hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 maja 2026

Krajobraz Zagrożeń – 18.05.2026

UNC1151; bypass Bitlockera (YellowKey); EtherHiding + TheGentlemen ransomware.
Nagłówek Krajobraz Zagrożeń

Najnowszy Krajobraz Zagrożeń prezentuje działania UNC1151 (FrostyNeighbor), dla których Polska, obok Ukrainy, pozostaje jednym z kluczowych kierunków operacyjnych. Następnie analizujemy bypass Bitlockera za pomocą YellowKey oraz przyglądamy się wykorzystaniu EtherHiding przez The Gentlemen ransomware. Wszystkie trzy przypadki pokazują współczesną złożoność operacji – od działań aktorów state-sponsored, przez podważanie zaufania do mechanizmu ochrony danych, po coraz bardziej rozproszoną infrastrukturę wykorzystywaną przez grupy ransomware. 

Na skróty:

    1. Zaawansowane zagrożenia: UNC1151 (FrostyNeighbor) nie zwalnia tempa.
    2. Podatności: Jeden Żółty Klucz, by odszyfrować wszystkie dane.
    3. Cybercrime: Gdy ransomware sięga po blockchain – ukryte C2.

Zaawansowane zagrożenia

UNC1151 (FrostyNeighbor) nie zwalnia tempa 

  • Grupa UNC1151 (określana przez ESET jako FrostyNeighbor) pozostaje jednym z najbardziej aktywnych aktorów typu state-sponsored wymierzonych w Europę Środkowo-Wschodnią, w tym Polskę, stale rozwijając swoje techniki phishingowe, malware oraz mechanizmy unikania detekcji.
  • Najnowsza opisana kampania z wiosny 2026 roku pokazuje wyraźną ewolucję – operatorzy stosują zaawansowany geofencing, wieloetapowe łańcuchy infekcji, walidację ofiary po stronie serwera przed dostarczeniem payloadu oraz zróżnicowane warianty loadera.
  • Polska, obok Ukrainy, pozostaje jednym z kluczowych kierunków działań grupy. Oprócz administracji publicznej atakowane są również sektory przemysłowy, logistyczny, ochrony zdrowia oraz użytkownicy popularnych polskich usług pocztowych, takich jak Poczta Interia i Poczta Onet.

UNC1151, znany również jako TA445 czy – według nomenklatury ESET – FrostyNeighbor, od lat pozostaje jednym z najaktywniejszych aktorów klasy APT operujących przeciwko Polsce. Najnowsza publikacja badaczy ESET Research z maja 2026 roku pokazuje, że grupa konsekwentnie rozwija zarówno swoje zaplecze techniczne, jak i proces operacyjny. Choć kampanie prowadzone od marca 2026 roku były silnie wymierzone w instytucje rządowe Ukrainy, dane telemetryczne wskazują, że polska cyberprzestrzeń nadal znajduje się w ścisłym gronie priorytetowych celów tego aktora powiązanego z Białorusią. 

Jednym z najbardziej interesujących elementów tej kampanii jest wieloetapowa selekcja ofiar. Operatorzy wyraźnie odchodzą od masowych kampanii „spray and pray” na rzecz precyzyjnego profilowania celów jeszcze przed dostarczeniem właściwego payloadu. W najnowszych operacjach wykorzystywany jest zaawansowany geofencing połączony z walidacją po stronie serwera. 

Scenariusz wygląda następująco: ofiara otrzymuje wiadomość phishingową zawierającą złośliwy plik PDF, często podszywający się pod oficjalną komunikację operatora telekomunikacyjnego lub instytucji publicznej. Po kliknięciu w link infrastruktura atakujących analizuje adres IP, geolokalizację, user-agent oraz inne cechy ruchu sieciowego. Jeżeli system uzna, że użytkownik nie spełnia określonych kryteriów, serwer dostarcza nieszkodliwy dokument-wabik. Dopiero pozytywna walidacja powoduje uruchomienie kolejnego etapu infekcji – zwykle złośliwego skryptu JavaScript pobierającego archiwum RAR zawierające dalsze komponenty malware – zazwyczaj implant Cobalt Strike. 

Z perspektywy analitycznej jest to bardzo istotne. Tego typu mechanizmy znacząco utrudniają automatyczną analizę sandboxową, masowe pozyskiwanie próbek czy klasyczną analizę infrastruktury C2. Operatorzy FrostyNeighbor bardzo świadomie ograniczają widoczność swoich kampanii i dostosowują sposób działania do mechanizmów wykorzystywanych przez współczesne systemy bezpieczeństwa. 

