{ "id": "7929348a-847c-4344-8452-069de72c80a2", "created_at": "2026-04-06T00:10:32.518795Z", "updated_at": "2026-04-10T13:12:52.208428Z", "deleted_at": null, "sha1_hash": "50d9c220f2a8795875b890517b229485eb58b174", "title": "CERT Polska i SKW ostrzegają przed działaniami rosyjskich szpiegów", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 249997, "plain_text": "CERT Polska i SKW ostrzegają przed działaniami rosyjskich\r\nszpiegów\r\nArchived: 2026-04-05 15:09:22 UTC\r\nZespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską\r\nłączoną z działaniami rosyjskich służb specjalnych. Celem kampanii było nielegalne pozyskiwanie\r\ninformacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących\r\nsię w państwach należących do NATO i Unii Europejskiej.\r\nWiele elementów zaobserwowanej kampanii, takich jak infrastruktura, wykorzystane techniki oraz narzędzia,\r\nczęściowo lub całkowicie pokrywa się z opisywanymi w przeszłości aktywnościami grupy określanej przez\r\nMicrosoft mianem „NOBELIUM”, zaś przez Mandiant jako „APT29”. Grupa ta wiązana jest m.in. z kampanią\r\nzwaną „SOLARWINDS”, narzędziami „SUNBURST”, „ENVYSCOUT” i „BOOMBOX”, a także licznymi\r\ninnymi kampaniami o charakterze wywiadowczym.\r\nDziałania wykryte oraz opisane przez CERT Polska i SKW wyróżniają się jednak na tle poprzednich\r\nwykorzystaniem unikalnego, nieodnotowanego wcześniej publicznie oprogramowania. Nowe narzędzia były\r\nużywane równolegle i niezależnie od siebie lub też kolejno, zastępując starsze rozwiązania, których skuteczność\r\nspadała. Pozwalało to sprawcom na utrzymanie ciągłości działań.\r\n„Zacieśnianie współpracy między krajowymi podmiotami obserwującymi aktywność grup sponsorowanych przez\r\nobce państwa jest kluczowe dla bezpieczeństwa Polski. Dzięki bliskiej współpracy analityków CERT Polska i\r\nSłużby Kontrwywiadu Wojskowego połączono elementy widziane z różnych perspektyw. Dało to efekt w postaci\r\nraportu zawierającego analizę nigdy wcześniej nie opisywanych narzędzi i z pewnością przyczyni się do\r\nzwiększenia ich wykrywalności” – podkreślił Janusz Cieszyński, Minister Cyfryzacji.\r\nPublikujemy i ostrzegamy\r\nNależy podkreślić, że w momencie publikacji raportu kampania realizowana przez rosyjską grupę wywiadowczą\r\nnie tylko nadal trwa, ale ma też charakter rozwojowy. Dlatego CERT Polska oraz SKW rekomendują wszystkim\r\npodmiotom, które mogą znajdować się w obszarze zainteresowania tej grupy, wdrożenie mechanizmów mających\r\nna celu podniesienie bezpieczeństwa wykorzystywanych systemów informatycznych i zwiększenie\r\nwykrywalności ataków. Przykładowe zmiany konfiguracyjne oraz mechanizmy detekcji zostały\r\nzaproponowane w rekomendacjach.\r\nPodstawowym celem publikacji raportu jest zatem zakłócenie trwającej kampanii szpiegowskiej oraz\r\numożliwienie wykrycia, analizy oraz śledzenia opisywanych działań zarówno poszkodowanym podmiotom, jak i\r\nprzedstawicielom branży cyberbezpieczeństwa.