Adventní vydání Cybulovin i v předvánočním čase zůstává věrné svému poslání – přinášet vhled do světa kybernetické bezpečnosti. Zatímco se většina z nás připravuje na klidné svátky, v digitálním prostoru se žádné příměří nekoná. Právě naopak – konec roku patří k obdobím zvýšené aktivity útočníků, což potvrzují i témata dnešního vydání. Poprvé představujeme čínskou skupinu APT24, která se po letech znovu aktivně zaměřila na Tchaj-wan a používá kombinaci kompromitovaných webů, dodavatelských útoků a spear-phishingu k šíření malwaru BADAUDIO. Dále se věnujeme rozsáhlé kampani skupiny Qilin proti jihokorejskému finančnímu sektoru, která podle analytiků odhalila propojení ransomwarového gangu se státem sponzorovanými aktéry, zejména se severokorejskou skupinou Moonstone Sleet. Na závěr přinášíme pohled na analýzu týmu Amazon, jež ukazuje, jak se íránské kybernetické operace promítly do reálných vojenských útoků na Izrael.
Příjemné čtení!
Tým Cybule
Obsah:
- Čínská skupina APT24 cílí na tchajwanské organizace přes útoky na dodavatelský řetězec
- Qilin a Moonstone Sleet: Když se ransomware spojí se státní kyberšpionáží
- Amazon Threat Intelligence informuje o roli kybernetických špionážních útoků v rámci kinetických vojenských operací
Čínská skupina APT24 cílí na tchajwanské organizace přes útoky na dodavatelský řetězec
(10.11.2025, GTIG)
Tým Google Threat Intelligence Group (GTIG) zveřejnil analýzu rozsáhlé kyberšpionážní kampaně, cílící primárně na organizace na Tchaj-wanu, vedené skupinou APT24, která je napojena na Čínu. Tato kampaň, trvající od listopadu 2022 do současnosti, představuje významný posun v taktice skupiny směrem ke komplexní kampani s použitím několika vektorů útoků. Zatímco zpočátku se útočníci pro umístění malwaru v systému obětí spoléhali na kompromitace webů (útok typu watering hole), později své metody rozšířili o útoky na dodavatelský řetězec a spear-phishing. Ústředním prvkem pozorované kampaně je nasazení nového, vysoce obfuskovaného malwaru nazvaného BADAUDIO, který slouží jako downloader pro získání trvalého přístupu do sítí obětí. Útočníci prokázali značnou vytrvalost a adaptabilitu, když útokem na dodavatelský řetězec opakovaně kompromitovali digitální marketingovou firmu, čímž infikovali přes 1 000 domén. K distribuci škodlivého kódu navíc zneužívali legitimní cloudové služby, jako jsou Google Drive a Microsoft OneDrive.
Vývoj kampaně APT24 proti tchajwanským organizacím (GTIG)
Co potřebujete vědět:
- APT24 je dlouhodobě aktivní skupina hrozeb spojená s Čínskou lidovou republikou. Historicky se zaměřuje na kyberšpionáž a krádeže duševního vlastnictví v sektorech vlády, zdravotnictví, stavebnictví a telekomunikací, přičemž hlavními cíli jsou organizace na Tchaj-wanu a v USA.
- Hlavním nástrojem pozorované kampaně je malware BADAUDIO vyvinutý APT24. BADAUDIO je downloader napsaný v C++, který využívá pokročilé techniky (např. control flow flattening) k ochraně před analýzou. Skupina dále používá Cobalt Strike Beacon pro následné zneužití, šifrovaný (AES) malware a knihovny jako FingerprintJS pro profilování zařízení obětí.
- V červenci 2024 skupina kompromitovala tchajwanskou digitální marketingovou firmu. Útočníci vložili škodlivý kód do široce používané JavaScriptové knihovny distribuované touto firmou. Tento útok zasáhl více než 1 000 domén, které tuto knihovnu využívaly, a umožnil útočníkům masové šíření malwaru.
- GTIG zjistila, že APT24 v listopadu 2022 kompromitovala více než 20 legitimních veřejných webových stránek. Na tyto stránky umístila skripty, které identifikovaly návštěvníky používající systém Windows. Těmto uživatelům se následně zobrazila falešná vyskakovací okna (pop-ups), vyzývající k aktualizaci prohlížeče Google Chrome, která ve skutečnosti stáhla malware BADAUDIO.
- Skupina rovněž využila vysoce cílené spear-phishingové kampaně, například s tématikou organizací na záchranu zvířat. E-maily obsahovaly sledovací pixely (tracking pixel) pro ověření přečtení zprávy. Samotné škodlivé archivy byly hostovány na důvěryhodných službách jako Google Drive a OneDrive, aby útočníci obešli bezpečnostní filtry a zvýšili důvěryhodnost útoku.