Kolejnym dowodem na elastyczność grupy pozostaje rozwój PicassoLoadera – charakterystycznego downloadera wykorzystywanego do dostarczania beaconów Cobalt Strike. Według ESET grupa utrzymuje wiele wariantów tego narzędzia napisanych w różnych językach, m.in. JavaScript, PowerShell, .NET oraz C++. Co istotne, payloady ukrywane są w plikach kojarzonych z architekturą stron WWW, takich jak SVG, CSS czy JavaScript, co utrudnia detekcję opartą wyłącznie na analizie rozszerzeń plików lub reputacji treści. 

Szczególnie interesujący jest również fakt, że końcowe dostarczenie beaconów Cobalt Strike nie zawsze odbywa się automatycznie. Raport wskazuje, że po wstępnym profilowaniu systemu ofiary przez PicassoLoader operatorzy mogą ręcznie oceniać wartość celu i dopiero wtedy podejmować decyzję o dalszej fazie kompromitacji środowiska. To bardzo wyraźny wskaźnik wysokiej dojrzałości grupy oraz prowadzenia działań ukierunkowanych na konkretne cele o wysokiej wartości. 

Z perspektywy Polski istotne pozostaje także regularne wykorzystywanie kampanii phishingowych wymierzonych w użytkowników krajowych usług pocztowych. ESET przypomina wcześniejsze operacje wykorzystujące spreparowane strony logowania podszywające się pod Interię i Onet. W połączeniu z wcześniejszymi informacjami CERT Polska dotyczącymi wykorzystania podatności XSS w Roundcube (CVE-2024-42009), gdzie samo otwarcie wiadomości mogło prowadzić do wykonania złośliwego kodu JavaScript, pokazuje to spójny kierunek działań grupy – kompromitację poczty elektronicznej jako jednego z głównych wektorów operacyjnych. Pokazuje to, że grupa równolegle rozwija zarówno klasyczne operacje malware, jak i działania ukierunkowane na kradzież poświadczeń oraz przejmowanie kont pocztowych. 

Warto zwrócić uwagę również na elastyczność infrastrukturalną UNC1151. W poprzednich kampaniach grupa wykorzystywała legalne usługi i platformy, takie jak Slack czy Canarytokens, zarówno do dystrybucji payloadów, jak i śledzenia aktywności ofiar lub badaczy bezpieczeństwa. Takie podejście znacząco ogranicza skuteczność detekcji opartej wyłącznie na reputacji domen czy klasycznych listach IoC. 

Patrząc szerzej

Z perspektywy analityka polskiej cyberprzestrzeni, UNC1151 pozostaje jednym z najbardziej konsekwentnych i adaptujących się przeciwników działających u nas. Widać wyraźnie, że grupa stale modernizuje swój warsztat, jednocześnie nie porzuca sprawdzonych technik i nadal kluczową rolę odgrywa spearphishing, kompromitacja poczty oraz wykorzystanie legalnych usług internetowych do maskowania aktywności. Szczególnie niebezpieczne jest połączenie działań malware, credential harvesting (w kontekście usług poczty) oraz operacji wpływu informacyjnego, co od lat wyróżnia UNC1151 na tle wielu innych grup APT. 

W praktyce oznacza to, że zakładamy dalszy wzrost kampanii ukierunkowanych na pocztę elektroniczną, systemy webmail oraz użytkowników administracji publicznej i sektorów krytycznych. Kolejna już publikacja (tym razem ESET) potwierdza, że operacje prowadzone przez UNC1151 nie mają charakteru incydentalnego.

Więcej informacji: 
https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans 

Podatności

Jeden Żółty Klucz, by odszyfrować wszystkie dane 

  • Bypass do Bitlockera nazwany YellowKey może pozwolić na ominięcie zabezpieczeń gwarantujących szyfrowanie dysku. 
  • Opublikowana analiza demonstruje jak za pomocą odpowiednio przygotowanego nośnika USB można ominąć BitLockera skonfigurowanego w wariancie TPM-only.
  • Badacz, który opisał bypass YellowKey poinformował o istnieniu alternatywnej wersji umożliwiającej obejście BitLockera w wariancie TPM+PIN.
  • Bypass wywołał liczne dyskusje na temat podejścia do incydentów wiążących się z utratą urządzenia oraz o pozornej niezawodności znanych rozwiązań. 

