Po dlouhé době se na scéně objevila opět ruská kyberšpionážní skupina Turla a rovnou ukazuje své schopnosti ve vývoji vlastního malware. Kazuar se v roce 2017 objevil jako backdoor, jeho verze 2026 je modulární botnet umožňující skrytý přístup do systémů obětí. Íránská skupina Seedworm si „odskočila“ do Jižní Koreje pro informace v sítích tamního výrobce elektroniky a třetí novinka je zpráva Google o rostoucím využívání AI nástrojů útočníky.
Příjemné čtení!
Tým Cybule
Obsah:
- Ruská skupina Turla vyvinula backdoor Kazuar v modulární botnet
- Íránští hackeři zaútočili na významného jihokorejského výrobce elektroniky
- Google: zneužití nástrojů AI přechazí z experimentace k praktickému nasazení
Ruská skupina Turla vyvinula backdoor Kazuar v modulární botnet
(14.05.2026, Microsoft)
Microsoft Threat Intelligence Center (MSTIC) zveřejnil detailní analýzu malwarové rodiny Kazuar, kterou připisuje ruské APT skupině Secret Blizzard (Turla). Tento malware se vyvinul z tradičního backdooru v modulární, decentralizovaný botnet schopný dlouhodobé špionáže, odolnosti vůči detekci a flexibilního nasazení v moderních kybernetických operacích.
Co potřebujete vědět:
- Jedním z nejzásadnějších poznatků Microsoftu je evoluce Kazuaru z klasického trojanu do vícevrstvé architektury složené ze tří hlavních modulů: Kernel, Bridge a Worker. Kernel funguje jako hlavní orchestrátor celé infekce, zajišťuje správu konfigurace, plánování úloh, persistence a koordinaci ostatních částí. Bridge modul slouží jako komunikační vrstva umožňující peer-to-peer komunikaci mezi uzly botnetu, zatímco Worker moduly nesou konkrétní operační schopnosti jako sběr dat, exfiltraci, credential theft nebo vzdálené spouštění příkazů. Tato modularita výrazně zvyšuje flexibilitu, snižuje detekci a umožňuje útočníkům upravovat operace podle konkrétního cíle.
- Kazuar využívá vícefázový infekční řetězec zahrnující pokročilé loadery a droppery, například Pelmeni Dropper a .NET Loader. Tyto komponenty umožňují šifrované doručování payloadů, reflective loading, in-memory execution a COM hijacking. Výsledkem jsou minimální diskové stopy, nižší pravděpodobnost antivirové detekce a vyšší odolnost vůči sandboxové analýze.
- Kazuar nově funguje jinak než běžný malware, který je řízen přes jeden C2 server. Místo toho využívá decentralizovanou peer-to-peer síť, kde spolu jednotlivá infikovaná zařízení přímo komunikují. V této síti je vždy vybrán jeden hlavní uzel, který zajišťuje komunikaci s útočníky, zatímco ostatní zařízení si předávají informace interně mezi sebou. Díky tomu je celá infrastruktura méně nápadná, odolnější vůči odhalení a její vyřazení je výrazně složitější. Pokud bezpečnostní týmy odstraní jeden komunikační bod, botnet může pokračovat dál přes jiné uzly.
- Na rozdíl od ransomwaru nebo finančně motivovaných útoků je Kazuar vytvořen především pro stealth operace a dlouhodobé zpravodajské aktivity. Worker moduly se zaměřují na sběr přihlašovacích údajů, cookies, tokenů, systémových logů, dokumentů, e-mailových archivů či dat z aplikací jako Signal Desktop. Malware je navržen tak, aby umožnil dlouhodobou infiltraci citlivých sítí, zejména ve vládních, vojenských nebo kritických prostředích.
- Kazuar není jen malware, ale strategicky navržená kybernetická platforma připomínající enterprise software. Modularita, škálovatelnost, role-based komponenty a dlouhodobá adaptabilita naznačují trend, kdy státní aktéři investují do robustních operačních frameworků místo jednorázových nástrojů.
