W ostatnich latach cyberprzestrzeń stała się jednym z głównych obszarów rywalizacji między państwami, korporacjami i grupami interesu. Coraz częściej operacje w tej sferze nie ograniczają się do zwykłej cyberprzestępczości — stanowią element długofalowych działań o charakterze strategicznym. Jednym z najbardziej zaawansowanych przejawów tego zjawiska są Advanced Persistent Threats (APT) – wyspecjalizowane, długotrwałe kampanie cyberataków prowadzone przez zorganizowane grupy, często powiązane z rządami lub strukturami wojskowymi.
Celem grup APT nie jest szybki zysk finansowy, lecz pozyskiwanie informacji, infiltracja kluczowych systemów oraz utrzymanie trwałej obecności w sieciach ofiary.
Takie operacje mogą trwać miesiącami, a nawet latami, przebiegając często niezauważenie. Ich skutkiem bywa nie tylko kradzież danych, ale także sabotaż, manipulacja informacjami lub przygotowanie gruntu pod przyszłe działania militarne i polityczne.
Czym są grupy APT i jak działają?
Grupy APT działają inaczej niż typowi cyberprzestępcy. Ich celem jest systematyczne przenikanie do środowiska ofiary, pozostanie niewykrytym i stopniowe przejmowanie kontroli nad systemami.
Do tego celu wykorzystują:
- zaawansowane techniki włamań (w tym tzw. zero-day exploits),
- spersonalizowany phishing,
- ataki łańcucha dostaw,
- narzędzia administracyjne systemu (tzw. living-off-the-land),
czyli metody, które utrudniają wykrycie incydentu przez tradycyjne rozwiązania bezpieczeństwa.
Często za grupami APT stoją państwowe służby wywiadowcze lub organizacje działające na ich zlecenie, co zapewnia im zasoby finansowe, technologiczne i logistyczne niedostępne dla zwykłych cybergrup.
Najaktywniejsze grupy APT w latach 2024–2025
Według najnowszych raportów firm ESET, Mandiant, Trellix, Fortinet i Kaspersky, w 2024–2025 roku szczególnie aktywnych było kilka kluczowych grup:
| Grupa | Kraj / afiliacja | Cele i charakterystyka |
| Mustang Panda | Chiny | Kampanie szpiegowskie w Europie i Azji. Ataki na instytucje rządowe i sektor morski. Użycie loadera Korplug i zainfekowanych nośników USB. |
| APT41 (Brass Typhoon) | Chiny | Połączenie szpiegostwa i działań finansowych. Wzrost aktywności w 2025 roku. Wykorzystanie chmurowych kanałów komunikacji (tzw. blended C2). |
| UNC3886 | Chiny | Ataki na infrastrukturę wirtualizacji i urządzenia sieciowe (Fortinet, VMware, Juniper). |
| Volt Typhoon | Chiny | Działania przeciw infrastrukturze krytycznej USA – telekomunikacja, energetyka. Użycie technik living-off-the-land. |
| Sandworm / Sednit / Gamaredon | Rosja | Sabotaż i szpiegostwo wobec Ukrainy i UE. Wykorzystanie destrukcyjnych „wiperów” i 0-dayów. |
| APT28 (Fancy Bear) | Rosja | Operacje wpływu i wywiadu (m.in. przeciw NATO, instytucjom europejskim). |
| APT29 (Cozy Bear) | Rosja | Długofalowe kampanie infiltracyjne wobec administracji rządowej i firm technologicznych. |
| Lazarus / Kimsuky | Korea Płn. | Kradzieże finansowe i szpiegostwo wobec banków i giełd kryptowalut. |
Źródła:
ESET APT Activity Report Q4 2024–Q1 2025,
CISA & FBI – Volt Typhoon Advisory,
Mandiant Threat Intelligence,
Kaspersky ICS-CERT Reports.
Najważniejsze kampanie APT w 2025 roku
Ataki na infrastrukturę krytyczną
Grupa Volt Typhoon wciąż koncentruje się na operatorach infrastruktury energetycznej i telekomunikacyjnej w USA. Według CISA i Microsoftu, wykorzystuje wyłącznie narzędzia systemowe Windows (PowerShell, WMIC, netstat), by uniknąć wykrycia.
Eksploatacja środowisk wirtualnych
Grupa UNC3886 prowadzi kampanię Fire Ant, wymierzoną w serwery VMware ESXi i FortiGate. Backdoory działające w warstwie hypervisora pozwalają atakującym zachować dostęp nawet po reinstalacji systemu.
Szpiegostwo i sabotaż na Ukrainie
Rosyjskie grupy Sandworm i Sednit stosują wipery, które niszczą dane w sektorze energetycznym. W 2025 roku ESET odnotował także użycie nowego exploita RoundPress do ataków na serwery pocztowe.
Chińskie operacje w Europie
Mustang Panda i DigitalRecyclers celują w instytucje administracji publicznej i transport. Wykorzystują backdoory Korplug, RClient i HydroRShell oraz podszywają się pod legalne aplikacje.
Hybrydowe działania APT41
Grupa APT41 łączy działania szpiegowskie i finansowe. Raporty Mandiant wskazują na rozwój złożonych kampanii z wykorzystaniem chmury, aplikacji webowych i ukrytych kanałów komunikacji C2.
Ataki na systemy przemysłowe (ICS/OT)
Według Kaspersky ICS-CERT obserwuje się wzrost liczby ataków na sieci przemysłowe i systemy sterowania – często z użyciem metod typowych dla grup APT, ale w celach finansowych.
Jak przebiega typowy cykl ataku APT
- Wejście (Initial Access) – phishing, zainfekowane nośniki, ataki na urządzenia VPN.
- Wykonanie (Execution) – uruchomienie złośliwego kodu (makra, PowerShell, exploity).
- Ruch boczny (Lateral Movement) – przejmowanie poświadczeń, wykorzystanie AD, pivotowanie.
- Utrzymanie (Persistence) – instalacja backdoorów, modyfikacja rejestru, harmonogramy zadań.
- Eksfiltracja danych – kradzież i transfer informacji przy użyciu szyfrowanych kanałów HTTPS/DNS.
Podsumowanie
Grupy APT to najbardziej zaawansowany rodzaj przeciwnika w cyberprzestrzeni.
Ich działania są planowane strategicznie, realizowane z ogromną precyzją i często wspierane przez państwowe struktury. W 2025 roku obserwujemy wzrost aktywności grup chińskich i rosyjskich, szczególnie wobec sektora infrastruktury krytycznej, administracji publicznej i przemysłu.
W świecie, w którym granica między wojną a cyberkonfliktem coraz bardziej się zaciera, świadomość zagrożeń i szybka reakcja stają się kluczowe dla bezpieczeństwa każdej organizacji.
Bibliografia
- MITRE ATT&CK Groups Database
- ESET APT Activity Reports
- CISA / FBI / NSA Advisories
- Mandiant Threat Intelligence
- Kaspersky ICS-CERT
- Fortinet Threat Landscape Report 2025