BitLocker stanowi podstawowy element ochrony danych na komputerach z systemem Windows, szczególnie w firmach i organizacjach. BitLocker może działać w wariancie TPM-only (Trusted Platform Module) lub TPM + numer PIN, który zna użytkownik i wpisuje go przy każdym uruchomieniu systemu. Wiele organizacji korzysta z pierwszego wariantu, w którym proces odszyfrowania odbywa się automatycznie podczas uruchamiania systemu. Głównym zadaniem BitLockera jest zabezpieczenie zawartości dysku przed nieuprawnionym odczytem po zgubieniu urządzenia lub jego kradzieży. Jest to szczególne ważne w przypadku analizy ryzyka oraz w kontekście reagowania na incydenty. W końcu zdarzenie związane z utratą służbowego urządzenia przez pracownika jest traktowane zupełnie inaczej w zależności od możliwości uzyskania dostępu do zawartych tam danych przez osobę nieuprawnioną. Biorąc pod uwagę tę perspektywę, nietrudno sobie wyobrazić jakie poruszenie w środowisku może wywołać luka w rozwiązaniu, na którym opiera się tak wiele.  

12 maja opublikowano informacje o technice nazwanej YellowKey, która umożliwia atakującym obejście BitLockera zaimplementowanego w modelu TPM. YellowKey jest określany jako bypass, ponieważ nie polega na ataku na mechanizmy kryptograficzne. Atak wykorzystuje zachowanie Windows Recovery Environment oraz sposób, w jaki system współpracuje z TPM podczas procedury rozruchowej. Według opublikowanych analiz wystarczy fizyczny dostęp do urządzenia oraz odpowiednio przygotowany nośnik USB, aby uzyskać dostęp do odszyfrowanej partycji bez znajomości klucza odzyskiwania. Zarówno metoda, jak i dokładna instrukcja przygotowania takiego ataku są dostępne publicznie.  

Szczególnie narażone są organizacje z wdrożonym mechanizmem TPM-only, który jest popularny ze względu na minimalizowanie wpływu zabezpieczenia na doświadczenie użytkowników, którzy negatywnie postrzegają konieczność pamiętania kolejnego PINu lub hasła. Jest to też rozwiązanie umożliwiające użytkowanie jednego komputera służbowego przez więcej niż jednego pracownika. Jednocześnie od lat wskazywano na ryzyko związane z takim „kompromisem”. Wariant wykorzystujący TPM wraz z dodatkowym numerem PIN jest uznawany za zdecydowanie bezpieczniejszy. Analizy dotyczące YellowKey wskazują jednak, że i to nie jest już oczywiste. Publicznie dostępny proof-of-concept koncentruje się głównie na konfiguracjach TPM-only, natomiast autor techniki twierdzi, że posiada również wariant pozwalający obejść ochronę TPM+PIN, choć nie został on opublikowany. Można uznać, że ochrona TPM+PIN wciąż jest znacząco bezpieczniejsza, ponieważ jej obejście nie jest powszechnie dostępne, jak w przypadku wariantu TPM-only.  

BitLocker jest często traktowany jako mechanizm gwarantujący spełnianie wymagań zgodności regulacyjnej oraz ochrony danych osobowych. W wielu organizacjach przyjmowano dotychczas, że utrata laptopa zaszyfrowanego BitLockerem nie prowadzi automatycznie do incydentu naruszenia danych, ponieważ dane pozostają nieosiągalne dla osoby nieuprawnionej. YellowKey burzy te podstawowe założenia i wymusza zmianę podejścia. W scenariuszu obejmującym kradzież urządzenia lub nawet chwilowy nieuprawniony dostęp atakujący może dostać się do wszystkich danych zawartych na zaszyfrowanym dysku.  

Z perspektywy zarządzania bezpieczeństwem oznacza to konieczność ponownej oceny polityk ochrony endpointów. Firmy powinny traktować szyfrowanie dysku jako jeden z elementów ochrony, a nie gwarancję pełnej odporności na nieuprawniony dostęp do danych w sytuacji kradzieży urządzenia. Coraz większego znaczenia nabiera kontrola fizycznego dostępu do sprzętu oraz ograniczenie możliwości uruchamiania systemu z zewnętrznych nośników. Warto zauważyć także, że Microsoft od dawna rekomenduje stosowanie TPM wraz z PIN-em jako skuteczniejszego wariantu ochrony przed atakami offline i fizycznymi.  

