Kto atakuje polskie firmy? Najaktywniejsze w 2025 roku grupy cyberprzestępcze i APT.

Rok 2025… Dużo się działo…

Rok 2025 już za nami. Przyniósł z sobą bezprecedensową eskalację działań w cyberprzestrzeni RP. Według danych podawanych przez Ministerstwo Cyfryzacji, do października 2025 roku odnotowano w Polsce ponad 211 tysięcy incydentów bezpieczeństwa, co stanowiło dwukrotny wzrost w porównaniu do analogicznego okresu roku poprzedniego.

Przyjrzyjmy się nieco charakterowi obserwowanych incydentów. Pierwsze co możemy zauważyć, to fakt, iż atakujący, zmienili taktyki – odeszli od masowych, niesprofilowanych kampanii phishingowych na rzecz precyzyjnych ataków wymierzonych w podmioty o kluczowym znaczeniu dla łańcuchów dostaw, infrastruktury krytycznej oraz sektora e-commerce.  Obserwowaliśmy ataki ransomware z podwójnym wymuszeniem (double extortion), zaawansowane kampanie szpiegowskie wykorzystujące podatności zero-day w popularnych frameworkach webowych, aż po masowe ataki wolumetryczne DDoS, mające na celu destabilizację usług publicznych w kluczowych momentach politycznych i społecznych.

Wybrane Incydenty w 2025 roku

Przejdźmy jednak do konkretnych incydentów. 

Incydent w EuroCert Sp. z o.o.

Rok 2025 rozpoczął się od ataku na infrastrukturę firmy EuroCert Sp. z o.o.^[1],[2]. 12 stycznia 2025 roku, w godzinach nocnych atakujący ujawnił swą obecność w środowisku IT EuroCert, inicjując proces szyfrowania danych, następnie żądając okupu za ich odszyfrowanie. Zazwyczaj w przypadku tego rodzaju incydentów mamy do czynienia z tzw. podwójnym wymuszeniem, ponieważ atakujący eksfitruje również dane z systemów ofiary. Było tak i w tym przypadku. Analiza incydentu wskazuje na to, że atakujący mogli przebywać w sieci ofiary przez dłuższy czas, co pozwoliło im na mapowanie infrastruktury i identyfikację najbardziej wrażliwych zasobów. W ręce cyberprzestępców trafiły m. in.: 

• pełne dane identyfikacyjne: imiona, nazwiska, numery PESEL, daty i miejsca urodzenia, 
• serie i numery dowodów osobistych oraz paszportów, a co gorsza – ich cyfrowe odwzorowania (skany), które są często wymagane w procesie wydawania certyfikatu, 
• dane biometryczne i weryfikacyjne: Wizerunki twarzy (w przypadku weryfikacji wideo) oraz dane uwierzytelniające do systemów,
• dane kontaktowe: Adresy e-mail i numery telefonów. 

Incydent w EuroCert mógł mieć o wiele poważniejsze konsekwencje, ponieważ nie jest to zwykły podmiot komercyjny, lecz Kwalifikowany Dostawca Usług Zaufania (QTSP), operujący w ramach regulacji unijnych eIDAS. W przypadku przejęcia kontroli nad kluczami kryptograficznymi mógłby się skończyć wykorzystaniem ich do uwiarygodnienia fałszywych certyfikatów wygenerowanych przez atakującego, a w konsekwencji ułatwiłoby prowadzenie kampanii cyberprzestępczych. Zgodnie z oświadczeniem EuroCert tak się jednak nie stało – incydent skutkował „jedynie” gigantycznym wycieku danych klientów firmy, karami finansowymi oraz utratą zaufania klientów.

Waga incydentu wymusiła natychmiastową reakcję na szczeblu rządowym. 17 stycznia 2025 roku Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał komunikat ostrzegawczy, w którym wskazano na konieczność podjęcia radykalnych kroków zaradczych przez wszystkie podmioty współpracujące z EuroCert, w tym administrację publiczną.^[3]

SMYK S.A.

W marcu 2025 roku doszło do ataku na Grupę SMYK^[4], lidera rynku artykułów dla dzieci. Za atakiem stała prawdopodobnie grupa Akira, znana z atakowania firm w Europie Środkowej lub podobną grupę operującą w modelu Ransomware-as-a-Service. Według doniesień, grupa ta miała wejść w posiadanie 28 GB danych, obejmujących informacje o pracownikach, kontrahentach i klientach, informacje finansowe, umowy, kontrakty, umowy o zachowaniu poufności (NDA). Systemy sprzedażowe zostały przywrócone z kopii zapasowych, a realizacja zamówień nie została trwale wstrzymana. 

