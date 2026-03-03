Eksperci ds. cyberbezpieczeństwa z firmy Check Point ostrzegają, że aktywność irańskich grup hakerskich rośnie i może zagrażać nie tylko Bliskiemu Wschodowi czy USA, ale również Europie. Hakerzy powiązani z Teheranem wykorzystują zaawansowane metody phishingu, szpiegostwa i dezinformacji, aby przejąć kontrolę nad wrażliwymi danymi firm i użytkowników. Jakie są najnowsze techniki ataków i jakie zagrożenia mogą dotknąć europejskie przedsiębiorstwa?

Przeczytaj także: Deepfake’i dotknęły już 3/4 firm. Wkrótce prześcigną ataki ransomware

Z tego artykułu dowiesz się:

Jakie grupy hakerskie powiązane z Iranem stanowią zagrożenie dla firm i użytkowników w Europie.

Jakie metody ataków, takie jak phishing, szpiegostwo, ataki DDoS i ransomware, są stosowane przez irańskich hakerów.

Dlaczego operacje typu „hack-and-leak” oraz dezinformacja stanowią realne zagrożenie dla reputacji i bezpieczeństwa firm.

Jakie sektory, takie jak energetyka, logistyka, finanse i technologie, są szczególnie narażone na ataki.

Jakie działania, takie jak uwierzytelnianie wieloskładnikowe (MFA), audyt systemów i monitorowanie logowań, mogą pomóc w ochronie przed cyberzagrożeniami.

Dezinformacja i „hack-and-leak”

Ataki „na relacje” – uderzenie w ludzi, nie tylko systemy

Cicha infiltracja infrastruktury

Sabotaż zamiast okupu

Co to oznacza dla firm i użytkowników?

Irańscy hakerzy podszywają się pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia fałszywe strony imitujące WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne – ostrzegają analitycy firmy Check Point. Zagrożenie nie dotyczy już tylko polityków czy aktywistów – coraz częściej celem są osoby z dostępem do wrażliwych zasobów firm, takie jak administratorzy czy menedżerowie – dodają. Eksperci ostrzegają, że w warunkach napięcia geopolitycznego takie grupy mogą szybko przejść od zbierania informacji do działań destrukcyjnych.Ekosystem irańskich operacji cybernetycznych jest rozbudowany i wielowarstwowy. Obejmuje podmioty powiązane z Korpusem Strażników Rewolucji Islamskiej (IRGC) oraz Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), a także grupy działające pod przykryciem „haktywizmu”. Ich działania mają trzy główne cele: szpiegostwo (uzyskanie dostępu do informacji i przyczółków w sieciach), destabilizację (ataki DDoS, niszczące oprogramowanie, pseudo-ransomware) oraz operacje informacyjne – czyli łączenie wycieków danych z kampanią propagandową w mediach społecznościowych.Jednym z aktywnych podmiotów jest Cotton Sandstorm, powiązany z IRGC. Grupa łączy klasyczne włamania – defacement stron, kradzież danych czy DDoS – z operacjami wpływu. Charakterystycznym elementem jest schemat „hack-and-leak”: wykradzione dane są publikowane i wzmacniane w sieci przez fałszywe tożsamości, aby wywołać presję reputacyjną i polityczną.W ostatnich miesiącach badacze obserwowali wykorzystanie złośliwego oprogramowania WezRat – modułowego infostealera rozsyłanego w kampaniach spearphishingowych podszywających się pod aktualizacje oprogramowania. W niektórych przypadkach po uzyskaniu dostępu wdrażano ransomware WhiteLock, dotychczas głównie przeciwko celom izraelskim. Nic jednak nie stoi na przeszkodzie, by podobne działania zostały rozszerzone na inne państwa.Szczególnie niebezpieczna jest aktywność klastra określanego jako Educated Manticore, łączonego z wywiadem IRGC. Grupa specjalizuje się w podszywaniu pod zaufane osoby – dziennikarzy, ekspertów, organizatorów konferencji – aby skłonić ofiary do kliknięcia w link phishingowy. Fałszywe strony imitują WhatsApp, Microsoft Teams czy Google Meet, przechwytując hasła i tokeny sesyjne.To zagrożenie dotyczy nie tylko polityków czy aktywistów. Coraz częściej celem są osoby posiadające dostęp do wrażliwych zasobów firm – administratorzy, menedżerowie, doradcy prawni. Przejęcie jednego konta e-mail może umożliwić dalsze rozprzestrzenianie się ataku w organizacji.Z kolei grupa MuddyWater, powiązana z MOIS, od lat prowadzi operacje szpiegowskie przeciwko rządom, telekomom i sektorowi energetycznemu. Jej znakiem rozpoznawczym jest wykorzystywanie legalnych narzędzi zdalnego zarządzania (RMM) oraz wbudowanych mechanizmów Windows (PowerShell, WMI), co utrudnia wykrycie. Ataki często rozpoczynają się masową falą phishingu, a następnie przejęciem wewnętrznych skrzynek e-mail i rozsyłaniem kolejnych wiadomości już „z zaufanego źródła”.Szczególnie groźne może okazać się działanie grupy Agrius – używający tzw. wipery, czyli oprogramowanie bezpowrotnie niszczącego dane, maskowane jako ransomware. Celem nie jest okup, lecz paraliż organizacji i wywołanie efektu psychologicznego. Grupa wykorzystuje luki w publicznie dostępnych serwerach i instaluje webshell, by utrzymać dostęp i poruszać się po sieci ofiary.Równolegle działa Handala, marka „haktywistyczna” przypisywana strukturze Void Manticore. Jej operacje są szybkie i oportunistyczne – włamania do słabiej zabezpieczonych systemów, publikacja „dowodów” i natychmiastowa amplifikacja w mediach społecznościowych. Często wykorzystywane są słabe ogniwa w łańcuchu dostaw, np. firmy IT obsługujące wiele podmiotów.W obecnej sytuacji politycznej zagrożenie nie ogranicza się do bezpośrednich stron konfliktu. Firmy z sektora energetycznego, logistycznego, finansowego czy technologicznego w Europie mogą stać się celem jako element szerszej presji politycznej. Równie narażeni są zwykli użytkownicy – poprzez kradzież danych, przejęcia kont czy kampanie dezinformacyjne.Specjaliści rekomendują pilne działania: wprowadzenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA), audyt systemów wystawionych do internetu (w tym kamer IP i serwerów), monitorowanie nietypowych logowań oraz ostrożność wobec nieoczekiwanych zaproszeń do „wywiadów” czy „spotkań online”. Kluczowe jest też ograniczenie instalacji nieznanego oprogramowania i kontrola ruchu z komercyjnych sieci VPN, często wykorzystywanych przez atakujących.