Patrząc szerzej

YellowKey pokazuje również szerszy problem związany z bezpieczeństwem urządzeń i danych. Dla dużych organizacji ten bypass oznacza konieczność odejścia od uproszczonego założenia, że aktywacja BitLockera automatycznie eliminuje ryzyko wycieku danych po utracie urządzenia. W praktyce bezpieczeństwo zależy nie tylko od kryptografii, ale również od odporności całego łańcucha uruchamiania systemu oraz procedur organizacyjnych związanych z ochroną sprzętu i danych.  

Szyfrowanie dysków stało się jedną z warstw ochrony w modelu Defense in Depth, zakładającym budowanie niezależnych mechanizmów bezpieczeństwa. Opisany problem jednoznacznie pokazuje jednak, że szyfrowanie realizowane przez BitLocker nie jest w pełni niezależne od systemu operacyjnego i jego funkcjonalności, co podważa postrzeganie tego rozwiązania jako autonomicznego mechanizmu ochrony. Innymi słowy, organizacje powinny dywersyfikować dostawców technologii wykorzystywanych w poszczególnych warstwach bezpieczeństwa, ponieważ poleganie na jednym dostawcy może prowadzić do istotnego osłabienia ochrony w przypadku błędów projektowych, podatności lub innych problemów bezpieczeństwa. 

Więcej informacji:  
https://github.com/Nightmare-Eclipse/YellowKey 

Cybercrime

Gdy ransomware sięga po blockchain – ukryte C2 

  • The Gentlemen stał się w 2026 roku jedną z szybciej rosnących operacji RaaS. Według analiz Check Point Research z kwietnia 2026 roku wśród ofiar znalazło się około 50 podmiotów z Polski. 
  • Jeden z afiliantów The Gentlemen zastosował EtherHiding — technikę ukrywania konfiguracji C2 w smart contractach blockchainu Ethereum.
  • EtherHiding nie jest nowym zjawiskiem. Technika była wcześniej obserwowana m.in. w kampaniach przypisywanych podmiotom powiązanym z Koreą Północną oraz w kampanii OCRFix.  

The Gentlemen 

The Gentlemen to relatywnie nowa grupa ransomware-as-a-service, która zaczęła być szerzej obserwowana w drugiej połowie 2025 roku. Jej aktywność wyraźnie przyspieszyła na początku 2026 roku. Operatorzy oferowali afiliantom kilka wariantów szyfratorów przeznaczonych dla różnych środowisk — od systemów Windows po środowiska serwerowe i wirtualizacyjne. Z perspektywy krajobrazu zagrożeń istotniejszy wydaje się jednak sposób prowadzenia operacji. 

Analizy sugerują, że The Gentlemen nie opiera się wyłącznie na prostych, masowych kampaniach. W wielu przypadkach grupa wykorzystywała wcześniej przygotowany dostęp i działała etapowo — od uzyskania przyczółka, przez discovery i utrzymanie dostępu, aż po finalne szyfrowanie. To model bliższy dojrzałym operacjom intrusion niż klasycznemu „wrzuć ransomware i szyfruj”. 

W kontekście Polski grupa również zaczęła pojawiać się coraz częściej. Według analiz Check Point Research z kwietnia 2026 roku wśród ofiar udokumentowanych przez infrastrukturę powiązaną z The Gentlemen znalazło się około 50 podmiotów z naszego kraju. 

Dobrym przykładem tego podejścia jest incydent opisany w The DFIR Report. Łańcuch ataku nie zaczynał się od samego ransomware, ale od złośliwego instalatora podszywającego się pod legalne narzędzie. Dopiero później pojawiały się kolejne elementy operacji — malware odpowiedzialne za komunikację, pobieranie konfiguracji oraz dalsze etapy działania. 

W tym miejscu pojawia się EtherHiding. 

EtherHiding 

Żeby zrozumieć, dlaczego pojawienie się EtherHiding w ataku ransomware jest istotne, warto przypomnieć mechanizm. Smart contract to program rezydujący pod konkretnym adresem blockchain, który może przechowywać dowolne dane — w tym adresy serwerów C2. Malware odpytuje taki kontrakt za pomocą wywołania RPC. Z perspektywy sieci ruch taki może przypominać zwykłą komunikację HTTPS z legalnymi usługami, co utrudnia jednoznaczne odróżnienie go od standardowej aktywności. Problemem jest brak klasycznego serwera C2, który można łatwo zidentyfikować i zablokować. 