Ataki na administrację publiczną

W dniach 1 i 2 maja 2025 roku, w trakcie długiego weekendu, polska e-administracja stała się celem zmasowanego ataku DDoS (Distributed Denial of Service)^[5]. Celem ataku była dostępność kluczowych usług: rejestru PESEL, systemu CEPiK (pojazdy i kierowcy) oraz aplikacji mObywatel. Atak spowodował czasową niedostępność usług, uniemożliwiając obywatelom logowanie się do profili zaufanych czy korzystanie z cyfrowych dokumentów. Minister Cyfryzacji Krzysztof Gawkowski wskazał wprost na rosyjskie powiązania sprawców, wpisując ten incydent w kontekst napięć geopolitycznych w regionie.

Ataki na sektor telekomunikacyjny, energetyczny, finansowy i giełdowy

W maju 2025 roku NoName057(16) wraz z drugą prorosyjską grupą Dark Storm przeprowadziła skoordynowaną operację wymierzoną w polskie instytucje i przedsiębiorstwa. Kampanię zrealizowano w oparciu o ataki DDoS. Celem było zakłócenie funkcjonowania stron internetowych wielu krytycznych podmiotów w Polsce.

Zaatakowano m. in. Warszawską Giełdę Papierów Wartościowych, Polską Wytwórnię Papierów Wartościowych, Stowarzyszenie Emitentów Giełdowych, a także banki: Nest Bank i Bank Pocztowy. Nie były to jedyne cele haktywistów – uderzyli oni także w Polską Agencję Rozwoju Przedsiębiorczości (PARP), w operatora sieci komórkowej Play, w Energę – producenta i dystrybutora energii elektrycznej oraz w OBRUM – ośrodek badawczo-rozwojowy należący do Polskiej Grupy Zbrojeniowej, zajmujący się zaawansowanymi technologiami militarnymi. Atakowane były również lotniska w Gdańsku i Poznaniu.

Chaos informacyjny I operacje wpływu

W czerwcu 2025 wykryto kampanię wymierzoną w polskie instytucje rządowe i podmioty strategiczne, wykorzystującą podatność w oprogramowaniu Roundcube. Atakujący wykorzystywał podatność CVE-2024-42009 (Cross-Site Scripting), która umożliwiała uruchomienie złośliwego kodu JavaScript w momencie samego otwarcia wiadomości e-mail przez ofiarę – nie było wymagane kliknięcie w żaden link ani pobranie załącznika. Celem atakujących była kradzież książek adresowych, treści wiadomości, a w niektórych przypadkach wykorzystanie przejętego konta ofiary do wysyłania kolejnych wiadomości phishingowych. CERT Polska z wysokim prawdopodobieństwem przypisał tę kampanię grupie UNC1151^[6].

Ujawniono także operację grupy UAC-0057^[7] wymierzoną równolegle w Polskę i Ukrainę. Atakujący wykorzystał klaster złośliwych archiwów dystrybuowanych od końca maja do lipca 2025 roku. Grupa używała chmurowych usług do komunikacji C2 (Command and Control), aby ukryć ruch sieciowy przed systemami bezpieczeństwa. Analitycy powiązali z tą kampanią konkretne domeny wykorzystywane do kradzieży danych (np. a.mpk-krakow[.]pl – domena podszywająca się pod krakowskie MPK, służąca do zbierania haseł).

Równolegle aktywne pozostawały rosyjskie grupy APT28 i APT29, wyspecjalizowane w cyberszpiegostwie i operacjach wpływu, choć nie ujawniono publicznie nowych incydentów jednoznacznie przypisanych do tych grup, a zarazem realizowanych wyłącznie w polskiej cyberprzestrzeni. Nie mniej jednak grupa APT29 prowadziła w 2025 r. kampanię phishingową wobec europejskich ministerstw spraw zagranicznych i ambasad^[8](WINELOADER/GRAPELOADER), w której celem byli m.in. dyplomaci państw blisko zaangażowanych we wsparcie Ukrainy, w tym również polscy.

Klima-Therm

W październiku 2025 roku ofiarą ataku padła firma Klima-Therm^[9], dostawca systemów klimatyzacyjnych i wentylacyjnych. Atak przypisano grupie Qilin (znanej też jako Agenda). Ponownie mieliśmy do czynienia z atakiem ransomware, tym razem w firmę o dużym znaczeniu dla sektora budowlanego. Wyciek dokumentacji technicznej, planów instalacji czy umów handlowych mógł mieć poważne konsekwencje. Grupa Qilin zamieściła na swej oficjalnej stronie Klima-Term pośród innych swych ofiar.