\r\nPrzebieg obserwowanej kampanii\r\nhttps://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/\r\nPage 1 of 4\n\nWe wszystkich zaobserwowanych przypadkach sprawcy korzystali z techniki spear phishingu. Do\r\nwyselekcjonowanych pracowników placówek dyplomatycznych wysyłane były wiadomości e-mail podszywające\r\nsię pod ambasady krajów europejskich. Korespondencja zawierała zaproszenie na spotkanie lub do wspólnej pracy\r\nnad dokumentami. W treści wiadomości lub w załączonym dokumencie PDF zawarty był link kierujący rzekomo\r\ndo kalendarza ambasadora, szczegółów spotkania lub pliku do pobrania.\r\nPrzykładowa wiadomość email podszywająca się pod polską ambasadę i nakłaniająca do kliknięcia w złośliwy\r\nlink.\r\nW rzeczywistości odnośnik kierował do przejętej strony, na której umieszczony był charakterystyczny dla tej\r\ngrupy skrypt. Korzystał on z techniki „HTML Smuggling” – przy jej użyciu złośliwy plik jest odkodowywany w\r\nmomencie otwarcia strony, a następnie pobierany na urządzenie ofiary. Skrypt wyświetlał również stronę\r\ninternetową, której treść miała utwierdzić ofiarę w przekonaniu, że pobrała prawidłowy załącznik.\r\nhttps://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/\r\nPage 2 of 4\n\nStrona podszywająca się pod polską ambasadę sugerująca możliwość pobrania kalendarza ambasadora.\r\nSprawcy wykorzystywali różne techniki, aby nakłonić potencjalne ofiary do uruchomienia pobranego złośliwego\r\noprogramowania. Jedną z nich był plik skrótu udający dokument, w rzeczywistości uruchamiający ukrytą\r\nbibliotekę DLL. Zaobserwowano również technikę „DLL Sideloading”, polegającą na użyciu podpisanego pliku\r\nwykonywalnego do załadowania i wykonania złośliwego kodu zawartego w dołączonej bibliotece DLL. Na\r\npóźniejszym etapie kampanii nazwa pliku wykonywalnego zawierała dodatkowo wiele spacji, aby utrudnić\r\nzauważenie rozszerzenia exe.\r\nhttps://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/\r\nPage 3 of 4\n\nWidok po uruchomieniu przez ofiarę pliku obrazu przy domyślnych ustawieniach eksploratora Windows.\r\nRekomendacje\r\nCERT Polska oraz SKW stanowczo rekomendują wszystkim podmiotom mogącym znajdować się w obszarze\r\nzainteresowania rosyjskiej grypy szpiegowskiej wdrożenie zmian, które skutecznie przeciwstawią się\r\nmechanizmom dostarczenia używanym w opisywanej kampanii. Sektory, które szczególnie powinny rozważyć\r\nwdrożenie zaleceń to:\r\n1. Podmioty rządowe;\r\n2. Podmioty dyplomatyczne, ministerstwa spraw zagranicznych, ambasady, personel dyplomatyczny i\r\npracujący w podmiotach międzynarodowych;\r\n3. Organizacje międzynarodowe;\r\n4. Organizacje pozarządowe.\r\nSzczegółowe rekomendacje zmian konfiguracyjnych oraz dokładny opis przebiegu kampanii szpiegowskiej\r\nznajduje się na stronie https://www.gov.pl/baza-wiedzy/kampania-szpiegowska-wiazana-z-rosyjskimi-sluzbami-specjalnymi.