Komentář Cybule: Aktivita APT24 byla poprvé pozorována již v roce 2008. Jedná se tedy o dlouhodobě působící skupinu s historii cílení na široké spektrum odvětví, včetně státní správy, zdravotnictví, těžebního průmyslu, neziskových organizací a telekomunikací. Cílem APT24 se obvykle zdají být dokumenty s politickou důležitostí, což naznačuje záměr monitorovat postoje jednotlivých států k otázkám souvisejícím s územními spory Číny. Cílení na organizace na Tchaj-wanu je v souladu s dlouhodobou aktivitou skupiny. Čína považuje Tchaj-wan za své území a usiluje o anexi Tchaj-wanu všemi možnými prostředky, včetně možného použití vojenské síly. Konflikt s Tchaj-wanem by s velkou pravděpodobností znamenal nějakou formu vojenské a politické intervence nejen USA, které jsou dlouhodobým partnerem Tchaj-wanu, ale i Japonska, Austrálie nebo Filipín, pro které je změna současného statusu Tchaj-wanu otázkou ohrožení národní bezpečnosti. Čínské zpravodajské služby pochopitelně usilují o sběr strategicky důležitých zpravodajských informací, aby Peking dokázal předvídat možné kroky regionálních rivalů.
Qilin a Moonstone Sleet: Když se ransomware spojí se státní kyberšpionáží
(24.11.2025, BitDefender)
Rozsáhlá ransomwarová kampaň proti jihokorejskému finančnímu sektoru v roce 2025 odhalila novou a nebezpečnou dimenzi kybernetických útoků. Podle bezpečnostních analytiků se skupina Qilin, původně vnímaná jako čistě kriminální gang, stala přímo propojenou se státem sponzorovanými APT aktéry. V této souvislosti se nejčastěji zmiňuje severokorejská skupina Moonstone Sleet, která údajně využívala infrastrukturu Qilin pro své vlastní geopolitické cíle. Ve výsledku se nejednalo pouze o typický útok ransomwarem, ale o hybridní útok kombinující vydírání, špionáž a informační operace.
Co potřebujete vědět:
- Útok, který zasáhl jihokorejské finanční instituce, nebyl typickou ransomwarovou kampaní zaměřenou pouze na zisk. Vyšetřování ukázalo, že skupina Qilin v roce 2025 dramaticky posílila svou aktivitu a během jediného měsíce se přihlásila k více než 180 cílům, čímž se stala jednou z nejnebezpečnějších ransomwarových skupin současnosti. Ještě důležitější však byl posun v charakteru jejích operací, které se začaly nápadně podobat chování státem sponzorovaných aktérů – do popředí se dostala propaganda, ideologická rétorika a snaha prezentovat útok jako „odhalování korupce“ namísto běžného vydírání.
- Bezpečnostní společnosti shodně upozorňují, že za tímto strategickým posunem stojí severokorejská APT skupina Moonstone Sleet. Tato skupina, známá útoky na obranný průmysl, využila kampaň „Korean Leaks“ pro destabilizaci a nátlak. Zásadní je, že Moonstone Sleet byl zachycen při nasazení ransomwaru Qilin. Tento moment představuje zásadní zlom: státní aktér začal využívat kompletní a hotovou infrastrukturu kriminální skupiny.
- Samotná kampaň Korean Leaks probíhala ve třech fázích a svým stylem se výrazně odlišovala od běžných vyděračských útoků. Útočníci tvrdili, že disponují důkazy o manipulacích na finančním trhu a vazbách mezi politickou a podnikatelskou elitou. Zajímavé přitom bylo, že zprávy zveřejňované na data leak site neobsahovaly klasické výzvy k zaplacení výkupného, ale politicky motivované výhrůžky a apely na veřejnost. Až třetí fáze kampaně se vrátila k tradičnímu vyděračskému tónu, což analytici interpretují jako rozdělení rolí mezi jednotlivými aktéry: zatímco APT skupina plnila destabilizační a propagandistickou funkci, Qilin se soustředil na monetizaci útoku.
- Z technického hlediska byl klíčovým prvkem operace útok na poskytovatele spravovaných služeb (MSP), přes kterého se útočníci dostali k desítkám klientských společností. Právě tento aspekt útoku odpovídá metodám státních aktérů, kteří cíleně vyhledávají takzvané „centrální uzly“ – jedno slabé místo, odkud lze zasáhnout co největší počet cílů. Výsledkem bylo odcizení více než 1 milionu souborů a přes 2 terabajty citlivých dat, přičemž celkem bylo postiženo nejméně 28 organizací, z nichž drtivá většina patřila do finančního sektoru
- Celý incident tak představuje jasnou ukázku toho, že ransomware již nelze vnímat pouze jako trestnou činnost organizovaného zločinu. Stává se plnohodnotným nástrojem geopolitického boje. Skupiny typu Qilin dnes neposkytují jen malware, ale celé operační zázemí – infrastrukturu, komunikaci, únikové platformy i mediální tlak. Státní aktéři naopak přinášejí strategické cílení, dlouhodobé plánování a politický význam.