Ania Kruk

Pod koniec października 2025 roku (27-28.10) ofiarą ataku padła marka jubilerska ANIA KRUK^[10]. Incydent jest przypisywany grupie Everest Ransomware Gang. Grupa ta znana jest z tego, że często nawet nie szyfruje danych, lecz skupia się na ich kradzieży i szantażu (extortion-only). Tak było i tym razem – przestępcy zagrozili publikacją bazy klientów.

SuperGrosz i Itaka

Początek listopada 2025 roku przyniósł serię incydentów uderzających w sektor finansowy i turystyczny. Platforma pożyczkowa SuperGrosz (AIQLABS) padła ofiarą ataku, który doprowadził do wycieku niezwykle wrażliwych danych finansowych^[11]. Wykradziono:

• Numery PESEL i dowodów osobistych,
• Informacje o dochodach i zatrudnieniu,
• Historię kredytową,
• Numery rachunków bankowych.

Równolegle, 1 listopada, biuro podróży Itaka doświadczyło wycieku danych logowania klientów^[12] oraz atak DDoS wymierzono w system płatności mobilnych BLIK. 

Dom Development

Na przełomie listopada i grudnia przeprowadzono atak na Dom Development. Incydent ten, wykryty 4 grudnia, jest bezpośrednio powiązany z ujawnieniem krytycznej podatności w bibliotece React.js, nazwanej React2Shell (CVE-2025-55182)^[13]. Atak dotknął wiele spółek z grupy (Wrocław, Kraków, Euro Styl) i doprowadził do wycieku gigantycznej ilości danych:

• klientów: pełne dane osobowe, numery PESEL, numery dowodów, adresy, numery ksiąg wieczystych, informacje o zadłużeniu i szczegóły nabywanych nieruchomości.
• pracowników: dane kadrowe, numery kont bankowych, dane dzieci pracowników (PESEL, daty urodzenia).

WK Dzik

Końcówka roku przyniosła kolejny głośny incydent w sektorze e-commerce, tym razem dotykający spółkę WK (właściciel marki WK Dzik), popularną wśród młodych konsumentów i entuzjastów fitnessu^[14]. W nocy z 7 na 8 grudnia 2025 roku cyberprzestępcy przełamali zabezpieczenia sklepu internetowego marki^[15] i wykonali eksfitrację danych klientów. Skradziono imiona i nazwiska klientów, adresy ich zamieszkania i dostaw, adresy e-mail i numery telefonów oraz szczegółową historię zamówień. Na uwagę zasługuje tutaj dodatkowy aspekt – to w jaki sposób powiadomiono poszkodowanych o wycieku danych. Jest to przykład jak nie należy informować o incydencie tego rodzaju – początkowo, w odpowiedzi na zaniepokojenie klientów (którzy otrzymywali dziwne wiadomości już 4 grudnia), firma wysłała uspokajający komunikat sugerujący, że był to jedynie błąd pracownika lub drobny incydent, a dane są bezpieczne. Dopiero 10 grudnia spółka zmuszona była wydać sprostowanie, w którym przyznała: „Bijemy się w pierś i przepraszamy za błędny sygnał… Pospieszyliśmy się”.

Ataki haktywistyczne na Sieci ICS/OT

W 2025 roku działania grup haktywistycznych obserwowane w Polsce zmieniły całkowicie swój charakter. Odeszły one od wyłącznie ataków DDoS na rzecz prób manipulacji systemami sterowania przemysłowego (ICS/OT) w infrastrukturze krytycznej, dążąc do wywołania fizycznych awarii i efektów psychologicznych. Hakerzy z grupy Cyber Army of Russia Reborn wielokrotnie uzyskiwali dostęp do paneli operatorskich (HMI) małych zakładów wodociągowych. Wykorzystując słabe zabezpieczenia (m.in. domyślne hasła w sterownikach), próbowali zmieniać parametry pracy pomp i poziom wody w zbiornikach. Choć ataki nie doprowadziły do skażenia wody, wymusiły przejście zakładów na sterowanie ręczne. 

12 sierpnia 2025 r. doszło do ataku na systemy sterowania (SCADA) kompresorowni zasilającej sieć ciepłowniczą w Częstochowie^[16]. Atakujący, prawdopodobnie wykorzystując przejęte poświadczenia zdalnego dostępu, zmodyfikowali parametry pracy sprężarek, podnosząc ciśnienie w układzie powyżej norm bezpieczeństwa. Automatyczne systemy bezpieczeństwa (Safety Instrumented Systems – SIS) zareagowały prawidłowo, inicjując awaryjne wyłączenie instalacji (emergency shutdown).