\r\nSource: https://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/\r\nhttps://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/\r\nPage 4 of 4", "extraction_quality": 1, "language": "PL", "sources": [ "ETDA", "Malpedia" ], "origins": [ "web" ], "references": [ "https://cert.pl/posts/2023/04/kampania-szpiegowska-apt29/" ], "report_names": [ "kampania-szpiegowska-apt29" ], "threat_actors": [ { "id": "b43e5ea9-d8c8-4efa-b5bf-f1efb37174ba", "created_at": "2022-10-25T16:07:24.36191Z", "updated_at": "2026-04-10T02:00:04.954902Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "Dark Halo", "Nobelium", "SolarStorm", "StellarParticle", "UNC2452" ], "source_name": "ETDA:UNC2452", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "1d3f9dec-b033-48a5-8b1e-f67a29429e89", "created_at": "2022-10-25T15:50:23.739197Z", "updated_at": "2026-04-10T02:00:05.275809Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "UNC2452", "NOBELIUM", "StellarParticle", "Dark Halo" ], "source_name": "MITRE:UNC2452", "tools": [ "Sibot", "Mimikatz", "Cobalt Strike", "AdFind", "GoldMax" ], "source_id": "MITRE", "reports": null }, { "id": "5b748f86-ac32-4715-be9f-6cf25ae48a4e", "created_at": "2024-06-04T02:03:07.956135Z", "updated_at": "2026-04-10T02:00:03.689959Z", "deleted_at": null, "main_name": "IRON HEMLOCK", "aliases": [ "APT29 ", "ATK7 ", "Blue Kitsune ", "Cozy Bear ", "The Dukes", "UNC2452 ", "YTTRIUM " ], "source_name": "Secureworks:IRON HEMLOCK", "tools": [ "CosmicDuke", "CozyCar", "CozyDuke", "DiefenDuke", "FatDuke", "HAMMERTOSS", "LiteDuke", "MiniDuke", "OnionDuke", "PolyglotDuke", "RegDuke", "RegDuke Loader", "SeaDuke", "Sliver" ], "source_id": "Secureworks", "reports": null }, { "id": "a241a1ca-2bc9-450b-a07b-aae747ee2710", "created_at": "2024-06-19T02:03:08.150052Z", "updated_at": "2026-04-10T02:00:03.737173Z", "deleted_at": null, "main_name": "IRON RITUAL", "aliases": [ "APT29", "Blue Dev 5 ", "BlueBravo ", "Cloaked Ursa ", "CozyLarch ", "Dark Halo ", "Midnight Blizzard ", "NOBELIUM ", "StellarParticle ", "UNC2452 " ], "source_name": "Secureworks:IRON RITUAL", "tools": [ "Brute Ratel C4", "Cobalt Strike", "EnvyScout", "GoldFinder", "GoldMax", "NativeZone", "RAINDROP", "SUNBURST", "Sibot", "TEARDROP", "VaporRage" ], "source_id": "Secureworks", "reports": null }, { "id": "46b3c0fc-fa0c-4d63-a38a-b33a524561fb", "created_at": "2023-01-06T13:46:38.393409Z", "updated_at": "2026-04-10T02:00:02.955738Z", "deleted_at": null, "main_name": "APT29", "aliases": [ "Cloaked Ursa", "TA421", "Blue Kitsune", "BlueBravo", "IRON HEMLOCK", "G0016", "Nobelium", "Group 100", "YTTRIUM", "Grizzly Steppe", "ATK7", "ITG11", "COZY BEAR", "The Dukes", "Minidionis", "UAC-0029", "SeaDuke" ], "source_name": "MISPGALAXY:APT29", "tools": [ "SNOWYAMBER", "HALFRIG", "QUARTERRIG" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "70872c3a-e788-4b55-a7d6-b2df52001ad0", "created_at": "2023-01-06T13:46:39.18401Z", "updated_at": "2026-04-10T02:00:03.239111Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "DarkHalo", "StellarParticle", "NOBELIUM", "Solar Phoenix", "Midnight Blizzard" ], "source_name": "MISPGALAXY:UNC2452", "tools": [ "SNOWYAMBER", "HALFRIG", "QUARTERRIG" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "20d3a08a-3b97-4b2f-90b8-92a89089a57a", "created_at": "2022-10-25T15:50:23.548494Z", "updated_at": "2026-04-10T02:00:05.292748Z", "deleted_at": null, "main_name": "APT29", "aliases": [ "APT29", "IRON RITUAL", "IRON HEMLOCK", "NobleBaron", "Dark Halo", "NOBELIUM", "UNC2452", "YTTRIUM", "The Dukes", "Cozy Bear", "CozyDuke", "SolarStorm", "Blue Kitsune", "UNC3524", "Midnight Blizzard" ], "source_name": "MITRE:APT29", "tools": [ "PinchDuke", "ROADTools", "WellMail", "CozyCar", "Mimikatz", "Tasklist", "OnionDuke", "FatDuke", "POSHSPY", "EnvyScout", "SoreFang", "GeminiDuke", "reGeorg", "GoldMax", "FoggyWeb", "SDelete", "PolyglotDuke", "AADInternals", "MiniDuke", "SeaDuke", "Sibot", "RegDuke", "CloudDuke", "GoldFinder", "AdFind", "PsExec", "NativeZone", "Systeminfo", "ipconfig", "Impacket", "Cobalt Strike", "PowerDuke", "QUIETEXIT", "HAMMERTOSS", "BoomBox", "CosmicDuke", "WellMess", "VaporRage", "LiteDuke" ], "source_id": "MITRE", "reports": null }, { "id": "f27790ff-4ee0-40a5-9c84-2b523a9d3270", "created_at": "2022-10-25T16:07:23.341684Z", "updated_at": "2026-04-10T02:00:04.549917Z", "deleted_at": null, "main_name": "APT 29", "aliases": [ "APT 29", "ATK 7", "Blue Dev 5", "BlueBravo", "Cloaked Ursa", "CloudLook", "Cozy Bear", "Dark Halo", "Earth Koshchei", "G0016", "Grizzly Steppe", "Group 100", "ITG11", "Iron Hemlock", "Iron Ritual", "Midnight Blizzard", "Minidionis", "Nobelium", "NobleBaron", "Operation Ghost", "Operation Office monkeys", "Operation StellarParticle", "SilverFish", "Solar Phoenix", "SolarStorm", "StellarParticle", "TEMP.Monkeys", "The Dukes", "UNC2452", "UNC3524", "Yttrium" ], "source_name": "ETDA:APT 29", "tools": [ "7-Zip", "ATI-Agent", "AdFind", "Agentemis", "AtNow", "BEATDROP", "BotgenStudios", "CEELOADER", "Cloud Duke", "CloudDuke", "CloudLook", "Cobalt Strike", "CobaltStrike", "CosmicDuke", "Cozer", "CozyBear", "CozyCar", "CozyDuke", "Danfuan", "EnvyScout", "EuroAPT", "FatDuke", "FoggyWeb", "GeminiDuke", "Geppei", "GoldFinder", "GoldMax", "GraphDrop", "GraphicalNeutrino", "GraphicalProton", "HAMMERTOSS", "HammerDuke", "LOLBAS", "LOLBins", "LiteDuke", "Living off the Land", "MagicWeb", "Mimikatz", "MiniDionis", "MiniDuke", "NemesisGemina", "NetDuke", "OnionDuke", "POSHSPY", "PinchDuke", "PolyglotDuke", "PowerDuke", "QUIETEXIT", "ROOTSAW", "RegDuke", "Rubeus", "SNOWYAMBER", "SPICYBEAT", "SUNSHUTTLE", "SeaDaddy", "SeaDask", "SeaDesk", "SeaDuke", "Sharp-SMBExec", "SharpView", "Sibot", "Solorigate", "SoreFang", "TinyBaron", "WINELOADER", "WellMail", "WellMess", "cobeacon", "elf.wellmess", "reGeorg", "tDiscoverer" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434232, "ts_updated_at": 1775826772, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/50d9c220f2a8795875b890517b229485eb58b174.pdf", "text": "https://archive.orkl.eu/50d9c220f2a8795875b890517b229485eb58b174.txt", "img": "https://archive.orkl.eu/50d9c220f2a8795875b890517b229485eb58b174.jpg" } }