Komentář Cybule: Případ ruské skupiny Qilin a severokorejského aktéra Moonstone Sleet jasně dokládá, jak se v současném kyberprostoru prolíná organizovaný zločin se státními zájmy. Tyto subjekty nesledují pouze politické cíle – jejich operace jsou zároveň silně motivovány finančním profitem. Ransomware dnes plní dvojí roli: je nejen nástrojem kyberšpionáže a destabilizace, ale zároveň vysoce výnosným zdrojem příjmů pro obě skupiny. Pro severokorejský režim má tato forma kybernetické kriminality mimořádný význam, protože výnosy z ransomwarových kampaní slouží k obcházení mezinárodních sankcí a financování strategických programů, včetně vývoje zbraní hromadného ničení. Současné působení aktérů z Ruska a Severní Koreje naznačuje, že kybernetické hrozby se dnes pohybují na pomezí geopolitiky a sofistikované kriminality. Způsob, jakým byl zneužit poskytovatel spravovaných služeb jako vstupní bod útoku, navíc odhaluje zásadní slabinu moderních organizací, které nejsou ohroženy pouze vlastním zabezpečením, ale i úrovní ochrany svých dodavatelů a partnerů. Firmy, které nadále vnímají kybernetickou bezpečnost jako izolovaný technický problém, se vystavují riziku, že se stanou nechtěnými účastníky konfliktů, které s nimi zdánlivě nesouvisejí. Přesto však právě ony mohou nést nejvážnější finanční i reputační dopady.
Amazon Threat Intelligence informuje o roli kybernetických špionážních útoků v rámci kinetických vojenských operací
(19.11. 2025, AWS Security Blog)
Amazon Threat Intelligence zveřejnil nová zjištění ohledně způsobů, jakými státem podporovaní aktéři kombinují kybernetické špionážní operace s kinetickými útoky. Jako příklad uvedli výzkumníci Amazonu dvě koordinované kampaně, v nichž byly kybernetické špionážní útoky cíleně využity jako předvoj a informační podpora pro následné kinetické operace. Tyto aktivity představují podle Amazonu významný posun v tom, jak státní aktéři začínají uvažovat o průzkumu a přípravě kinetických vojenských operací. Zveřejněné případy zároveň ukazují, že k získání citlivých údajů o cílech není nutná technická sofistikovanost. Útočníci často pouze zneužívají nedostatečně zabezpečené systémy, jako jsou městské kamery, lodní identifikační systémy AIS nebo průmyslové senzory.
Co potřebujete vědět:
- V prosinci 2021 skupina Imperial Kitten, spojovaná s Islámskými revolučními gardami (IRGC), kompromitovala automatický identifikační systém (AIS) blíže nespecifikované nákladní lodě. Následně útočníci v průběhu roku 2022 rozšířili kybernetické operace i na další plavidla a minimálně v jednom z případů se jim úspěšně podařilo získat přístup k palubním CCTV kamerám. V lednu 2024 začali útočníci cíleně vyhledávat AIS data konkrétní, ale blíže nespecifikované, nákladní lodě a jen o měsíc později byla tato loď napadena raketovým útokem provedeným militantní skupinou spřízněnou s IRGC. Loď nicméně nebyla zasažena.
- Druhý případ se týká skupiny MuddyWater, spojované s Iránským ministerstvem zpravodajství a bezpečnosti (MOIS), která v průběhu června 2025 využila vlastní předem připravenou infrastrukturu k přístupu na server se streamy z kompromitovaných městských CCTV kamer v Jeruzalémě v Izraeli. Pouhý týden poté byl proti městu veden rozsáhlý raketový útok. Podle izraelských úřadů útočníci využili právě hacknuté kamerové streamy k dolaďování zaměřování střel. V tomto případě tak informace získané kybernetickým útokem sloužily přímo jako podklad pro kinetický útok.
- Pro úplnost je nutné dodat, že odobné případy zneužití kamer byly podle Recorded Future News v posledních měsících zaznamenány také na Ukrajině, kde útočníci vzdáleně upravovali úhly záběru kompromitovaných kamer v Kyjevě a přenášeli jejich záznamy online, a také v Rusku, kde ministerstvo vnitra varovalo civilisty v pohraničí před používáním nezabezpečených kamer kvůli jejich možnému využití ke zpravodajským účelům.
- Ve všech případech platí, že nejde o technicky vysoce sofistikované kybernetické operace. Útočníci pouze zneužívají slabě zabezpečené systémy, které zároveň dokážou poskytnout vizuální informace potřebné pro plánování kinetických útoků.
Komentář Cybule: Případy popsané Amazonem a nedávné incidenty z Ukrajiny i Ruska ukazují, že role špionážních kybernetických útoků v přípravě na útoky kinetické je reálným a rostoucím trendem, který může zasáhnout i zdánlivě nevýznamné provozy. Systémy, které poskytují vizuální nebo polohová data, mohou být v oblastech zasažených vojenskými konflikty mnohem lákavějším cílem, než si jejich provozovatelé často připouštějí. Na závěr nelze doporučit nic jiného, než provést bezpečnostní kontrolu všech kamer, senzorů a dalších zařízení poskytujících real-time informace. Žádné z takových zařízení by nemělo být vystaveno do veřejného internetu bez odpovídajícího zabezpečení. Stejně důležitá je i kontrola zabezpečení vzdálených přístupů do těchto systémů, pravidelné aktualizace, monitoring anomálií a nastavení postupů pro řešení případných bezpečnostních incidentů.