W całym 2025 roku obserwowano masowe skanowanie polskiej cyberprzestrzeni w poszukiwaniu sterowników przemysłowych wystawionych do publicznego Internetu. Po przejęciu kontroli, grupy takie jak NoName057(16)^[17]czy People’s Cyber Army często podmieniały logikę sterowników lub wyświetlały na panelach HMI komunikaty propagandowe, co skutkowało zatrzymaniem linii produkcyjnych lub procesów komunalnych.

Głowni Aktorzy Zagrożeń

Identyfikacja konkretnego aktora zagrożeń odpowiedzialnego za dany incydent jest niezwykle trudna. Atakujący wykorzystują wiele zaawansowanych technik podczas ataku tak, by ukryć rzeczywiste źródło ataku i utrudnić przypisanie do konkretnej organizacji lub państwa. Zaawansowani aktorzy zagrożeń (grupy APT), w szczególności grupy sponsorowane przez państwa, celowo stosują taktyki i narzędzia innych aktorów zagrożeń – mogą stosować złośliwe oprogramowanie znane z ataków konkurencyjnych grup, powielać charakterystyczne procedury operacyjne albo nawet pozostawiać fałszywe ślady, by skutecznie zmylić analityków. Charakter artefaktów pozostawionych w trakcie cyberataku – kody źródłowe, narzędzia, infrastruktura – jest niewystarczająco unikatowy dla większości grup APT, ponieważ wiele z nich pracuje z tym samym lub bardzo podobnym zestawem narzędzi i zasobami. Oznacza to, że wiele incydentów może pasować do profili wielu różnych aktorów jednocześnie. Proces atrybucji dodatkowo komplikują ograniczenia dostępu do danych przedsiębiorstw, które padły ofiarą ataku – często nie posiadają one pełnej widoczności wszystkich faz incydentu, szczególnie jeśli trwał on wiele miesięcy lub atakujący unikali wykrycia w zaawansowany sposób.

Grupy APT (Powiązane z Rządami)

UNC1151

UNC1151 – grupa APT powiązana z Ministerstwem Obrony Białorusi^[18] oraz rosyjskimi służbami specjalnymi. Celami ataków są głównie osoby związane z polityką i wojskowością oraz mogące mieć pośredni związek z Rosją i Białorusią, takie jak tłumacze przysięgli języka rosyjskiego, prawnicy, pracownicy organizacji pozarządowych, księża prawosławni i dziennikarze. Operacje wymierzone są przede wszystkim w odbiorców na Litwie, Łotwie i w Polsce, z narracjami krytycznymi wobec obecności NATO w Europie Wschodniej, wykorzystując także tematy antyamerykańskie i związane z COVID-19 jako część programu anty-NATO. Kampanie grupy noszą nazwę „Ghostwriter”. Motywacją grupy jest kradzież informacji w celach wywiadowczych oraz prowadzenie kampanii dezinformacyjnych. Grupa UNC1151 identyfikowana jest także pod nazwami alternatywnymi: Operation Ghostwriter (FireEye), TA445 (Proofpoint), UAC-0051 (CERT-UA), PUSHCHA (Google), DEV-0257 (Microsoft), Storm-0257 (Microsoft). 

APT28

APT28  – to grupa, która została przypisana do rosyjskiego Głównego Zarządu Wywiadowczego Sztabu Generalnego (GRU), 85. Głównego Centrum Służb Specjalnych (GTsSS) jednostki wojskowej 26165^[19],[20]. Grupa ta jest aktywna od co najmniej 2004 roku. APT28 stara się gromadzić informacje, wykazywała zainteresowanie rządami i organizacjami bezpieczeństwa w Europie Wschodniej. Celem działań grupy jest zapewnienie rosyjskiemu rządowi możliwości przewidywania intencji decydentów i oceny ich zdolności do wpływania na opinię publiczną. Grupa wybierała na swe cele organizacje funkcjonujące w sektorach motoryzacji, lotnictwa, przemysłu chemicznego, budownictwa, obronności, edukacji, energetyki, inżynierii, finansów, opieki zdrowotnej, przemysłu, IT, ropy i gazu. Ponadto atakowała ambasady, media, organizacje pozarządowe, think tanki i organizacje wywiadowcze. Grupa APT28 jest identyfikowana także pod nazwami alternatywnymi: Sofacy (Kaspersky), Fancy Bear (CrowdStrike), Sednit (ESET), Group 74 (Talos), TG-4127 (SecureWorks), Pawn Storm (Trend Micro), Tsar Team (iSight), Strontium (Microsoft), Swallowtail (Symantec), SIG40 (NSA), Snakemackerel (iDefense), Iron Twilight (SecureWorks), ATK 5 (Thales), T-APT-12 (Tencent), ITG05 (IBM), TAG-0700 (Recorded Future), UAC-0028 (CERT-UA), FROZENLAKE (Google), Grizzly Steppe (Administracja USA), Forest Blizzard (Microsoft), BlueDelta (Recorded Future).

