Polska na celowniku rosyjskich hakerów. Raport ESET wskazuje na atak w sektorze energetycznym

Polska znalazła się wśród państw dotkniętych aktywnością zaawansowanych grup hakerskich powiązanych z Rosją — wynika z najnowszego raportu ESET. Analitycy opisali m.in. atak niszczący dane w polskiej firmie energetycznej oraz działania wymierzone w firmy transportowe.

Polska została wskazana w najnowszym raporcie ESET jako jedno z państw dotkniętych aktywnością zaawansowanych grup hakerskich. Dokument „APT Activity Report: October 2025 – March 2026” obejmuje działania grup APT obserwowane przez analityków firmy od października 2025 roku do marca 2026 roku. Raport opublikowano 28 maja.

ESET to słowacka firma zajmująca się cyberbezpieczeństwem. Jej zespół badawczy monitoruje aktywność tzw. grup APT, czyli zaawansowanych, długotrwale działających zespołów hakerskich, często powiązanych z państwami lub realizujących ich interesy. W najnowszym raporcie opisano m.in. działania grup związanych z Rosją, Chinami, Iranem i Koreą Północną.

Według ESET w badanym okresie grupy powiązane z Rosją koncentrowały się przede wszystkim na Ukrainie oraz podmiotach wspierających jej wysiłek obronny. Analitycy wskazali jednak również na działania poza Ukrainą, w tym w Polsce. Szczególnie istotny był incydent z grudnia 2025 roku, dotyczący polskiej firmy z sektora energetycznego.

Przeczytaj: Rosyjscy hakerzy przyznali się do ataku na strony internetowe parlamentu Finlandii

ESET podał, że w grudniu wykryto przypadek niszczenia danych w przedsiębiorstwie z polskiego sektora energii. W ataku użyto złośliwego oprogramowania nazwanego przez badaczy DynoWiper. Program miał uszkadzać systemy IT poprzez nadpisywanie lub usuwanie plików na dyskach stałych i nośnikach wymiennych, a w jednej z wersji także wymuszać restart systemu w celu dokończenia zakłócenia działania.

Analitycy ESET przypisali komponent niszczący dane grupie Sandworm z „umiarkowaną pewnością”. To jedna z najbardziej znanych grup powiązanych z Rosją, kojarzona wcześniej z cyberatakami na ukraińską infrastrukturę. Według raportu próbka DynoWipera została wdrożona przez zasady grupy Active Directory, co wskazuje, że napastnicy uzyskali uprawnienia administratora domeny.

ESET zaznaczył, że ataki niszczące dane prowadzone przez rosyjskie grupy poza Ukrainą są rzadkie. Tym bardziej istotne jest, że w tym przypadku celem miała być infrastruktura krytyczna w państwie NATO. Według analityków może to oznaczać eskalację działań rosyjskich grup, ponieważ uderzenie nie było wymierzone bezpośrednio w podmiot związany z wojskowym wsparciem dla Ukrainy, lecz w firmę z sektora energetycznego.

Raport wskazuje też możliwy kontekst operacji. Polska i Ukraina mają połączone sieci elektroenergetyczne, a Polska odgrywa rolę w stabilizowaniu dostaw energii na Ukrainie podczas rosyjskich ataków na ukraińską infrastrukturę energetyczną. ESET ocenia, że operacja w Polsce mogła mieć na celu zwiększenie presji na ukraińską sieć energetyczną w okresie zimowego zapotrzebowania.

Polska pojawia się w raporcie również przy opisie działań grupy Sednit, znanej także jako APT28 lub Fancy Bear i łączonej z rosyjskim wywiadem wojskowym. Według ESET w styczniu 2026 roku grupa wykorzystała podatność CVE-2026-21509 w kampanii spearphishingowej wymierzonej m.in. w ukraińskie instytucje rządowe, firmy logistyczne w Turcji oraz firmy transportowe w Polsce.

Sednit miał w ostatnich miesiącach wykorzystywać własne implanty Covenant i BeardShell przeciwko ukraińskim wojskowym, producentom dronów oraz organizacjom zaangażowanym w badania i rozwój bezzałogowców. Według ESET działania te wpisywały się w rosyjskie próby osłabienia ukraińskich zdolności obronnych i technologicznych.

W Europie głównym celem działań APT pozostawała Ukraina. ESET wskazał jednak, że Polska została „wyraźnie dotknięta” aktywnością grup hakerskich, m.in. właśnie przez atak typu wiper na firmę energetyczną. W zestawieniu sektorów atakowanych w Europie w raporcie wymieniono m.in. administrację, obronność, przemysł, transport, energetykę i organizacje pozarządowe.

Zobacz: Polska na czele krajów najczęściej atakowanych przez hakerów z powodów politycznych

Raport opisuje również aktywność grup powiązanych z Chinami. Według ESET były one bardzo aktywne globalnie, prowadząc kampanie szpiegowskie związane z interesami gospodarczymi i bezpieczeństwa Pekinu. Wśród celów znalazły się m.in. podmioty rządowe, sektor morski i energetyczny, a także firma z branży sztucznej inteligencji i robotyki w Korei Południowej.

Według ESET chińskie grupy miały m.in. interesować się sytuacją w Wenezueli po amerykańskiej operacji wojskowej oraz niestabilnością w rejonie Zatoki Perskiej. Firma ocenia, że działania te mogły służyć Pekinowi do monitorowania bezpieczeństwa szlaków morskich, przepływów ropy oraz wydarzeń politycznych wpływających na interesy Chin.

W raporcie opisano także aktywność grup powiązanych z Koreą Północną i Iranem. Koreańskie grupy miały nadal atakować programistów oraz sektor kryptowalut, co mogło służyć zarówno zdobywaniu pieniędzy, jak i przygotowywaniu ataków na łańcuch dostaw oprogramowania. Z kolei aktywność grup powiązanych z Iranem była związana z konfliktem rozpoczętym pod koniec lutego 2026 roku.

W ocenie ESET cyberoperacje coraz częściej odzwierciedlają konflikty polityczne, wojskowe i gospodarcze. W przypadku Polski kluczowe znaczenie ma fakt, że kraj jest państwem NATO, zapleczem wsparcia dla Ukrainy oraz elementem regionalnego bezpieczeństwa energetycznego.

Czytaj także: Gawkowski: Polska odpiera 99 proc. cyberataków, ale zagrożenie rośnie