Ruské hackerské skupiny útočí v roce 2026: Co zatím víme?
APT28 (Fancy Bear) – 3 dny od zveřejnění zranitelnosti ke zneužití
Snad nejznepokojivější zpráva prvního čtvrtletí 2026 přišla od bezpečnostní firmy Zscaler. Ruská skupina APT28 – propojená s vojenskou rozvědkou GRU – začala aktivně zneužívat kritickou zranitelnost v Microsoft Office (CVE-2026-21509) pouhé tři dny po jejím zveřejnění Microsoftem dne 26. ledna 2026.
Útok dostal interní název Operation Neusploit a cílil na vládní agentury, námořní organizace, diplomatické subjekty a firmy z oblasti dopravy v devíti zemích střední a východní Evropy – konkrétně na Slovensku, v Rumunsku, Polsku, Slovinsku, Turecku, Řecku, Spojených arabských emirátech a na Ukrajině.
Jak útok fungoval:
- Speciálně upravené soubory formátu RTF spustily exploit při pouhém otevření souboru.
- První varianta nasadila malware MiniDoor – nástroj vytvořený čistě pro krádež e-mailů z Microsoft Outlooku.
- Druhá varianta využila PixyNetLoader, který stáhl další škodlivé nástroje a zajistil trvalý přístup.
- Útočníci využívali cloudové úložiště Filen jako řídící server (C2) a techniky COM hijackingu.
Výzkumníci z firmy Trellix zdokumentovali rozsáhlejší kampaň: během 72 hodin bylo rozesláno nejméně 29 různých spear-phishingových e-mailů.
Zdroje: Dark Reading, The Record / Recorded Future, CSO Online
NoName057(16) – útoky na Zimní olympiádu v Miláně
Bezprostředně před zahájením Zimních olympijských her 2026 (Milán – Cortina d’Ampezzo) spustila prokremlinská skupina NoName057(16) vlnu DDoS útoků na:
- Italské ministerstvo zahraničí (velvyslanectví ve Washingtonu, konzuláty v Sydney, Torontu a Paříži)
- Hotely v olympijském středisku Cortina d’Ampezzo
- Celkem přibližně 120 webů
Italský ministr zahraničí Antonio Tajani označil útoky za akce „ruského původu“ a potvrdil, že byly úspěšně odvráceny. Skupina útok přiznala na Telegramu a popsala ho jako trest za „pro-ukrajinský kurs italské vlády.“
Po zahájení her dne 6. února 2026 skupina dále napadala weby tří olympijských národních týmů a provokovala vedení Italské agentury pro kybernetickou bezpečnost (ACN). Další prokremlinské skupiny BD Anonymous, Z-Pentest Alliance a Server Killers se zapojily s vlastními kampaněmi pod označením #Opitaly.
Kontext: NoName057(16) operuje od roku 2022, zaměřuje se na státy podporující Ukrajinu a k útokům využívá vlastní nástroj DDoSia s tisíci dobrovolníků i pronajatou infrastrukturou. Europol v červenci 2025 provedl razie v rámci Operation Eastwood – 24 domovních prohlídek, 5 výslechů, zejména v Itálii.
Zdroje: The Record, Security Affairs, Intel 471, France 24
CyberArmyofRussia_Reborn (CARR / Z-Pentest) – financováno GRU
Americké ministerstvo spravedlnosti v prosinci 2025 zveřejnilo obžaloby dokumentující, že skupina CARR (též Z-Pentest Alliance) byla přímo financována a řízena ruskou vojenskou rozvědkou GRU.
Prokázané činy skupiny:
- Stovky útoků na kritickou infrastrukturu po celém světě.
- Napadení systémů pitné vody v několika amerických státech – způsobila poškození řídicích systémů a vytopení stovek tisíc litrů vody.
- Útok na masokombinát v Los Angeles (listopad 2024) – zkažení tisíců kilogramů masa a únik čpavku.
V únoru 2026 probíhá soudní proces s Viktoriou Dubranovou, ukrajinskě státní příslušnicí obviněnou z podpory jak CARR, tak NoName057(16). Případ řeší FBI v rámci operace Red Circus.