APT29

APT29 – to grupa APT, która została przypisana rosyjskiej Służbie Wywiadu Zagranicznego (SVR)^[21],[22], która od co najmniej 2008 roku koncentruje się na gromadzenia danych wywiadowczych wspierających podejmowanie decyzji w zakresie polityki zagranicznej i bezpieczeństwa Rosji. Celem APT29 są przede wszystkim zachodnie rządy i powiązane z nimi organizacje, takie jak ministerstwa i agencje rządowe, polityczne ośrodki analityczne, sektor lotniczy, finansowy, zdrowotny, organizacje pozarządowe, media, telekomunikacja i transport. Ich cele obejmowały również rządy członków Wspólnoty Niepodległych Państw, rządy azjatyckie, afrykańskie i bliskowschodnie, organizacje związane z ekstremizmem czeczeńskim oraz rosyjskich mówców. Grupa jest znana pod nazwami alternatywnymi: APT 29 (Mandiant), Cozy Bear (CrowdStrike), The Dukes (F-Secure), Group 100 (Talos), Yttrium (Microsoft), Iron Hemlock (SecureWorks), Minidionis (Palo Alto), CloudLook (Kaspersky), ATK 7 (Thales), ITG11 (IBM), Grizzly Steppe (Administracja USA), UNC2452 (FireEye), Dark Halo (Volexity), SolarStorm (Palo Alto), StellarParticle (CrowdStrike), SilverFish (Prodaft), Nobelium (Microsoft), Iron Ritual (SecureWorks), Cloaked Ursa (Palo Alto), BlueBravo (Recorded Future), Midnight Blizzard (Microsoft).

Grupy Ransomware (Zmotywowane Finansowo)

Akira

Akira^[23] – grupa ransomware aktywna od marca 2023 roku, atakująca sieci korporacyjne i serwery VMware ESXi. Grupa stosuje model podwójnego wymuszenia (double extortion), gdzie najpierw eksfiltruje dane wrażliwe, a następnie szyfruje systemy, grożąc publikacją informacji jeśli ofiara nie zapłaci okupu. Początkowy dostęp grupa zazwyczaj zdobywa poprzez niechronione porty VPN (bez uwierzytelniania wieloskładnikowego), naruszone poświadczenia RDP, phishing oraz wykorzystanie narzędzi administracyjnych. Grupa posługuje się zaawansowanymi technikami poszerzania dostępu w infrastrukturze ofiary (tzw. latheral movment), enumaracji Active Directory i kradzieży poświadczeń PowerShell. Zakresy żądanych okupów wahają się od 200 tysięcy do ponad 4 milionów dolarów.

Qilin

Qilin^[24] (znana również jako Agenda) – grupa ransomware-as-a-service (RaaS) aktywna od sierpnia 2022 roku. Qilin operuje na modelu podwójnego wymuszenia, szyfrując dane oraz grożąc ich publikacją w darknecie. Złośliwe oprogramowanie grupy, napisane w językach Rust i Go, zdolne jest do jednoczesnego atakowania systemów Windows, Linux i VMware ESXi. Dostęp do sieci ofiary grupa zdobywa poprzez kompromitację portali VPN oraz naruszone poświadczenia, po czym grupa pozostaje zazwyczaj nieaktywna przez kilkanaście dni od początkowej kompromitacji. Kolejnym typowym działaniem grupy jest mapowanie infrastruktury i identyfikacja kluczowych zasobów ofiary. Grupa wykorzystuje podatności m. in. w FlexiVPN, Juniper, Veeam oraz FortiOS. W 2025 roku Qilin odpowiadał za ponad 300 ataków na całym świecie, przy czym wysokość okupów waha się od 50 tysięcy dolarów do kilkudziesięciu milionów dolarów.