Příklad distribučního řetězce: dropper nainstaluje loader .NET a dodá dešifrovaný payload Kazuar k spuštění v paměti (Microsoft)
Komentář Cybule: Kazuar nelze vnímat izolovaně pouze jako technicky pokročilý malware. Jde o důkaz dlouhodobé evoluce skupiny Secret Blizzard, známé také jako Turla, která je již více než dvě dekády považována za jednu z nejsofistikovanějších ruských státem podporovaných kyberšpionážních skupin. Turla je proslulá svou schopností kombinovat technickou vyspělost a strategickou trpělivost a dlouhodobé infiltrační kampaně zaměřené především na vládní instituce, diplomacii, armádní struktury a kritickou infrastrukturu.
Vývoj Kazuaru ukazuje, že Turla nadále posouvá své operační schopnosti směrem k decentralizovaným, modulárním a vysoce odolným platformám, které připomínají profesionální softwarové ekosystémy více než tradiční malware. To odpovídá dlouhodobému stylu této skupiny: místo rychlých destruktivních útoků preferuje nenápadné, strategické a dlouhodobé špionážní operace zaměřené na získávání geopoliticky cenných informací.
Íránští hackeři zaútočili na významného jihokorejského výrobce elektroniky
(15.05.2026, security.com)
Bezpečnostní výzkumníci ze Symantecu a Carbon Black zveřejnili detaily rozsáhlé kybernetické operace íránské APT skupiny Seedworm zaměřené proti významnému jihokorejskému výrobci elektroniky. Incident je součástí širší kampaně vedené proti organizacím v několika zemích a znovu potvrzuje rostoucí schopnosti íránských státem podporovaných skupin v oblasti průmyslové špionáže. Útočníci během operace využívali kombinaci spear phishingu, legitimních administrátorských nástrojů, DLL sideloadingu a post-exploitation frameworků založených na PowerShellu a Node.js.
Co potřebujete vědět:
- Podle bezpečnostních výzkumníků byla za útokem pravděpodobně skupina TA453, známá také pod názvy Charming Kitten nebo Mint Sandstorm, a v některých případech spojovaná také s aktivitami skupiny MuddyWater/Seedworm. Skupina je podezřívána z napojení na íránskou zpravodajskou službu MOIS a v minulosti se zaměřovala především na akademické instituce, novináře, vládní organizace nebo think tanky. V posledních letech však výrazně rozšiřuje své operace směrem k technologickým firmám, dodavatelským řetězcům a průmyslovým podnikům pracujícím s citlivým výzkumem a pokročilými technologiemi. Útok proti jihokorejské společnosti navíc nebyl izolovaným incidentem, ale součástí širší globální kampaně zaměřené minimálně na devět organizací ve čtyřech zemích. Mezi cíli byly kromě výrobce elektroniky také letiště, univerzity, vládní organizace a další průmyslové společnosti, což naznačuje dlouhodobou zpravodajskou a průmyslově-špionážní motivaci operace.
- Počáteční kompromitace probíhala prostřednictvím sofistikovaných spear phishing kampaní využívajících důvěryhodně vypadající obchodní komunikaci a cíleně lokalizované zprávy obsahující informace relevantní pro konkrétní zaměstnance nebo oddělení společnosti. Po získání přístupových údajů útočníci využívali především techniky „living off the land“, tedy legitimní administrátorské nástroje, PowerShell skripty, cloudová API rozhraní a standardní utility Windows pro laterální pohyb napříč infrastrukturou. Výzkumníci zároveň zaznamenali využití DLL sideloading technik prostřednictvím legitimní podepsané binárky
sentinelmemoryscanner.exespolečnosti SentinelOne, která byla zneužita k načítání škodlivých DLL knihoven a obcházení bezpečnostní detekce. - Součástí infrastruktury byl také Node.js implant určený pro reconnaissance a post-exploitation aktivity, včetně screenshottingu, dumpování SAM databází, vytváření SOCKS5 tunelů nebo získávání dalších přístupových údajů. Analýza naznačuje, že útočníci strávili v kompromitovaném prostředí přibližně týden. Významnou součástí operace byly také pokusy o kompromitaci cloudových identit a obcházení vícefaktorové autentizace. Incident zároveň potvrzuje širší trend moderních APT operací založených na kompromitaci identit a zneužívání legitimních nástrojů. Bezpečnostní experti navíc upozorňují, že technologické firmy a výrobci elektroniky patří mezi stále častější cíle geopoliticky motivované průmyslové špionáže související s rostoucí aktivitou íránských kybernetických skupin.
Komentář Cybule: Incident potvrzuje pokračující trend státem podporované průmyslové špionáže zaměřené na technologické firmy, výrobce elektroniky a organizace pracující s pokročilým výzkumem nebo strategickým know-how. Operace podobného typu jsou dlouhodobě spojovány nejen s íránskými skupinami, ale například také s čínskými APT aktéry, kteří se systematicky zaměřují na získávání technologických informací, duševního vlastnictví nebo dat z dodavatelských řetězců. Kybernetické operace se tak stále častěji stávají součástí širší geopolitické a ekonomické soutěže mezi státy.
Google: zneužití nástrojů AI přechazí z experimentace k praktickému nasazení
(11.5.2026, Google Cloud)
Zpráva skupiny Google Threat Intelligence Group (GTIG) popisuje posun ve způsobu, jakým kyberzločinci využívají umělou inteligenci. Google poprvé identifikoval exploit typu nultého dne vyvinutý s pomocí AI. Konkrétně šlo o obcházení dvoufaktorového ověření ve webovém nástroji pro správu systémů. Tento exploit vykazoval jasné znaky generování pomocí LLM, jako je strukturované formátování, dokumentační řetězce (docstrings) v akademickém stylu a halucinované skóre závažnosti CVSS. Pokus o hromadné zneužití tohoto nástroje byl zablokován dříve, než stačil způsobit rozsáhlé škody. Nicméně jeho nasazení ukazuje rostoucí roli AI při objevování zranitelností a vývoji exploitů.
Cílem se stává i samotný softwarový AI ekosystém. Útočníci cílí na orchestrační vrstvy, open-source knihovny a API konektory. Významným příkladem je kyberkriminální skupina TeamPCP (UNC6780), která kompromitovala populární repozitáře jako LiteLLM prostřednictvím škodlivých balíčků PyPI, aby do nich vložila stealer malware pro krádež přihlašovacích údajů, včetně klíčů do cloudových prostředí.
Co potřebujete vědět:
- Halucinace AI se stává forenzním důkazem. Halucinované CVSS skóre posloužilo jako digitální otisk prstu, který obráncům prozradil, že kód nenapsal člověk.
- Zatímco samotná jádra AI modelů jsou vysoce zabezpečená, slabým místem je tzv. orchestrační vrstva, tj. softwarové mosty, doplňky a propojení (jako LiteLLM), které umožňují AI komunikovat s webovými stránkami a databázemi.
- Programátoři často šetří čas tím, že si stahují open source bloky kódu z veřejných knihoven jako PyPI (Python Package Index), čehož využívají útočnící pro kompromitaci softwarového dodavatelského řetězce. Skupina TeamPCP tento řetězec „otrávila“ nahráním škodlivých balíčků. Když vývojáři tyto podvržené bloky nevědomky integrovali do svých AI aplikací, neúmyslně tím kyberzločincům umožnili ukrást jejich podnikové cloudové klíče (např. pro prostředí AWS).
- Útočníci už nepoužívají AI jen k psaní jednoduchých phishingových e-mailů. Využívají generativní AI ke škálování celé své infrastruktury. To zahrnuje používání AI pro automatickou registraci účtů k obcházení bezpečnostních omezení, správu proxy služeb pro skrytí své polohy, integrace AI funkcí do malwaru a zefektivnění průzkumu sítí. Příkladem může být čínská skupina APT27, která využila Google Gemini k vytvoření nástroje pro správu ORB sítě.
- Využívání AI pro potřeby útočníků si na straně obránců vyžaduje přechod z automatizovaných na autonomní systémy. Nástroje jako Code Insight od VirusTotal nevyhledávají jen známé vzorky malwaru; v reálném čase aktivně vyhodnocují skutečné chování kódu doplňků AI, aby odhalily a zablokovaly neoprávněné operace ještě před jejich spuštěním.
Komentář Cybule: Poslední zjištění GTIG jsou výsledkem přirozeného vývoje zlepšování schopností útočníků používat AI nástroje pro rostoucí škálu jejich potřeb a souběžným růstem vyspělosti těchto nástrojů. Útočníci často patří mezi rané uživatele nových technologií a nástrojů ve snaze získat navrch nad obránci a AI jim nabízí urychlení řady časově náročných úkonů. Analýza GTIG také ukazuje, že snaha útočníků používat je odhalitelná, mj. i s pomocí AI nástrojů, resp. integrace AI do existujících technologií. Nové technologie přicházejí, přetahovaná mezi obránci a útočníky o to, kde je líp využije, zůstává.
