První vydání roku 2026 analyzuje nový arzenál vysoce aktivní čínské skupiny Mustang Panda. Dále připomíná, že i experti na kyberbezpečnost mohou sklouznout na dráhu zločinu, a závěrem rozebírá strategii íránské skupiny Handala Hack Team, která efektivně kombinuje kybernetické útoky s informační kampaní.
Příjemné čtení!
Tým Cybule
Obsah:
- Mustang Panda a nový kernel-mode rootkit pro instalaci backdooru Toneshell
- Dva kyberbezpečnostní experti přiznali vinu za ransomwarové útoky
- Handala Hack Team a „Bibi Gate“: práce s hrozbou úniku informací
Mustang Panda a nový kernel-mode rootkit pro instalaci backdooru Toneshell
(29.12.2025, Kaspersky )
V závěru roku 2025 byla odhalena nová metoda čínské skupiny Mustang Panda, známé také jako HoneyMyte, která v rámci svých kybernetických kampaní začala nasazovat digitálně podepsaný kernel-mode rootkit pro instalaci backdooru ToneShell. Nejnovější analýza bezpečnostních expertů ukazuje, že tento typ malwaru běží přímo v jádře operačního systému, odkud dokáže efektivně skrývat svou přítomnost, manipulovat s chováním systému a obcházet většinu tradičních bezpečnostních mechanismů. Útočníci se přitom zaměřují především na vládní instituce, státní správu a organizace veřejného sektoru v oblasti jihovýchodní a východní Asie, kde usilují o dlouhodobý a skrytý přístup k citlivým systémům a datům.
Payload injection (Kaspersky )
Co potřebujete vědět:
- Aktivity Mustang Panda byly pozorovány směrem k vládním institucím v Myanmaru a Thajsku, typicky s cílem získávat citlivá data a udržet dlouhodobý přístup v kompromitovaných sítí. Za zmínku stojí skutečnost, že většina zasažených systémů byla již v minulosti kompromitována dalšími nástroji spojovanými se skupinou Mustang Panda, například USB červem ToneDisk, malwarem PlugX či staršími verzemi backdooru ToneShell.
- Zásadním prvkem nejnovějších útoků je použití kernel-mode rootkitu. Tento typ škodlivého kódu operuje přímo v jádře operačního systému, tedy na nejvyšší úrovni oprávnění. Díky tomu může malware efektivně skrývat svou přítomnost, manipulovat se systémovými procesy a obcházet bezpečnostní mechanismy, které fungují pouze v uživatelském režimu.
- V konkrétním případě kampaně této kampaně byl identifikován škodlivý ovladač, který je digitálně podepsaný kompromitovaným certifikátem.
- Hlavním účelem nasazení rootkitu je ochrana a skrytá instalace backdooru ToneShell. Tento nástroj poskytuje útočníkům vzdálený přístup ke kompromitovanému systému, umožňuje spouštění příkazů, přenos souborů a dlouhodobé udržení kontroly nad napadeným prostředím. Komunikace s řídicí infrastrukturou je navíc maskována tak, aby připomínala legitimní síťový provoz, což dále snižuje šanci na odhalení.
- Tradiční malware se pohyboval převážně v uživatelském režimu, kde jej moderní antivirová a EDR řešení dokázala relativně spolehlivě detekovat. Přesun útočníků na úroveň jádra operačního systému však zásadně mění situaci – bezpečnostní nástroje už nestačí pouze monitorovat běžící procesy, ale musí být schopny analyzovat chování podepsaných ovladačů, interakce kernelových komponent a odhalovat anomálie v systémových voláních.
Komentář Cybule: Analyzovaný incident s vysokou mírou jistoty potvrzuje, že popsaná aktivita je přímo spojena s aktérem Mustang Panda. Toto hodnocení vychází nejen z nasazení backdooru ToneShell jako finální fáze útoku, ale také z přítomnosti dalších nástrojů, které jsou s touto skupinou dlouhodobě spojovány, jako jsou PlugX nebo USB červ ToneDisk. Kombinace těchto artefaktů vytváří jednoznačný obraz kontinuity a návaznosti na předchozí operace Mustang Panda.
Dva kyberbezpečnostní experti přiznali vinu za ransomwarové útoky
(30.12.2025, Bleeping Computer, Justice.gov)
Dva američtí experti na kybernetickou bezpečnost, Ryan Goldberg a Kevin Martin, přiznali vinu k účasti na útocích ransomwarové skupiny BlackCat (ALPHV). Oba muži zneužili své odborné znalosti a důvěryhodné postavení k páchání trestné činnosti, proti které měli v rámci svých profesí bojovat. Goldberg pracoval jako incident response manažer ve společnosti Sygnia, zatímco Martin působil jako vyjednavač v případech ransomwaru ve firmě DigitalMint. Společně se třetím obviněným nasadili v roce 2023 ransomware do sítí několika amerických společností, včetně lékařských a inženýrských firem.
Za přístup k platformě BlackCat odváděli operátorům skupiny 20 % z výkupného a zbytek si dělili. V jednom případě, kdy napadli výrobce zdravotnických zařízení, získali na výkupném přibližně 1,27 milionu dolarů. Oběma mužům nyní hrozí až 20 let vězení, přičemž rozsudek má padnout v březnu 2026.
Co potřebujete vědět:
- Případ Goldberga a Martina je mimořádným příkladem vnitřní hrozby. Nejde o častější příklad zaměstnanců poškozujících vlastního nebo bývalého zaměstnavatele, ale o bezpečnostní experty, kteří využili své znalosti postupů při incident response a vyjednávání, aby v systémech obětí umístili ransomware a finančně profitovali z následného vydírání.