Everest

Everest^[25] (Everest Ransomware Gang) – grupa cyberprzestępcza aktywna od grudnia 2020 roku, specjalizująca się w atakach na sektor opieki zdrowotnej, edukacji, logistyki, finansów i usług prawniczych. Grupa stosuje model podwójnego wymuszenia, eksfiltrując wrażliwe dane przed szyfrowaniem systemów. Operacje charakteryzują się m. in. wykorzystaniem RDP do latheral movment, z wykorzystaniem skradzionych poświadczeń, kradzieżą haseł z menedżerów poświadczeń oraz kradzieżą biletów Kerberos. Grupa posiada powiązania z innymi gang’ami ransomware takimi jak BlackByte i Ransomed. 

Grupy Haktywistyczne

NoName057(16)

NoName057(16)^[26] – prorosyjska sieć haktywistów aktywna od marca 2022 roku, skupiająca luźno powiązanych hakerów motywowanych zarówno ideologicznie jak i finansowo. Grupa charakteryzuje się brakiem formalnej struktury, ale posługuje się systemem gamifikacji – uczestnicy otrzymują kryptowaluty, odznaki i konkurują w rankingach aktywności, co przyciąga młodych i niedoświadczonych cyberprzestępców. NoName057(16) opracowała narzędzie DDOSIA – botnet DDoS napisanego w Pythonie, zdolnego do ataków z wykorzystaniem warstwy 4 i 7 w modelu OSI komunikacji sieciowej, z obsługą proxy. Działania grupy koncentrują się na demonstracyjnym zakłóceniu funkcjonowania systemów uznawanych za wrogie Rosji, w szczególności instytucji w krajach wspierających Ukrainę. Działalność grupy obejmuje ataki DDoS, eksploitację urządzeń VNC, phishing oraz kampanie dezinformacyjne. Grupa otrzymuje finansowe i organizacyjne wsparcie od Kremla, co potwierdzają dokumenty Departamentu Sprawiedliwości USA. W lipcu 2025 roku Europol zorganizował międzynarodową operację „Eastwood”^[27] wymierzoną w tę grupę, w której uczestniczyli policjanci z 11 krajów, w tym z Polski. Zneutralizowano ponad 100 systemów zainfekowanych botnetem DDOSIA, wyłączono znaczną część centralnej infrastruktury serwerowej grupy, aresztowano co najmniej 3 osoby – w tym 18-letniego hakera w Polsce, oraz po jednej osobie we Francji i Hiszpanii, wydano międzynarodowe nakazy aresztowania wobec dwóch głównych liderów grupy.

Cyber Army of Russia Reborn (CARR)

Cyber Army of Russia Reborn^[28] (CARR) – grupa haktywistyczna powiązana z rosyjskim GRU Unit 74455, otrzymująca finansowe i organizacyjne wsparcie ze struktur rosyjskiego państwa. Grupa specjalizuje się w atakach na infrastrukturę krytyczną – w szczególności systemy wodociągowe, elektroenergetyczne, żywności i rolnictwa. Techniki operacyjne grupy polegają na masowym skanowaniu cyberprzestrzeni w poszukiwaniu sterowników przemysłowych wystawionych do publicznego Internetu, wykorzystaniu słabych haseł (domyślnych haseł), braku uwierzytelniania wieloskładnikowego oraz braku segmentacji sieci. Po uzyskaniu dostępu do urządzeń HMI (Human Machine Interface) przez niezabezpieczone połączenia VNC, atakujący modyfikują parametry pracy systemów SCADA (Supervisory Control and Data Acquisition), wyłączają alarmy bezpieczeństwa, wymuszają restarty urządzeń i zmieniają hasła operatorów. Cele operacyjne grupy to spowodowanie utraty widoczności systemów (loss of view) i wymuszenie przejścia na sterowanie ręczne. Wiodący członkowie grupy – Yuliya Vladimirovna Pankratova (lider) i Denis Olegovich Degtyarenko (główny haker) – zostali objęci sankcjami USA w 2024 roku.

People’s Cyber Army

People’s Cyber Army^[29] – prorosyjska grupa haktywistów powiązana z APT44 (Sandworm, FROZENBARENTS, Seashell Blizzard), znana z przeprowadzenia ataków na ukraińską agencję nuklearną z użyciem 7,25 miliona botów. Grupa prowadzi politycznie motywowane ataki DDoS, publikując wcześniej manifest kierowany do atakowanych organizacji lub krajów na swoim kanale Telegram. Operacyjnie posługuje się Python’owymi skryptami DDoS z obsługą warstwy 4 i 7 w modelu OSI komunikacji sieciowej oraz proxy do ukrycia adresów IP atakujących. Ostatnia działalność grupy zanotowana w czerwcu 2024 roku, gdy przeprowadzili atak na francuskie strony internetowe w przygotowaniu do ataków na infrastrukturę podczas Olimpiady w Paryżu.