Zdroje: U.S. Department of Justice
Russian Legion – útok na Dánsko kvůli podpoře Ukrajiny
Koncem ledna 2026 vznikla nová prokremlinská aliance Russian Legion (partneři: Inteid, Cardinal) a zacílila na Dánsko. Požadovala, aby vláda do 48 hodin zrušila plánovaný vojenský balíček pro Ukrajinu v hodnotě 1,5 miliardy DKK (≈ 220 milionů USD).
Skupina zahájila DDoS útoky na dánské firmy a veřejné instituce, s důrazem na energetický sektor. Bezpečnostní firma Truesec ji hodnotí jako státem sladěnou, nikoli přímo řízenou – typický vzorec prokremlinského hacktivismu.
Zdroje: CyberPress, GBHackers
GRU – útoky na energetiku a síťová zařízení
Zpráva společnosti Amazon Threat Intelligence z přelomu roku 2025/2026 dokumentuje, že hackeři napojení na GRU cílí na síťová hraniční zařízení (routery, VPN brány) jako vstupní bod do energetické a průmyslové infrastruktury. Bitdefender sleduje tuto skupinu pod označením Curly COMrades a zdokumentoval využívání Hyper-V pro obcházení bezpečnostních nástrojů a vlastních implantátů CurlyShell a CurlCat.
Zdroj: Industrial Cyber
Turla a Star Blizzard – trvalá špionáž
Dle aktualizované stránky Wikipedia: Cyberwarfare by Russia (aktualizováno leden 2026):
- Turla (Microsoft: Secret Blizzard, spojená s FSB) pokračovala v espionážních operacích v roce 2025, včetně útoků na zahraniční ambasády v Moskvě.
- Star Blizzard (též Callisto / ColdRiver, napojená na FSB) čelí sankcím a trestním oznámením za spear-phishingové kampaně namířené na politiky, akademiky a NGO.
Souhrn: Kdo útočí a jak?
|Skupina
|Napojení
|Hlavní metoda
|Cíle v 2026
|APT28 / Fancy Bear
|GRU
|Zneužití 0-day, spear-phishing
|Vlády, námořnictvo, EU
|NoName057(16)
|GRU (nepřímé)
|DDoS (nástroj DDoSia)
|Itálie, Olympiáda, EU
|CARR / Z-Pentest
|GRU (přímé řízení)
|Průmyslové řídicí systémy
|USA, kritická infrastruktura
|Russian Legion
|státem sladěná
|DDoS
|Dánsko, energetika
|Turla
|FSB
|Espionáž
|Ambasády, vládní sítě
|Star Blizzard
|FSB
|Spear-phishing
|Politici, NGO, akademici
Co dělat?
Pro firmy a organizace jsou klíčové tři okamžité kroky:
- Záplatovat neprodleně – CVE-2026-21509 (Microsoft Office) je aktivně zneužívána. CISA vydala příkaz k opravě.
- Monitorovat síťová hraniční zařízení – routery a VPN brány jsou preferovaným vstupním bodem GRU.
- Školit zaměstnance – spear-phishing zůstává hlavním vektorem útoku u APT28 i Star Blizzard.
Zdroje
Dark Reading: Russian Hackers Weaponize Microsoft Office Bug in Just 3 Days – darkreading.com
The Record: Russian hackers targeting European maritime and transport orgs – therecord.media
The Record: Italy blames Russia-linked hackers for cyberattacks – therecord.media
CSO Online: Russian hackers exploited a critical Office bug within days – csoonline.com
U.S. Department of Justice: Actions to Combat Two Russian State-Sponsored Hacking Groups – justice.gov
Intel 471: Winter Olympics 2026: Hacktivism Surges – intel471.com
Security Affairs: NoName057(16) launched DDoS attacks on Milano Cortina 2026 – securityaffairs.com
France 24: Italy foils Russian cyberattacks targeting Olympics – france24.com
Industrial Cyber: Russian GRU hackers target network edge devices – industrialcyber.co
CyberPress: Russian Hacker Alliance Launches Large-Scale Cyberattack On Denmark – cyberpress.org
The Cyber Express: Russian Cyberattacks Put Winter Olympics 2026 On High Alert – thecyberexpress.com
