Holenderski wywiad ujawnia skalę operacji Rosji i Chin

• Rosja nieustannie wykorzystuje zaawansowane cyberataki oraz kampanie dezinformacyjne do wywoływania podziałów w Europie.
• Chiny zrównały się ze Stanami Zjednoczonymi pod względem ofensywnych zdolności w cyberprzestrzeni i celują w zachodni przemysł zbrojeniowy.
• Korea Północna omija międzynarodowe sankcje przy pomocy zatrudnianych pod fałszywymi tożsamościami specjalistów IT, kradnących kryptowaluty i wrażliwe dane.

Wojskowa Służba Wywiadu i Bezpieczeństwa Holandii (Militaire Inlichtingen- en Veiligheidsdienst - MIVD) opublikowała roczny raport za 2025 r., podsumowujący narastające zagrożenia dla bezpieczeństwa narodowego Holandii.

Dokument ten w sposób szczególny zwraca uwagę na zintensyfikowaną aktywność Rosji oraz Chin.

Eksperci wywiadu poświęcają bardzo dużo uwagi wrogiej działalności tych państw w cyberprzestrzeni oraz poważnym konsekwencjom wpływającym na stabilność struktur państwowych.

Z oceny wynika przeniesienie środka ciężkości zagrożeń z konwencjonalnych metod uderzeniowych na skomplikowane operacje prowadzone w wirtualnym środowisku.

Rosyjskie zagrożenia w cyberprzestrzeni

Raport podkreśla, że Federacja Rosyjska stanowi obecnie największe i najbardziej bezpośrednie zagrożenie dla pokoju oraz stabilności w Europie, co w sposób bezpośredni uderza w holenderskie interesy bezpieczeństwa narodowego.

Wojna konwencjonalna Rosji z NATO jest uznawana przez służbę holenderską za mało prawdopodobną tak długo, jak trwa wojna w Ukrainie, ale dużym zagrożeniem są działania utrzymywane celowo poniżej progu otwartego konfliktu zbrojnego, aby wywoływać strach oraz wpływać na decyzje państw i organów międzynarodowych.

Rosyjscy cyberaktorzy wykazują ogromną aktywność w ofensywnych operacjach wymierzonych w państwa europejskie, działając zarówno jako struktury bezpośrednio powiązane z wywiadem, jak i grupy wspierane przez państwo.

Liczba hakerów realizujących interesy Kremla systematycznie rośnie, a ich aktywność obejmuje szerokie spektrum metod, od prostego spearphishingu po wykorzystywanie zaawansowanego złośliwego oprogramowania.

Cyberataki na systemy rządowe

MIVD wskazuje, że jednym z głównych celów rosyjskich operacji jest systematyczne włamywanie się do systemów rządu holenderskiego oraz innych państw Unii Europejskiej i NATO w celu zdobycia tajnych informacji, zwłaszcza tych dotyczących wsparcia dla Ukrainy.

Część rosyjskich aktorów intensywnie inwestuje również w nowe cyberzdolności, które mają umożliwić im przeprowadzenie skutecznego cybersabotażu na późniejszym etapie konfliktu.

LAUNDRY BEAR pokazuje nową skalę rosyjskiej aktywności

W raporcie zwrócono uwagę na działalność rosyjskiego aktora określanego jako LAUNDRY BEAR. W maju 2025 r. MIVD i AIVD ujawniły informacje o tej grupie, którą zidentyfikowano już w 2024 r. To właśnie ona przeprowadziła cyberatak w Holandii, w wyniku którego wykradziono służbowe dane kontaktowe holenderskich policjantów.

Znaczenie tej sprawy wykracza jednak poza sam incydent. Według ustaleń holenderskich służb, LAUNDRY BEAR prowadzi cyberataki na zachodnie rządy, firmy i inne organizacje co najmniej od 2024 r.

Działania te często dotyczą obszarów bezpośrednio związanych z rosyjskimi operacjami wojennymi na Ukrainie. Wśród celów znajdują się ministerstwa obrony państw NATO, poszczególne rodzaje sił zbrojnych oraz dostawcy sprzętu obronnego.

Pokazuje to, że rosyjskie operacje w cyberprzestrzeni są coraz silniej osadzone w logice wojskowej i wywiadowczej, a wzorzec działania wskazuje na systematyczne pozyskiwanie informacji i dostępów użytecznych z punktu widzenia państwa rosyjskiego.

Nieletni wykorzystany w operacji rozpoznawczej

Ciekawym przykładem opisanym w raporcie jest sprawa działalności rozpoznawczej prowadzonej wobec sieci cyfrowych ambasad i innych organizacji w Hadze. Śledztwo przeprowadzone przez MIVD i AIVD wykazało, że nieletni opracował mapę tych sieci na zlecenie samozwańczej prorosyjskiej grupy hakerów.