DarkStrom

Dark Storm Team^[30] – grupa haktywistów aktywna co najmniej od 2023 roku, specjalizująca się w atakach DDoS na serwisy rządowe, media i infrastrukturę krytyczną, a także w oferowaniu DDoS‑as‑a‑Service innym aktorom zagrożeń. Grupa przedstawia się publicznie jako pro‑palestyńska, jednak analizy jej aktywności wskazują na liczne powiązania operacyjne ze środowiskiem haktywistów prorosyjskich, w tym współpracę i skoordynowane kampanie z takimi podmiotami jak NoName057(16) czy People’s Cyber Army. Dark Storm wykorzystuje rozproszoną infrastrukturę botnetową oraz wynajmowane serwery VPS do prowadzenia ataków DDoS, zarówno wolumetrycznych i aplikacyjnych w warstwach 3/4 i 7 modelu OSI. Celem ataków są m.in. strony instytucji rządowych oraz podmiotów finansowych, przy czym każdy skuteczne zakłócenie funkcjonowania usług jest następnie wykorzystywane propagandowo na kanałach Telegram jako „dowód skuteczności” grupy.

Na zakończenie…

Rok 2025 zapisze się w historii polskiego cyberbezpieczeństwa jako czas bezprecedensowej eskalacji zagrożeń i rekordowej liczby zarejestrowanych incydentów. Analiza minionych dwunastu miesięcy nie pozostawia złudzeń – polska cyberprzestrzeń stała się areną intensywnych działań różnorakich aktorów zagrożeń, w tym grup APT i haktywistów powiązanych bezpośrednio z aparatami państwowymi Rosji oraz Białorusi.

Choć odnotowaliśmy znaczącą liczbę ataków motywowanych czysto finansowo (ransomware, kradzieże danych), to najgroźniejszym trendem okazały się operacje o charakterze hybrydowym. Incydenty te często wykraczały poza sferę techniczną, stając się elementem szeroko zakrojonych operacji wpływu i dezinformacji. Ich nadrzędnym celem nie była jedynie kradzież danych, lecz osłabienie zaufania obywateli do skuteczności funkcjonowania Państwa, jego organów oraz służb.

Dużo wskazuje na to, że nadchodzący rok 2026 nie będzie niestety spokojniejszy. Zagrożenia ewoluują w sposób dynamiczny. Aktorzy zagrożeń wykorzystują błędy nie tylko w oprogramowaniu, ale także nasze – ludzkie. Adaptują także coraz powszechniej do realizacji swoich celów narzędzia LLM, potocznie zwane narzędziami AI. 

Budowanie skutecznej obrony przed tak zaawansowanym i inteligentnym przeciwnikiem musimy oprzeć na solidnych fundamentach. Takim fundamentem są wszelkiego rodzaju standardy, normy, regulacje i dobre praktyki z zakresu cyberbezpieczeństwa. Dobrym przykładem jest tutaj dyrektywa NIS2. Regulacja ta nie tylko kompleksowo odnosi się do szerokiego spektrum współczesnych zagrożeń, ale adresuje także obszar ochrony łańcucha dostaw – często dotąd pomijany lub ignorowany.

W nadchodzącym roku 2026 organizacje powinny skoncentrować się, moim zdaniem, na kilku kluczowych obszarach:

• Budowie wielowarstwowych zabezpieczeń (Defense in Depth), a więc na budowie skutecznego systemu bezpieczeństwa opartego o wiele rozwiązań technologicznych, procesowych, proceduralnych, funkcjonującego na wielu warstwach w organizacji. Musi on uwzględniać również ochronę łańcucha dostaw zarówno infrastruktury, oprogramowania jak i usług.
• Głębokiej analizie podmiotu, który chronimy – musimy drastycznie zwiększyć świadomość własnych słabych stron. Kluczem do tego jest:
  • wdrożenie systematycznego, dynamicznego modelowania zagrożeń, które będzie uwzględniało szybko zmieniający się krajobraz zagrożeń, ale również kontekst naszej organizacji, jej cele, potrzeby i zobowiązania, 
  • rzetelna analiza wpływu na biznes (BIA), ponieważ tylko zrozumienie, jak funkcjonuje nasza organizacja, które procesy są dla niej krytyczne i jakie powstały pomiędzy nimi zależności oraz jak ewentualny incydent może wpłynąć na nasze funkcjonowanie pozwoli nam wdrożyć stosowne działania.
• Ochronie łańcucha dostaw – bezpieczeństwo relacji z dostawcami i podwykonawcami musi być fundamentem budowanej odporności organizacji, ponieważ bez niego najlepsze nawet zabezpieczenia mogą okazać się nieskuteczne.

