Geopolityczne konflikty przeniosły się z poligonów wprost do chmur korporacyjnych. Gdy pod koniec lutego 2026 roku ruszyła amerykańska operacja w Iranie „Epic Fury”, w cyberprzestrzeni uderzył uśpiony potwór – Nimbus Manticore (UNC1549), elitarna armia hakerów powiązana z irańskim rządem. Nowy raport Check Point Research ujawnił, że cybernapastnicy zaprzęgli do walki sztuczną inteligencję, by sparaliżować kluczowe sektory globalnej gospodarki.
Wbrew powszechnym opiniom, celem cyberarmii z Teheranu nie są wyłącznie instalacje rządowe czy wojskowe. Najnowsza fala uderzeniowa z niespotykaną dotąd siłą uderzyła w sektor lotniczy, obronny, telekomunikacyjny oraz oprogramowania w Stanach Zjednoczonych, Europie oraz na Bliskim Wschodzie.
Dla menedżerów, dyrektorów operacyjnych i członków zarządów wniosek jest jeden: destabilizacja prywatnych przedsiębiorstw stała się pełnoprawnym elementem strategii wojennej państw agresorów. Ataki te nie polegają na ordynarnym niszczeniu dysków. Ich celem jest głęboka, cicha infiltracja, szpiegostwo przemysłowe, kradzież poufnych danych z chmury korporacyjnej oraz przejmowanie infrastruktury sieciowej. Wszystko po to, aby wywołać paraliż operacyjny firm stanowiących logistyczny i technologiczny kręgosłup Zachodu.
Od fałszywej rekrutacji do infekcji Zoom
Strategia napastników opiera się na bezwzględnym manipulowaniu ludzką psychiką i wykorzystywaniu zaufanych narzędzi codziennej pracy. Check Point Research zidentyfikował trzy precyzyjne fale ataków, z których każda wykorzystywała unikalne i trudne do wykrycia wektory infekcji:
-
Faza 1: Polowanie na talenty (Rising Tension). Jeszcze przed otwartym konfliktem, w fazie militarnego napięcia, hakerzy masowo wysyłali do pracowników branży lotniczej i software’owej fałszywe oferty pracy. Przynętą były spreparowane pliki archiwów (perfekcyjnie udające np. proces rekrutacyjny do korporacji Accenture) umieszczone na zaufanych platformach chmurowych, takich jak OnlyOffice.
-
Faza 2: Wojna i pułapka na wideokonferencji (Epic Fury). W samym środku militarnej zawieruchy hakerzy użyli niezwykle wyrafinowanego narzędzia – zmodyfikowanego instalatora popularnego programu Zoom. Ofiary, przekonane, że instalują oficjalny komunikator na pilne spotkanie biznesowe, nieświadomie otwierały cyfrowym dywersantom tylne drzwi (backdoor) do sieci firmowej.
-
Faza 3: Cyfrowe zatrucie wyszukiwarek (Post-Ceasefire). Nawet po formalnym zawieszeniu broni Nimbus Manticore nie zwolnił tempa. Przechodząc do nowej taktyki, hakerzy stworzyli perfekcyjną kopię strony popularnego narzędzia bazodanowego SQL Developer (getsqldeveloper[.]com) i użyli techniki tzw. SEO poisoning (zatruwania wyników wyszukiwania). Przez agresywne pozycjonowanie, ich fałszywa witryna znalazła się na samym szczycie wyników w wyszukiwarkach Bing i DuckDuckGo, infekując setki niczego niepodejrzewających administratorów baz danych.
Nowa broń hakerów: Przełamywanie zabezpieczeń systemowych
To, co najbardziej niepokoi ekspertów Check Pointa, to radykalny skok technologiczny w arsenale Irańczyków. Tradycyjne systemy antywirusowe opierają się na wykrywaniu znanych anomalii. Nimbus Manticore obszedł to ograniczenie, stosując wysoce zaawansowaną technikę AppDomain Hijacking.
Zamiast podrzucać podejrzane pliki wykonywalne, hakerzy modyfikują pliki konfiguracyjne legalnych, cyfrowo podpisanych aplikacji Microsoftu. Gdy system operacyjny uruchamia zaufany program, sam – z racji błędnej konfiguracji wstrzykniętej przez hakerów – ładuje złośliwy kod. W przypadku fałszywego instalatora Zoom, złośliwe oprogramowanie było tak sprytne, że nie tworzyło nowych, podejrzanych procesów. Zamiast tego „podpięło się” pod oficjalne, systemowe zadanie aktualizacji aplikacji (ZoomUpdateTask), perfekcyjnie wtapiając się w tło normalnej, codziennej pracy komputera. Co więcej, aby uśpić czujność, hakerzy podpisali swoje wirusy za pomocą legalnych certyfikatów bezpieczeństwa SSL.com.
AI ponownie w służbie hakerów
Najbardziej alarmującym punktem zwrotnym jest stworzenie przez napastników zupełnie nowej cyberbroni – backdoora o nazwie MiniFast. Wykonana przez Check Point Research analiza kodu wykazała, że został on w całości wygenerowany przez zaawansowane modele sztucznej inteligencji (LLM). AI pozwoliło skrócić czas pisania kodu z miesięcy do dni, dając państwowym hakerom możliwość błyskawicznej reakcji na sytuację geopolityczną
Przypadek operacji Nimbus Manticore w 2026 roku jasno dowodzi, że tradycyjna ochrona oparta na zaufaniu do „znanych aplikacji” i podstawowej edukacji pracowników to za mało. Skoro napastnicy potrafią zmanipulować wyniki wyszukiwania w wyszukiwarkach, legalnie autoryzować swoje wirusy i pisać kod przy użyciu sztucznej inteligencji, świat biznesu musi podjąć radykalne kroki.
Firmy bezwzględnie muszą wdrożyć podejście Zero Trust (Brak Zaufania). Każda, nawet najbardziej rutynowa aplikacja, aktualizacja czy wejście na stronę internetową musi być stale i automatycznie weryfikowane. W dobie cyberkonfliktów napędzanych przez sztuczną inteligencję, opieszałość w kwestii bezpieczeństwa IT to nie tylko ryzyko techniczne – to prosta droga do utraty ciągłości biznesowej i finansowego krachu.
