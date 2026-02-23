Ruské hackerské skupiny útočí v roce 2026: Co zatím víme?

Rok 2026 začal dramaticky v oblasti kybernetické bezpečnosti. Ruské státem sponzorované hacktivistické skupiny zahájily sérii koordinovaných útoků na evropské vlády, kritickou infrastrukturu i mezinárodní sportovní události.

APT28 (Fancy Bear) – 3 dny od zveřejnění zranitelnosti ke zneužití

Snad nejznepokojivější zpráva prvního čtvrtletí 2026 přišla od bezpečnostní firmy Zscaler. Ruská skupina APT28 – propojená s vojenskou rozvědkou GRU – začala aktivně zneužívat kritickou zranitelnost v Microsoft Office (CVE-2026-21509) pouhé tři dny po jejím zveřejnění Microsoftem dne 26. ledna 2026.

Útok dostal interní název Operation Neusploit a cílil na vládní agentury, námořní organizace, diplomatické subjekty a firmy z oblasti dopravy v devíti zemích střední a východní Evropy – konkrétně na Slovensku, v Rumunsku, Polsku, Slovinsku, Turecku, Řecku, Spojených arabských emirátech a na Ukrajině.

Jak útok fungoval:

  • Speciálně upravené soubory formátu RTF spustily exploit při pouhém otevření souboru.
  • První varianta nasadila malware MiniDoor – nástroj vytvořený čistě pro krádež e-mailů z Microsoft Outlooku.
  • Druhá varianta využila PixyNetLoader, který stáhl další škodlivé nástroje a zajistil trvalý přístup.
  • Útočníci využívali cloudové úložiště Filen jako řídící server (C2) a techniky COM hijackingu.

Výzkumníci z firmy Trellix zdokumentovali rozsáhlejší kampaň: během 72 hodin bylo rozesláno nejméně 29 různých spear-phishingových e-mailů.

Zdroje: Dark Reading, The Record / Recorded Future, CSO Online

NoName057(16) – útoky na Zimní olympiádu v Miláně

Bezprostředně před zahájením Zimních olympijských her 2026 (Milán – Cortina d’Ampezzo) spustila prokremlinská skupina NoName057(16) vlnu DDoS útoků na:

  • Italské ministerstvo zahraničí (velvyslanectví ve Washingtonu, konzuláty v Sydney, Torontu a Paříži)
  • Hotely v olympijském středisku Cortina d’Ampezzo
  • Celkem přibližně 120 webů

Italský ministr zahraničí Antonio Tajani označil útoky za akce „ruského původu“ a potvrdil, že byly úspěšně odvráceny. Skupina útok přiznala na Telegramu a popsala ho jako trest za „pro-ukrajinský kurs italské vlády.“

Po zahájení her dne 6. února 2026 skupina dále napadala weby tří olympijských národních týmů a provokovala vedení Italské agentury pro kybernetickou bezpečnost (ACN). Další prokremlinské skupiny BD Anonymous, Z-Pentest Alliance a Server Killers se zapojily s vlastními kampaněmi pod označením #Opitaly.

Kontext: NoName057(16) operuje od roku 2022, zaměřuje se na státy podporující Ukrajinu a k útokům využívá vlastní nástroj DDoSia s tisíci dobrovolníků i pronajatou infrastrukturou. Europol v červenci 2025 provedl razie v rámci Operation Eastwood – 24 domovních prohlídek, 5 výslechů, zejména v Itálii.

Zdroje: The Record, Security Affairs, Intel 471, France 24

CyberArmyofRussia_Reborn (CARR / Z-Pentest) – financováno GRU

Americké ministerstvo spravedlnosti v prosinci 2025 zveřejnilo obžaloby dokumentující, že skupina CARR (též Z-Pentest Alliance) byla přímo financována a řízena ruskou vojenskou rozvědkou GRU.

Prokázané činy skupiny:

  • Stovky útoků na kritickou infrastrukturu po celém světě.
  • Napadení systémů pitné vody v několika amerických státech – způsobila poškození řídicích systémů a vytopení stovek tisíc litrů vody.
  • Útok na masokombinát v Los Angeles (listopad 2024) – zkažení tisíců kilogramů masa a únik čpavku.

V únoru 2026 probíhá soudní proces s Viktoriou Dubranovou, ukrajinskě státní příslušnicí obviněnou z podpory jak CARR, tak NoName057(16). Případ řeší FBI v rámci operace Red Circus.

Zdroje: U.S. Department of Justice

Russian Legion – útok na Dánsko kvůli podpoře Ukrajiny

Koncem ledna 2026 vznikla nová prokremlinská aliance Russian Legion (partneři: Inteid, Cardinal) a zacílila na Dánsko. Požadovala, aby vláda do 48 hodin zrušila plánovaný vojenský balíček pro Ukrajinu v hodnotě 1,5 miliardy DKK (≈ 220 milionů USD).

Skupina zahájila DDoS útoky na dánské firmy a veřejné instituce, s důrazem na energetický sektor. Bezpečnostní firma Truesec ji hodnotí jako státem sladěnou, nikoli přímo řízenou – typický vzorec prokremlinského hacktivismu.

Zdroje: CyberPress, GBHackers

GRU – útoky na energetiku a síťová zařízení

Zpráva společnosti Amazon Threat Intelligence z přelomu roku 2025/2026 dokumentuje, že hackeři napojení na GRU cílí na síťová hraniční zařízení (routery, VPN brány) jako vstupní bod do energetické a průmyslové infrastruktury. Bitdefender sleduje tuto skupinu pod označením Curly COMrades a zdokumentoval využívání Hyper-V pro obcházení bezpečnostních nástrojů a vlastních implantátů CurlyShell a CurlCat.

Zdroj: Industrial Cyber

Turla a Star Blizzard – trvalá špionáž

Dle aktualizované stránky Wikipedia: Cyberwarfare by Russia (aktualizováno leden 2026):

  • Turla (Microsoft: Secret Blizzard, spojená s FSB) pokračovala v espionážních operacích v roce 2025, včetně útoků na zahraniční ambasády v Moskvě.
  • Star Blizzard (též Callisto / ColdRiver, napojená na FSB) čelí sankcím a trestním oznámením za spear-phishingové kampaně namířené na politiky, akademiky a NGO.

Souhrn: Kdo útočí a jak?

SkupinaNapojeníHlavní metodaCíle v 2026
APT28 / Fancy BearGRUZneužití 0-day, spear-phishingVlády, námořnictvo, EU
NoName057(16)GRU (nepřímé)DDoS (nástroj DDoSia)Itálie, Olympiáda, EU
CARR / Z-PentestGRU (přímé řízení)Průmyslové řídicí systémyUSA, kritická infrastruktura
Russian Legionstátem sladěnáDDoSDánsko, energetika
TurlaFSBEspionážAmbasády, vládní sítě
Star BlizzardFSBSpear-phishingPolitici, NGO, akademici

Co dělat?

Pro firmy a organizace jsou klíčové tři okamžité kroky:

  1. Záplatovat neprodleně – CVE-2026-21509 (Microsoft Office) je aktivně zneužívána. CISA vydala příkaz k opravě.
  2. Monitorovat síťová hraniční zařízení – routery a VPN brány jsou preferovaným vstupním bodem GRU.
  3. Školit zaměstnance – spear-phishing zůstává hlavním vektorem útoku u APT28 i Star Blizzard.

Autor: Petr Křemenák | pondělí 23.2.2026 14:30

