Ruská hackerská skupina APT28, přezdívaná Fancy Bear, nasadila nový, dosud neznámý malware PRISMEX. Cílem jsou vládní instituce Ukrajiny a spojeneckých zemí NATO — zejména ministerstva obrany a ústřední státní orgány. Kampaň probíhá od září 2025 a od ledna 2026 výrazně zesílila.
Kdo je APT28 a proč na ně dát pozor
APT28 je kybernetická zpravodajská jednotka ruské vojenské rozvědky GRU. Patří mezi nejaktivnější a nejlépe vybavené státem sponzorované skupiny na světě. V minulosti stála za útoky na volební systémy, energetickou infrastrukturu i desítky vládních institucí v Evropě. Jejich cílem je získávat citlivé informace a v případě potřeby způsobit škody.
Co umí PRISMEX
PRISMEX je sofistikovaný nástroj kombinující špionáž i sabotáž. Pro skrytou komunikaci s řídícími servery využívá steganografii — tedy schování dat v obrázcích nebo jiných zdánlivě nevinných souborech. Příkazy k mazání dat má integrované přímo do kódu, takže útočník může cíl nejen sledovat, ale v případě potřeby i destruktivně zasáhnout.
Spolu s PRISMEX skupina nasazuje další nástroje: MiniDoor pro kradení přihlašovacích údajů z e-mailu, a PixyNetLoader umožňující útočníkům plný vzdálený přístup k napadeným systémům.
Jak se útočníci do systémů dostali
K průnikům využili dvě zranitelnosti. První je zero-day chyba ve Windows označená CVE-2026-21513 — tedy chyba, pro kterou v době prvních útoků neexistovala záplata. Druhá, CVE-2026-21509, se týká Microsoft Office: útočníci rozesílali upravené dokumenty ve formátu DOC, jejichž otevření spustilo škodlivý kód. Záplaty pro obě chyby jsou nyní dostupné.
Týká se to i České republiky?
Česká republika je členem NATO a jedním z aktivních podporovatelů Ukrajiny. Přesně takové státy jsou v hledáčku APT28. I když nejsou česká ministerstva dosud jmenovitě zmiňována, obdobné kampaně v minulosti zasáhly i české vládní instituce. Pro IT týmy veřejné správy a dodavatele státních zakázek platí: aktualizace systémů Windows a Office jsou v tuto chvíli prioritou, nikoli volbou.
Praktický tip: Ujistěte se, že všechna zařízení ve vaší organizaci mají nainstalované dubnové záplaty od Microsoftu. Zvláštní pozornost věnujte otevírání příloh ve formátu DOC z neznámých nebo neočekávaných zdrojů — právě takhle APT28 do systémů vstupuje.
Kybernetické operace APT28 nepřestávají — a jak ukazuje PRISMEX, skupina neustále zdokonaluje své nástroje.
Zdroj: The Hacker News