Oczywiście nie powinniśmy poprzestać na powyższych działaniach… O nie!

Postanowieniem noworocznym powinna być dla nas myśl: jeśli poznam dobrze samego siebie i dowiem się kto może mnie zaatakować, będę w stanie przygotować się na nieprzewidziane.

---

^[1] https://eurocert.pl/cyberatak-na-eurocert-sp-z-o-o/
^[2] https://www.securitymagazine.pl/pl/a/atak-ransomware-na-eurocert-przyczyny-skutki-i-rekomendacje-dla-firm-i-poszkodowanych
^[3] https://www.gov.pl/web/baza-wiedzy/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-ws-wycieku-danych-w-wyniku-cyberataku-wobec-firmy-eurocert-sp-z-oo
^[4] https://cyberdefence24.pl/cyberbezpieczenstwo/nowe-informacje-o-ataku-na-siec-sklepow-smyk-co-wiemy
^[5] https://pentestica.pl/blog/zmasowany-atak-hakerski-ddos-na-polskie-uslugi-rzadowe-mobywatel-i-cepik-sparalizowane/
^[6] https://cert.pl/en/posts/2025/06/unc1151-campaign-roundcube/
^[7] https://cyberpress.org/uac-0057-pdf-exploit/
^[8] https://research.checkpoint.com/2025/apt29-phishing-campaign/
^[9] https://www.ransomware.live/id/S2xpbWEtVGhlcm1AcWlsaW4=
^[10] https://www.dexpose.io/everest-ransomware-attack-compromises-ania-kruk/
^[11] https://cybernews.com/cybercrime/poland-major-cyberattack-hackers-loan-customers-data/
^[12] https://www.polskieradio.pl/395/7786/artykul/3601841,poland-reports-blik-payment-outage-and-itaka-travel-agency-data-breach
^[13] https://sekurak.pl/atak-hackerski-na-dom-development-wyciekly-dane-pracownikow-klientow-potencjalnych-klientow/
^[14] https://sekurak.pl/wyciek-danych-wk-dzik/
^[15] https://mycompanypolska.pl/artykul/dane-klientow-wk-dzik-w-rekach-hakerow-spolka-bije-sie-w-piers-a-polska-bije-niechlubne-rekordy-cyberatakow/19522
^[16] https://cyberdefence24.pl/cyberbezpieczenstwo/prorosyjska-grupa-cyberprzestepcow-atakuje-polskie-firmy
^[17] https://cyberdefence24.pl/cyberbezpieczenstwo/kolejne-ataki-prorosyjskich-haktywistow-na-polskie-podmioty
^[18] https://cloud.google.com/blog/topics/threat-intelligence/unc1151-linked-to-belarus-government/
^[19] https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF
^[20] https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF^[21]  https://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/
^[22] https://www.gov.uk/government/news/russia-uk-and-us-expose-global-campaigns-of-malign-activity-by-russian-intelligence-services
^[23] https://attack.mitre.org/groups/G1024/
^[24] https://socradar.io/blog/dark-web-profile-qilin-agenda-ransomware/
^[25] https://www.halcyon.ai/threat-group/everest
^[26] https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a
^[27] https://www.europol.europa.eu/media-press/newsroom/news/global-operation-targets-noname05716-pro-russian-cybercrime-network
^[28] https://socradar.io/blog/dark-web-profile-cyber-army-of-russia-reborn/
^[29] https://cyble.com/threat-actor-profiles/peoples-cyber-army-of-russia/
^[30] https://cyble.com/threat-actor-profiles/dark-storm-team/

---

Piotr Kępski – inżynier systemów cyberbezpieczeństwa specjalizujący się w modelowaniu zagrożeń (MITRE ATT&CK), tworzeniu reguł SIGMA, analizie incydentów oraz wdrażaniu standardów bezpieczeństwa informacji zgodnych z ISO 27001. Doświadczony administrator i menedżer IT, wykładowca oraz współtwórca gier edukacyjnych CyberBastion, łączący praktyczną wiedzę techniczną z wieloletnią działalnością szkoleniową i ekspercką.