny skupiny Smart a TGR, sbírala ve Spojeném království hotovost z trestné činnosti, převáděla ji do kryptoměn a za výnosy pak skrytě získala kontrolní podíl v kazašské Keremet Bank. Tím umožnila plynulý tok peněz směrem k ruskému státu navzdory sankčním omezením. Během operace bylo zadrženo 128 podezřelých a zabaveno více než 25 milionů liber v hotovosti a kryptoměnách, což z akce činí jednu z největších svého druhu za poslední dekádu.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 2. 12. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
Powered by Froala Editor