- ALPHV, známý také jako BlackCat, je ruskojazyčný kyberkriminální gang fungující jako Ransomware-as-a-Service (RaaS). ALPHV byla první velkou skupinou, která napsala svůj malware v programovacím jazyce Rust, což jí umožnilo snadno cílit na systémy Windows i Linux (včetně VMware ESXi).
- ALPHV se stala v prosinci 2023 cílem rušivé operace FBI a mezinárodních partnerů V rámci zásahu proti infrastruktuře FBI nabízela nástroj k dešifrování zašifrovaných dat. Skupina je spojována s nástupci gangů DarkSide a BlackMatter a je známá taktikou „trojího vydírání“ (šifrování dat, hrozba jejich zveřejnění a hrozba DDoS útoky).
- Nejedná se v poslední době o jediný případ zaměstnanců kyberbezpečnostních firem spolupracujících s ransomwarovými gangy. Koncem listopadu 2025 vyšlo najevo, že zaměstnanec kyberbezpečnostní společnosti CrowdStrike poskytoval interní informace kriminálnímu uskupení „Scattered Lapsus$ Hunters“.
- Vnitřní hrozby se obecně dělí na škodlivé a nedbalostní. Zatímco nedbalost (např. kliknutí na phishing) je častější, škodliví insideři (jako v tomto případě) způsobují cílené a často zásadní škody. Detekce je obtížná, protože útočníci již mají legitimní přístup k systémům a často vědí, jak obejít bezpečnostní kontroly (např. znají slepá místa v monitoringu).
Komentář Cybule: U vnitřních hrozeb se ukazuje, že tradiční bezpečnostní prověrky při náboru nestačí. Částečným řešením je zavádění Zero Trust (nikomu nedůvěřuj, vše ověřuj) postupů a využití nástrojů, které dokáží odhalit anomálie v chování uživatelů, například když manažer přistupuje k datům, která pro svou práci nepotřebuje, nebo když zaměstnanec stahuje nezvyklé objemy dat před odchodem z firmy. Perfektní řešení však neexistuje.
Handala Hack Team a „Bibi Gate“: práce s hrozbou úniku informací
(31.12.2025, International Institute for Counter-Terrorism, Reichman University)
Skupina vystupující pod názvem Handala Hack Team patří mezi výrazné aktéry současné vlny politicky motivovaných kybernetických útoků proti Izraeli. V závěru roku 2025 na sebe skupina přitáhla pozornost sérií mediálně výrazných tvrzení o kompromitaci mobilních telefonů vysoce postavených izraelských představitelů. Přestože byla operace prezentována jako závažný kybernetický incident, její význam nespočíval ani tak v technické rovině, jako spíše ve způsobu, jakým byla tvrzení o útoku komunikována a dále mediálně využívána.
Bibi Gate jak jej oznámil Handala Hack Team (ransomwere.live)
Část ze zveřejněných materiálů údajně získaných v rámci Bibi Gate (ransomware.live)
Co potřebujete vědět:
- Handala Hack Team kombinuje kybernetické útoky s cílenou komunikací na sociálních sítích a v médiích, přičemž důraz klade především na mediální dopad a psychologický efekt svých aktivit. V rámci kampaně „Bibi Gate“, která se rozvinula okolo 28. prosince 2025, skupina tvrdila, že získala přístup k informacím uloženým v mobilním telefonu Tzachiho Bravermana, šéfa kabinetu izraelského premiéra Benjamina „Bibi“ Netanjahua.
- Incident byl skupinou od počátku prezentován jako plná kompromitace mobilního zařízení, toto tvrzení však nebylo nezávisle technicky potvrzeno. Dosud není jasné, zda skutečně došlo ke kompromitaci telefonu jako takového, k úniku dat ze záloh v cloudových službách, nebo zda skupina pracuje s informacemi získanými nepřímo z jiných zdrojů. Jako hlavní „důkaz“ kompromitace Handala nabídla zveřejnění až 110 stran telefonních kontaktů.
- Materiály údajně získané při kompromitaci byly skupinou prezentovány jako zásoba určená k postupnému zveřejňování. Handala tímto způsobem vytvářela nejistotu ohledně rozsahu dat, kterými disponuje, a zároveň si ponechávala prostor pro další eskalaci bez nutnosti podnikat nové technické kroky. Samotná hrozba postupného publikování materiálů tak sloužila jako nástroj k prodlužování mediálního působení a udržování tlaku na cílové osoby i jejich okolí.
- Handala je v otevřených zdrojích sledována minimálně od prosince 2023 a mezi únorem 2024 a únorem 2025 provedla nejméně 85 útoků. Zatímco dříve cílila především na zdravotnictví, IT a vzdělávací instituce, v posledních měsících se její aktivita posouvá směrem k vládním činitelům a osobám působícím v obranném sektoru.
- Technická úroveň dosud zaznamenaných útoků této skupiny není nijak vysoká. Jejich skutečný význam spočívá především v psychologickém efektu. Načasování zveřejnění úniků i následná strategie udržování tématu v mediálním prostoru naznačují snahu skupiny vyvolat v cílových osobách nejistotu, strach a pocit neustálého ohrožení.
Komentář Cybule: Skutečný význam aktivit Handala Hack Teamu jednoznačně neleží v jejich technické úrovni, ale v schopnosti vytvářet značný psychologický nátlak na cílové osoby. Poučením z operací Handala Teamu by tak mělo být to, že ochrana klíčových osob a institucí by neměla končit u zavedení technických opatření, ale měla by cílit i na navýšení schopnosti těchto subjektů zvládat nejistotu a informační tlak, které podobné kampaně cíleně vytvářejí.
