Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Aktywność grup APT powiązanych z państwami regularnie nasila się w okresach napięć geopolitycznych. Celem takich operacji nie musi być natychmiastowy sabotaż czy kradzież danych — równie ważne jest wcześniejsze uzyskanie trwałego, ukrytego dostępu do środowisk ofiar, który można wykorzystać w dogodnym momencie do działań wywiadowczych, zakłócających lub destrukcyjnych.
Najnowsze ustalenia wskazują, że aktorzy powiązani z Iranem budowali obecność w sieciach organizacji działających w USA i Kanadzie jeszcze przed szerszą eskalacją konfliktu. Taki model działania wpisuje się w klasyczną strategię przygotowania przyczółków na potrzeby przyszłych operacji.
W skrócie
Badacze bezpieczeństwa zaobserwowali kampanię przypisywaną grupie Seedworm, znanej również jako MuddyWater. Operacje miały rozpocząć się już na początku lutego 2026 roku i objąć m.in. amerykański bank, firmę programistyczną współpracującą z sektorem obronnym i lotniczym, organizację pozarządową oraz lotnisko w USA.
- W atakach wykryto wcześniej nieopisaną furtkę o nazwie Dindoor.
- W części środowisk użyto również backdoorów opartych na Pythonie.
- Zaobserwowano próby eksfiltracji danych z wykorzystaniem RClone i zasobów chmurowych.
- Najważniejszym wnioskiem jest to, że przeciwnik budował trwały dostęp jeszcze przed otwartą eskalacją wydarzeń polityczno-militarnych.
Kontekst / historia
Seedworm od lat pojawia się w analizach dotyczących irańskich cyberoperacji wymierzonych w podmioty rządowe, finansowe, technologiczne i infrastrukturalne. Charakterystycznym elementem takich kampanii jest łączenie cyberszpiegostwa z przygotowaniem środowiska do potencjalnych działań zakłócających.
W opisywanym przypadku szczególnie istotna jest oś czasu. Z informacji badaczy wynika, że część środowisk była objęta działaniami już od 7 lutego 2026 roku, a inne od 14 lutego 2026 roku. Oznacza to, że operatorzy budowali przyczółki jeszcze przed późniejszą eskalacją działań wymierzonych w irańskie aktywa pod koniec lutego.
Dodatkowym elementem krajobrazu zagrożeń pozostaje równoległa aktywność środowisk hacktywistycznych sympatyzujących z Iranem oraz grup powiązanych narracyjnie z Rosją. W praktyce utrudnia to szybkie rozróżnienie pomiędzy operacjami państwowymi, kampaniami wpływu i incydentami nastawionymi na zakłócenie usług.
Analiza techniczna
Najciekawszym elementem technicznym kampanii jest furtka Dindoor. Według ujawnionych informacji malware wykorzystywał Deno, czyli środowisko uruchomieniowe dla JavaScript i TypeScript. Z perspektywy atakujących wybór mniej typowego runtime’u może utrudniać wykrycie, ponieważ wiele organizacji skupia polityki detekcyjne głównie na PowerShellu, Pythonie, WScript czy natywnych narzędziach systemowych.
Badacze wskazali, że Dindoor wykryto m.in. w sieci firmy programistycznej oraz w środowiskach banku i kanadyjskiej organizacji non-profit. Z kolei w sieciach amerykańskiego lotniska i organizacji pozarządowej znaleziono backdoor napisany w Pythonie. Równoległe użycie różnych implantów sugeruje elastyczne podejście operatorów i dostosowywanie narzędzi do konkretnego celu.
W kampanii pojawiły się również próby eksfiltracji danych przy użyciu RClone oraz usług chmurowych. To technika znana zespołom reagowania na incydenty, ponieważ RClone jest legalnym narzędziem administracyjnym, ale od lat bywa nadużywany przez napastników do kopiowania danych do zewnętrznych repozytoriów. Dla obrońców problemem jest to, że taki ruch może przypominać zwykłą synchronizację plików.
Całość wpisuje się w model low-noise persistence, czyli cichego utrzymywania obecności w środowisku ofiary. Zamiast głośnych exploitów i natychmiastowych działań destrukcyjnych napastnicy stawiali na rekonesans, utrzymanie dostępu i możliwość późniejszej aktywacji operacji.
Konsekwencje / ryzyko
Ryzyko wynikające z tej kampanii ma charakter wielowarstwowy. Dobór celów — bank, lotnisko, firma wspierająca sektor obronny i organizacje pozarządowe — wskazuje, że chodziło o podmioty o wysokiej wartości operacyjnej, informacyjnej i symbolicznej.
W sektorze finansowym podobne operacje mogą poprzedzać kradzież danych, nadużycia w systemach wewnętrznych lub działania zakłócające. W lotnictwie i transporcie zagrożone są nie tylko systemy biurowe, ale również procesy wspierające ciągłość świadczenia usług. W sektorze obronnym oraz technologicznym stawką pozostają własność intelektualna, dokumentacja projektowa, dane partnerów i informacje przydatne wywiadowczo.
Szczególnie niebezpieczny jest fakt, że dostęp został przygotowany przed eskalacją konfliktu. Oznacza to, że w przypadku dalszego wzrostu napięcia operatorzy mogą szybko przejść od rekonesansu do aktywnego oddziaływania — od eksfiltracji danych po działania zakłócające lub destrukcyjne.
Rekomendacje
Organizacje powinny potraktować napięcia geopolityczne jako czynnik bezpośrednio wpływający na priorytety SOC, threat huntingu i zespołów IR. W praktyce warto podjąć następujące działania:
- przeprowadzić retroaktywne polowanie na zagrożenia pod kątem nietypowego użycia Deno, Pythona, RClone i innych narzędzi living-off-the-land,
- zweryfikować mechanizmy trwałości dostępu, takie jak zadania harmonogramu, usługi systemowe, autostarty, konta serwisowe, tokeny chmurowe i klucze SSH,
- ograniczyć możliwość eksfiltracji danych poprzez kontrolę narzędzi synchronizacji z chmurą, segmentację sieci i monitoring ruchu wychodzącego,
- zaktualizować scenariusze reagowania na incydenty o wariant długotrwałej obecności przeciwnika oraz równoległych działań hacktywistycznych i DDoS,
- uszczelnić widoczność telemetryczną na poziomie endpointów, tożsamości, poczty, chmury i sieci.
Podsumowanie
Opisana kampania pokazuje, że współczesne cyberoperacje sponsorowane przez państwa są ściśle powiązane z wydarzeniami politycznymi i militarnymi. Najgroźniejszy etap nie zawsze przypada na moment publicznej eskalacji, lecz na tygodnie ją poprzedzające, kiedy przeciwnik buduje ukrytą obecność w środowisku ofiary.
Wykrycie furtki Dindoor, użycia Deno, implantów opartych na Pythonie oraz prób eksfiltracji z wykorzystaniem RClone potwierdza, że organizacje muszą rozwijać detekcję wykraczającą poza klasyczne wskaźniki kompromitacji. Dla podmiotów w USA i państwach sojuszniczych to wyraźny sygnał, że cyberobrona powinna być planowana również w oparciu o dynamikę sytuacji geopolitycznej.