Technikę wcześniej obserwowano m.in. u aktorów powiązanych z Koreą Północną, co opisał Mandiant w ramach aktywności przypisywanej grupie UNC5342. W lutym 2026 roku firma CYJAX opisała kampanię OCRFix — atak łączący typosquatting strony narzędzia Tesseract OCR z techniką ClickFix i EtherHiding na sieci BNB Smart Chain. Analitycy znaleźli w kodzie phishingowej strony parametr UTM wskazujący na ChatGPT, co sugeruje, że atakujący celowo zatruwali model językowy tak, by ten rekomendował złośliwą domenę użytkownikom. Złośliwe polecenie PowerShell automatycznie trafiało do schowka po kliknięciu fałszywego CAPTCHA, a konfiguracja C2 była ukryta w trzech oddzielnych smart contractach — po jednym na każdy etap trójstopniowego łańcucha infekcji.  

EtherHiding jest również obecny w Polsce i pojawił się ostatnio w atakach wymierzonych w kilka polskich sklepów internetowych. 

EtherRAT 

Wracając do The DFIR Report, w tym incydencie punktem wejścia był instalator MSI podszywający się pod narzędzie RAMMap z pakietu Sysinternals — skłaniający do pobrania właśnie dlatego, że imituje zaufane oprogramowanie administracyjne. Instalator wdrożył EtherRAT.  

W chwili uruchomienia EtherRAT na zainfekowanej maszynie w blockchainie Ethereum nie był jeszcze zapisany żaden aktywny adres serwera — malware czekał. Dopiero po pewnym czasie atakujący zaktualizował smart contract, wskazując malware’owi tunel TryCloudflare jako aktywne połączenie zwrotne. Obok właściwej infrastruktury umieszczono fałszywe domeny — tak, by analitycy nie mogli łatwo odróżnić prawdziwego ruchu od zasłony dymnej. 

Gdy połączenie zostało nawiązane, na zainfekowany system trafił malware TukTuk, który według analiz prawdopodobnie powstał z udziałem narzędzi AI. TukTuk podszywał się pod popularne aplikacje desktopowe przez technikę DLL sideloading i komunikował się z atakującym przez komercyjne serwisy SaaS. W konfiguracji zapasowej mógł wykorzystywać sieć Arweave jako dead-drop resolver — kolejny zdecentralizowany komponent C2. 

Następnie w środowisku zainstalowano GoTo Resolve, legalne narzędzie do zdalnego zarządzania, które posłużyło do poruszania się po sieci bez wzbudzania alertów opartych na detekcji złośliwych procesów. Dane zostały wyeksfiltrowane narzędziem Rclone do usługi chmurowej Wasabi. Trzeciego dnia ataku ransomware The Gentlemen zaszyfrował środowisko przez politykę GPO, po wcześniejszym wyłączeniu Windows Defendera, usunięciu kopii zapasowych woluminów usługi Volume Shadow Copy i wyczyszczeniu logów zdarzeń. 

Patrząc szerzej

Dziś coraz częściej mamy do czynienia z rozproszonym ekosystemem usług, narzędzi i etapów działania, które mogą być rozwijane niezależnie od siebie. 

EtherHiding wpisuje się w ten trend jako kolejna warstwa utrudniająca analizę i zakłócanie operacji. Dla zespołów bezpieczeństwa oznacza to konieczność obserwowania nie tylko samego malware, ale również sposobów utrzymywania komunikacji, mechanizmów konfiguracji oraz nietypowego wykorzystania publicznej infrastruktury. 

Więcej informacji: 
https://thedfirreport.com/2026/05/11/flash-alert-etherrat-and-tuktuk-c2-end-in-the-gentleman-ransomware/ 
https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/ 
https://www.cyjax.com/resources/blog/ocrfix-botnet-trojan-delivered-through-clickfix-and-etherhiding 
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding 

Zobacz także

8 maja 2026
Krajobraz Zagrożeń – 08.05.2026
Dowiedz się więcej
10 kwietnia 2026
Krajobraz Zagrożeń 26/03-08/04/2026
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance