V druhém vydaní v novém roce se postupně podíváme na kampaň ruské APT28 proti organizacím v energetickém sektoru a think-tankům v Evropě a střední Asii. Severokorejská skupina Kimsuky si vysloužila pozornost amerických úřadů kvůli zneužívání QR kódů ve phishingových kampaní. Závěrem se podíváme na analýzy Cisco Talos zaměřující se na dvě čínské špionážní skupiny, které cílí na strategické organizace v Asii a severní Americe.
Příjemné čtení!
Tým Cybule
Obsah:
- APT28 útočí na energetiku a think-tanky: cílem jsou přihlašovací údaje
- Severokorejská skupina Kimsuky zneužívá škodlivé QR kódy v cílených phishingových kampaních
- Cisco Talos upozorňuje na dvě čínské skupiny útočící na kritickou infrastrukturu v Americe a Asii
APT28 útočí na energetiku a think-tanky: cílem jsou přihlašovací údaje
(7.1.2026, RecordedFuture )
Ruská státem sponzorovaná skupina APT28 (BlueDelta), napojená na GRU, byla od února do září 2025 spojena s řadou cílených kampaní zaměřených na získání přihlašovacích údajů. Útočníci se zaměřili na úzkou, ale strategicky významnou skupinu obětí v Turecku, EU, Severní Makedonii a Uzbekistánu. Ve svých kampaních využili falešné přihlašovací stránky, které napodobovaly prostředí Microsoft Outlook Web Access (OWA), Google a Sophos VPN, a spoléhali se na běžně dostupnou legitimní infrastrukturu, jako jsou Webhook[.]site, InfinityFree, Byet a ngrok. Důvěryhodnost útoků dále zvýšili použitím skutečných PDF dokumentů jako návnady, čímž snížili podezření uživatelů a pravděpodobnost včasného odhalení.
Co potřebujete vědět:
- Kampaně směřovaly na osoby spojené s tureckou agenturou pro energetický a jaderný výzkum, na zaměstnance přidružené k evropskému think tanku a na organizace v Severní Makedonii a Uzbekistánu. Útočníci používali turecky psaný a regionálně zacílený obsah, aby působili věrohodně vůči konkrétním profesním a geografickým skupinám.
- Útoky mezi únorem a zářím 2025 mířily na úzký, ale jasně vyprofilovaný okruh obětí. Útočníci přitom využili falešné přihlašovací stránky, které věrně napodobovaly běžně používané služby — Microsoft Outlook Web Access (OWA), Google a portály Sophos VPN — aby uživatele přiměli zadat své přihlašovací údaje.
- Po zadání přihlašovacích údajů na podvržené stránce byly oběti automaticky přesměrovány na skutečný, legitimní web. Tím se minimalizovala šance, že si uživatel všimne něčeho podezřelého nebo útok nahlásí. Zároveň se ukázalo, že útočníci ve velké míře využívali služby jako Webhook[.]site, InfinityFree, Byet Internet Services a ngrok — platformy, na nichž hostovali phishingové stránky, odesílali získané přihlašovací údaje a řídili celý řetězec přesměrování.
- Útočníci se snažili, aby celý útok působil co nejdůvěryhodněji, a proto jako návnadu používali skutečné PDF dokumenty. Šlo například o publikaci Centra pro výzkum v Perském zálivu z června 2025 týkající se íránsko-izraelské války nebo o politický briefing z července 2025, který vyzýval k nové dohodě pro Středomoří a vydal ho klimatický think tank ECCO.
- Řetězec útoku začínal phishingovým e-mailem se zkráceným odkazem. Po kliknutí byla oběť přesměrována na stránku hostovanou na webhook[.]site, která návnadový dokument krátce zobrazila zhruba na dvě sekundy, aby vše vypadalo legitimně. Poté následovalo další přesměrování na druhou stránku na webhook[.]site, kde už čekala falešná přihlašovací stránka Microsoft Outlook Web Access. Na ní se nacházel skrytý prvek HTML formuláře, který si ukládal adresu webhooku, a JavaScript následně odeslal signál „stránka otevřena“, přenesl zadané přihlašovací údaje na koncový bod webhooku a nakonec oběť přesměroval zpět na PDF soubor hostovaný na skutečném webu, aby si uživatel útoku ideálně vůbec nevšiml.
Řetězec získávání přihlašovacích údajů (Recorded Future)
Komentář Cybule: APT28 dělá to, co je pro ni v mnoha případech typické: soustředí se na získávání přihlašovacích údajů jako na rychlý a efektivní způsob, jak získat přístup k e-mailům, VPN a dalším interním systémům. V těchto kampaních k tomu využila přesvědčivé kopie přihlašovacích portálů (OWA, Google, Sophos VPN), často podpořené legitimním PDF jako návnadou, a po odeslání údajů oběti rychle přesměrovala na skutečný web. Útok tak působil jako běžné přihlášení a výrazně tím klesla i šance, že si uživatel všimne něčeho podezřelého nebo incident nahlásí. Celý řetězec byl navíc postaven na běžně používaných službách typu Webhook[.]site, InfinityFree, Byet a ngrok, což jí umožňovalo infrastrukturu snadno obměňovat a obráncům komplikovalo plošné blokování bez vedlejších dopadů. Pro obranu z toho plyne jednoduchý závěr: počítat s kompromitací hesla a stavět ochranu na phishing-rezistentním MFA (FIDO2/WebAuthn), podmíněném přístupu a rychlé detekci anomálních přihlášení.
Severokorejská skupina Kimsuky zneužívá škodlivé QR kódy v cílených phishingových kampaních
(8. 1. 2026, FBI IC3)
Americké federální úřady prostřednictvím Internet Crime Complaint Center (IC3) vydaly bezpečnostní upozornění, které varuje před aktivní phishingovou kampaní severokorejské státem podporované skupiny Kimsuky. Útočníci v kampani využívají QR kódy vložené do e-mailů, jejichž cílem je krádež přihlašovacích údajů a získání dlouhodobého přístupu do systémů obětí. Kampaň je zaměřena zejména na vládní instituce, akademické organizace, think-tanky a jejich zaměstnance, především ve Spojených státech. IC3 upozorňuje, že QR kódy představují rostoucí riziko, protože nejsou standardně kontrolovány bezpečnostními nástroji stejně jako běžné odkazy v e-mailech. Organizacím se doporučuje posílit školení uživatelů, omezit používání QR kódů v e-mailové komunikaci, zavést metody vícefaktorové autentizace odolné proti phishingu a zajistit ochranu mobilních zařízení, která jsou pro skenování QR kódů nejčastěji používána.
Co potřebujete vědět:
- Útočníci ze severokorejské skupiny Kimsuky rozesílají cílené spear-phishingové e-maily, které se tváří jako legitimní komunikace související s pracovními záležitostmi, výzkumem nebo nabídkami ke spoluprací. Tyto e-maily ale místo klasického odkazu obsahují QR kód, který má oběť přimět k použití mobilního zařízení.
- Po naskenování QR kódu je uživatel přesměrován na škodlivé webové stránky, které v první fázi nenápadně shromažďují technické informace o zařízení, jako je IP adresa, typ operačního systému, použitý prohlížeč nebo jazykové nastavení. Tyto údaje mohou útočníkům pomoci rozhodnout, zda je oběť pro další fázi útoku vhodná. Následně jsou obětem zobrazovány falešné přihlašovací stránky, které velmi věrně napodobují běžně používané služby, zejména Microsoft 365, firemní e-mailové systémy, identity poskytovatele (např. Okta) nebo rozhraní pro vzdálený přístup přes VPN. Uživatelé tak mají pocit, že se pouze znovu přihlašují ke známé službě.
- Cílem kampaně je získání přihlašovacích údajů nebo autentizačních tokenů, což může útočníkům umožnit přístup k účtům obětí i v prostředí, kde je nasazeno vícefaktorové ověřování. Po úspěšné kompromitaci účtu se útočníci snaží udržet dlouhodobý a nenápadný přístup do prostředí oběti. Kompromitované účty mohou být dále zneužívány k internímu průzkumu, sběru citlivých informací nebo k rozesílání dalších phishingových zpráv z důvěryhodných adres.
- Použití QR kódů v phishingových kampaních představuje rostoucí problém, protože tento způsob útoku často obchází tradiční bezpečnostní mechanismy, které jsou zaměřeny především na kontrolu URL odkazů a příloh v e-mailové komunikaci. Zvláště riziková jsou v tomto kontextu mobilní zařízení, která bývají monitorována méně než pracovní stanice.
Komentář Cybule: Použití QR kódů v phishingových útocích není samo o sobě nové, ale jejich systematické nasazení v cílených kampaních státem podporovaných aktérů představuje další posun v obcházení obranných mechanismů. Mobilní zařízení zůstávají v mnoha organizacích slabým článkem bezpečnosti a QR kódy navíc přesouvají interakci mimo prostředí, které je běžně monitorováno. Zvláště znepokojivý je fakt, že cílem kampaně jsou organizace, které pracují s citlivými informacemi a jejichž kompromitace může mít nejen bezpečnostní, ale i politické dopady. Tento případ znovu ukazuje, že klíčovou roli v zabezpečení musí hrát mimo jiné také trénování schopnost uživatelů rozpoznat netradiční formy sociálního inženýrství.
Cisco Talos upozorňuje na dvě čínské skupiny útočící na kritickou infrastrukturu v Americe a Asii
(8.1.2026, Talos, 15.1.2026, Talos)
Analytici Cisco Talos publikovali dvě analýzy, které se věnuji aktivitám čínských kyberšpionážních skupin. První je UAT-7290, která je aktivní minimálně od roku 2022. UAT-7290 se zaměřuje na kritickou telekomunikační infrastrukturu v jižní Asii a nově expanduje i do jihovýchodní Evropy. Hlavním cílem UAT-7290 je nejen špionáž, ale také budování sítě tzv. Operational Relay Boxes (ORB). Infrastruktura tvořená kompromitovanými síťovými zařízeními následně slouží pro účely zakrytí útoků čínských APT skupin. Útočníci získávají prvotní přístup zneužíváním známých, ale dosud neopravených, zranitelností (tzv. n-day zranitelností) ve veřejně dostupných síťových zařízeních (edge devices) a následně nasazují vlastní malware. UAT-7290 tak nejen podniká vlastní operace, ale slouží i jako poskytovatel počátečního přístupu pro další čínské APT skupiny.
Druhým aktérem je UAT-8837, který je aktivní minimálně od roku 2025 a zaměřuje se na sektory kritické infrastruktury v Severní Americe. UAT-8837 se soustředí na získání počátečního přístupu zneužíváním známých i 0-day zranitelností (např. nedávné zranitelnosti CVE-2025-53690 v produktech Sitecore). Po průniku do sítě UAT-8837 nasazuje širokou škálu open-source nástrojů (jako Earthworm, SharpHound či DWAgent) a využívá techniky „living-off-the-land“ ke krádeži přihlašovacích údajů, mapování Active Directory ve Windows a zajištění trvalého přístupu.
| UAT-7290 | UAT-8837 | |
|---|---|---|
| Atribuce | Čína | Čína |
| Primární cíle | Poskytovatelé telekomunikací v jižní Asii; jihovýchodní Evropa | Sektory kritické infrastruktury v Severní Americe |
| Úkol | Špionáž a vytváření ORB sítí | Počáteční přístup a špionáž |
| Aktivní | Nejméně od roku 2022 | Cílení na kritickou infrastrukturu od roku 2025 |
| Významné TTP | Rozsáhlý průzkum; cílení na okrajová síťová zařízení; SSH brute force; n-day exploity. | Techniky Living-off-the-land (LOTL); zneužití zero-day zranitelností (např. SiteCore CVE-2025-53690); střídání nástrojů pro obcházení EDR. |
Co potřebujete vědět:
- Cisco Talos sleduje UAT-7290 od roku 2022, ale skupina vykazuje překryvy v infrastruktuře a výběru cílů se s aktivitami skupin RedFoxtrot (spojenou s čínskou vojenskou jednotkou Unit 69010) nebo Dagger Panda, která počátek své aktivity datuje do roku 2011 a v současnosti je považována za neaktivní.
- UAT-7290 využívá malware ShadowPad, což je sofistikovaný, modulární trojský kůň považovaný za nástupce malwaru PlugX. ShadowPad je velmi rozšířený mezi čínskými skupinami. Doposud nebylo pozorováno použití ShadowPad aktérem, který by nebyl napojený na Čínu.
- Mezi hlavní nástroje UAT-7290 patří linuxové implantáty RushDrop, DriveSwitch, SilentRaid a Bulbature. RushDrop (ChronosRAT) je dropper, který je používán na začátku infekčního řetězce. Provádí kontrolu prostředí (anti-sandbox) a následně dešifruje další komponenty. DriveSwitch je nástroj, jehož jediným úkolem je spustit SilentRaid. SilentRaid (MystRodX) je hlavní backdoor napsaný v C++. Má modulární architekturu a umožňuje vzdálené zadávání příkazů na cílovém zařízení (remote shell), správu souborů a přesměrování portů. Bulbature je nástroj určený specificky k zařazená napadeného zařízení do ORB sítě pro maskování dalšího provozu.
- UAT-8837 je buď úplně nový aktér nebo se jeho aktivita zatím nepodařila propojit s jednou s delé působících skupin. Google sleduje UAT-8837 jako UNC6329.
- Skupina preferuje open-source a veřejně dostupné nástroje, aby splynula s běžným provozem. Mezi klíčové nástroje patří nástroj Earthworm pro síťové tunelování, SharpHound a Certipy pro průzkum Active Directory, DWAgent pro vzdálená správu, GoTokenTheft pro krádež tokenů a Rubeus pro zneužití protokolu Kerberos. UAT-8837 prokázala i schopnost zneužití 0-day zranitelností pro získýní počatečního přístupu v případě zranitelnost CVE-2025-53690 v platformě Sitecore.
Komentář Cybule: Kritická infrastruktura a telekomunikace jsou v každě zemi předmětem zájmu nepřátelských kyberšpionážních skupin. Čínské skupiny jsou v tomto směru mimořádně aktivní a mají globální záběr. Doposud jsou známě hlavně případy, kdy motivací byla prokazatelně špionáž. Kompromitace kritického systému společně se zajištěním dlouhodobého přístupu může ovšem vést i k vyčkávání na vhodnou příležitost pro destruktivní útok, např. s použitím wiper malwaru.
