Prosinec znovu ukázal, že ruské operace proti Západu už dávno nejsou jen o „vypnutí webu na pár hodin“. Stále častěji míří na kritickou infrastrukturu – a občas sahají až do fyzického světa.
V prosinci 2025 dosáhly ruské ofenzivní operace nového stupně agresivity, přičemž se zaměřily na kritickou infrastrukturu a politickou stabilitu v Evropě i na Ukrajině. Hlavním aktérem zůstává ruská vojenská rozvědka GRU, jejíž elitní jednotky Sandworm a Fancy Bear (APT28) modifikovaly svou taktiku. Podle analýzy společnosti Amazon se skupina Sandworm v roce 2025 odklonila od nákladných zero-day exploitů a začala masivně zneužívat špatně konfigurovaná síťová zařízení na okraji firemních infrastruktur k zachycování provozu a krádežím údajů. K infiltraci využili zranitelnosti v systémech WatchGuard, Veeam a Confluence, což jim umožnilo provádět útoky typu credential replay s minimálním rizikem odhalení. Paralelně s tím skupina Fancy Bear vedla kampaň proti ukrajinské službě UKR.NET, kde k obcházení dvoufaktorové autentizace nasadila reverzní proxy služby ngrok a Serveo.
Útoky na fyzickou infrastrukturu se staly přímým nástrojem nátlaku. V Německu vláda oficiálně obvinila GRU z narušení řízení letového provozu a z dezinformační kampaně Storm 1516, která pomocí deepfake videí cílila na kancléře Friedricha Merze. Podobné operace byly zaznamenány v Dánsku, kde skupina Z-Pentest napojená na ruský stát napadla v roce 2024 vodárnu a v roce 2025 komunální volební systémy. V USA byla obviněna ukrajinská občanka Victoria Eduardovna Dubranova ze spolupráce se skupinami CyberArmyofRussia_Reborn a NoName057(16). Tato síť od roku 2022 zasáhla přes 1500 cílů, včetně průniků do průmyslových řídicích systémů (ICS) amerických vodáren a potravinářských závodů. Testování zranitelností ICS proběhlo i v Nizozemsku, kde se útočníci zmocnili ovládání veřejné vodní fontány, čímž demonstrovali schopnost manipulovat s nastavením čerpadel skrze nezabezpečená vzdálená připojení.
Propojení kybernetické kriminality a ruského státu ilustruje znovu se opbjevivší skupina CyberVolk, která kombinuje hacktivismus s novým ransomwarem VolkLocker, fungujícím na bázi Ransomware-as-a-Service. Tento malware, využívající k šifrování algoritmus AES-256, cílí na Windows i Linux a je řízen skrze automatizované rozhraní v aplikaci Telegram. Navzdory pokročilým funkcím pro obcházení bezpečnostních kontrol obsahuje VolkLocker kritickou chybu: ukládá šifrovací klíč v čitelném textu přímo v napadeném systému, což umožňuje obětem bezplatné dešifrování.
Ruská vlivová operace CopyCop (známá také jako Storm-1516) v prosinci demonstrovala sílu generativní umělé inteligence. Podle Recorded Future tato síť spravuje přes 300 falešných zpravodajských webů, které pomocí vlastních jazykových modelů (LLM) automatizovaně produkují manipulativní obsah imitující legitimní lokální média v Severní Americe a Evropě. Geografický dosah těchto aktivit je značný:
V Gruzii kampaně šířené skrze weby jako The Intel Drop nebo newsnet.fr zesilují narativy o převratech organizovaných CIA, přičemž automatizovaně přebírají obsah od sankcionovaných subjektů South Front a New Eastern Outlook.
V Arménii síť falešných účtů na platformách Meta šíří narativ o tzv. „ukrajinizaci“, který proevropské směřování země vykresluje jako cestu k totální zkáze.
Meta zlikvidovala síť v subsaharské Africe, která najímala místní správce sociálních médií k šíření protifrancouzské propagandy.
