Srebrny smok szpieguje od 2024 roku. Wśród ofiar polska administracja?
Chińscy hakerzy, najprawdopodobniej powiązani z grupą APT41, prowadzą kampanię cyberszpiegowską wycelowaną w ministerstwa oraz instytucje publiczne w Azji oraz kilku krajach europejskich, w tym w Polsce – ostrzega Check Point Research. To nie kolejny malware, a model włamania, który ma symulować korzystanie z popularnych usług chmurowych.
2026-03-06, 09:23

Powiązana z Chinami operacja jest aktywna co najmniej od połowy 2024 r. i uderza głównie w administrację oraz sektor publiczny w Azji Południowo-Wschodniej, ale odnotowano też ofiary w Europie, o podnosi ryzyko dla instytucji m.in. w Polsce, na Węgrzech i we Włoszech.

Jak wynika z analiz Check Point Research, operatorzy łączą dwa wektory wejścia: wykorzystanie podatności w serwerach oraz phishing (m.in. odnotowano kampanię podszywającą się pod oficjalną korespondencję, kierowaną do instytucji rządowych w Uzbekistanie). Po uzyskaniu dostępu utrzymują obecność poprzez podszywanie się pod legalne usługi Windows, a do sterowania używają autorskiego backdoora GearDoor, który wymienia polecenia i wyniki przez pliki w Google Drive (foldery per zainfekowana maszyna, pliki udające np. grafiki czy archiwa).   

- Silver Dragon odzwierciedla obecny trend w nowoczesnym cyberszpiegostwie - napastnicy wykorzystują różne wektory początkowego dostępu, ukrywają się w zaufanych usługach Windows oraz na powszechnie używanych platformach, takich jak Google Drive – podkreśla Sergey Shykevich, Threat Intelligence Group Manager w Check Point Software.

W zestawie narzędzi pojawiają się też komponenty do obserwacji użytkownika (np. mechanizm zrzutów ekranu „tylko gdy coś się zmienia”) oraz Cobalt Strike, często z komunikacją maskowaną. Cobalt Strike to komercyjny zestaw narzędzi do testów bezpieczeństwa (tzw. red teaming), używany przez specjalistów do symulowania ataków w firmach. Jednocześnie z narzędzi korzystają coraz częściej cyberprzestępcy i grupy APT, bo świetnie nadaje się do „prowadzenia” włamania po wejściu do sieci.

- Badanie pokazuje, że bezpieczeństwo nie może już traktować ruchu chmurowego i kluczowych komponentów systemu operacyjnego jako z natury bezpiecznych. Aby utrzymać ochronę, organizacje — zwłaszcza instytucje rządowe — muszą priorytetowo wdrażać szybkie łatanie wystawionych na internet serwerów, wzmacniać zabezpieczenia poczty oraz prowadzić ciągły monitoring zmian na poziomie usług i „sankcjonowanej” aktywności w chmurze – dodaje ekspert Check Pointa.

Udostępnione analizy wskazują, że celem operacji było długotrwałe pozyskiwanie informacji, w tym obserwacja aktywności użytkowników oraz potencjalny dostęp do plików i danych w środowisku organizacji. Silver Dragon podkreśla szerszy, strategiczny trend w zaawansowanych operacjach cyberszpiegowskich. Zamiast opierać się wyłącznie na własnej, „szytej na miarę” infrastrukturze, cyberszpiedzy coraz częściej zaszywają się w legalnych systemach przedsiębiorstw oraz zaufanych usługach chmurowych. To ogranicza widoczność dla tradycyjnych zabezpieczeń brzegowych i wydłuża czas niejawnej obecności atakujących w sieciach ofiar.

KONTAKT / AUTOR
Miłosz Stolarz
POBIERZ JAKO WORD
Pobierz .docx
BezpieczenstwoIT
Biuro prasowe dostarcza WhitePress
Copyright © 2015-2026.  Dla dziennikarzy
Strona, którą przeglądasz jest dedykowaną podstroną serwisu biuroprasowe.pl, administrowaną w zakresie umieszczanych na niej treści przez danego użytkownika usługi Wirtualnego biura prasowego, oferowanej przez WhitePress sp. z o.o. z siedzibą w Bielsku–Białej.

WhitePress sp. z o.o. nie ponosi odpowiedzialności za treści oraz odesłania do innych stron internetowych zamieszczone na podstronach serwisu przez użytkowników Wirtualnego biura prasowego lub zaciągane bezpośrednio z innych serwisów, zgodnie z wybranymi przez tych użytkowników ustawieniami.

W przypadku naruszenia przez takie treści przepisów prawa, dóbr osobistych osób trzecich lub innych powszechnie uznanych norm, podmiotem wyłącznie odpowiedzialnym za naruszenie jest dany użytkownik usługi, który zamieścił przedmiotową treść na dedykowanej podstronie serwisu.