Klíčovým nástrojem pro přímé narušení služeb zůstává projekt DDoSia, provozovaný skupinou NoName057(16). Tato dynamická infrastruktura C2 serverů využívá dobrovolníky, kteří za provádění DDoS útoků dostávají odměny v kryptoměnách. Navzdory mezinárodní policejní operaci Eastwood se síť rychle regenerovala a v prosinci ochromila francouzskou národní poštu La Poste a její bankovní divizi. Stejná skupina stojí za moldavským portálem „Tradatori“ (Zrádci), který kombinuje doxxing (únik citlivých údajů) proevropských politiků s dezinformačními vlnami na Telegramu.
Vnitrostátní ruská politika se v prosinci nesla ve znamení represí a dalšího omezování digitálních svobod. Fyzik Arťom Chorošilov byl odsouzen k 21 letům vězení za vlastizradu, protože údajně provedl DDoS útok na Ruskou poštu a finančně podpořil ukrajinskou armádu. Současně cenzurní úřad Roskomnadzor zablokoval služby Apple FaceTime, Snapchat a herní platformu Roblox. Oficiálním důvodem je prevence terorismu, skutečným motivem je však neschopnost bezpečnostních složek monitorovat koncově šifrovanou komunikaci v těchto aplikacích.
V Bělorusku byla odhalena špionážní operace využívající malware ResidentBat zaměřený na Android. Běloruská KGB instaluje tento software, maskovaný za Adobe Reader, do telefonů novinářů a aktivistů, když jsou jim během jejich výslechů zabavené telefony. ResidentBat zneužívá služby usnadnění k dálkovému ovládání mikrofonu, kamery a ke čtení šifrovaných zpráv v aplikacích Signal a Telegram.
Ukrajinské kybernetické síly (HUR) ve spolupráci s hacktivistickými skupinami v prosinci zasáhly ruský vojensko-průmyslový komplex. Nejdrtivější úder směřoval proti logistickému gigantu Eltrans+, který zajišťuje dovoz čínské elektroniky pro výrobu raket. Během operace bylo znefunkčněno přes 700 počítačů a smazáno či zašifrováno 165 terabajtů kritických dat, včetně celních deklarací. Podobně byla paralyzována společnost ASCON, vývojář softwaru KOMPAS-3D pro konstrukci tanků a jaderných systémů, odkud skupina KibOrg exfiltrovala 10 TB dat.
Výrazně byla zasažena i společnost Aeroflot. Skupiny Silent Crow a Běloruští kyberpartyzáni zničili 7000 serverů a ukradli 20 TB dat, přičemž využili zranitelností v zastaralých systémech Windows XP. Anonymní hackeři pronikli do firmy Mikord, klíčového vývojáře elektronického registru branců, a ukradená data předali lidskoprávním organizacím. Skupina Paper Werewolfzačala využívat AI návnady, například falešné pozvánky na koncerty, k infiltraci ruských zbrojařských firem specializovaných na protivzdušnou obranu.
Kromě ukrajinských aktivit čelí Rusko i kampani QuietCrabs (UTA0178) z Číny, která zneužila zranitelnosti v Microsoft SharePoint a Ivanti k průniku do 110 ruských organizací za účelem špionáže a šíření ransomwaru LockBit.
V rámci západních bezpečnostních opatření došlo v prosinci k významnému incidentu v Polsku. Varšavská policie zadržela tři ukrajinské státní příslušníky, kteří u sebe měli specializované hackerské vybavení, včetně zařízení Flipper Zero, detektorů štěnic a výkonných antén . Ačkoli se muži vydávali za IT specialisty, jejich neschopnost věrohodně vysvětlit účel techniky vyvolala u polských úřadů vážné obavy z přípravy sabotáže na strategických IT systémech země, která slouží jako hlavní logistický uzel pro pomoc Ukrajině.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 7. 1. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
Powered by Froala Editor