Takie działania stanowią często etap przygotowawczy do poważniejszych operacji. Mapowanie infrastruktury, identyfikacja połączeń i analiza architektury sieci to klasyczne elementy budowania dostępu operacyjnego.

Służby holenderskie zatrzymały tę sprawę na wczesnym etapie, ale incydent ten pokazuje, jak szeroki może być ekosystem wykonawców i pośredników wykorzystywanych przez środowiska prorosyjskie.

Ataki hakerskie na osobiste konta urzędników państwowych i wojskowych

Wyjątkowo niebezpiecznym trendem odnotowanym w minionym roku w działaniach rosyjskich były próby przejęcia kontroli nad osobistymi kontami czatowymi najważniejszych urzędników państwowych oraz wojskowych.

Hakerzy powiązani z Rosją uzyskali nieautoryzowany dostęp do aplikacji Signal oraz WhatsApp, co pozwoliło im na podszywanie się pod legalnych użytkowników i manipulowanie komunikacją.

Tego rodzaju kampanie naruszają poufność kontaktów na najwyższych szczeblach władzy, ponieważ osoby postronne mogą być przekonane, że korespondują z zaufanym partnerem, podczas gdy w rzeczywistości ich wiadomości trafiają do wrogiego aktora.

Wykorzystanie technik inżynierii społecznej sprawia, że te ataki stają się jednym z najskuteczniejszych narzędzi w rosyjskim arsenale szpiegowskim.

Nowe oblicze agresji wspierane przez AI

MIVD podkreśla, że możliwości rosyjskich podmiotów w zakresie przeprowadzania ataków cyfrowych stale rosną dzięki postępującej automatyzacji procesów. Wykorzystanie AI pozwala napastnikom na realizację operacji w bardzo szybkim tempie, co znacząco utrudnia ich skuteczne wykrywanie i odpieranie przez zachodnie systemy obronne.

Przykładem takiej ciągłej i niebezpiecznej aktywności jest wspomniana wcześniej grupa LAUNDRY BEAR, która od 2024 r. systematycznie uderza w ministerstwa obrony oraz dostawców sprzętu wojskowego państw NATO.

Działania te są ściśle skorelowane z rosyjskimi wysiłkami wojennymi i mają na celu osłabienie potencjału obronnego całego Sojuszu.

Chiny zwiększają potencjał oddziaływania w cyberprzestrzeni

Raport MIVD dużo uwagi poświęcił także analizie cyberzagrożeń ze strony Chin. Jak wskazano, Chińska Armia Ludowo-Wyzwoleńcza przeprowadziła gruntowną reorganizację swoich jednostek działających w cyberprzestrzeni, co pozwoliło na skuteczną konsolidację wcześniej rozproszonego potencjału technicznego.

Zmiany te umożliwiły chińskim hakerom znacznie lepszą integrację ofensywnych zdolności cyfrowych z tradycyjnymi operacjami wojskowymi oraz szybkie reagowanie na zmieniające się okoliczności.

Holenderskie służby szacują, że potencjał ofensywny Chin w cyberprzestrzeni jest obecnie porównywalny z możliwościami Stanów Zjednoczonych.

Głównym celem chińskiego strukturalnego cyberszpiegostwa pozostaje zachodni przemysł zbrojeniowy, dzięki czemu azjatyckie mocarstwo zdobywa bezcenny wgląd w potencjał militarny swoich przeciwników.

Chińskie cyberataki na sektor telekomunikacyjny

Chińscy cyberaktorzy systematycznie wystawiają na próbę zachodnie systemy obronne, atakując bezpośrednio struktury UE oraz NATO. Szczególny niepokój budzą kampanie wykorzystujące luki w oprogramowaniu typu zero-day oraz agresywne uderzenia w urządzenia brzegowe, takie jak routery, zapory sieciowe i rozwiązania VPN.

Przykładem takiej profesjonalnej aktywności była działalność grupy SALT TYPHOON, która uzyskała dostęp do systemów holenderskich dostawców usług hostingowych w celu kradzieży danych.

Sektor telekomunikacyjny pozostaje istotny z punktu widzenia chińskich cyberataków, ponieważ pozwala pozyskiwać informacje o wysokiej wartości, obserwować ruch, identyfikować relacje między podmiotami i budować dalszy dostęp do kolejnych celów.

Z perspektywy bezpieczeństwa państwa nie jest to już problem ograniczony do pojedynczych firm, ale kwestia odporności całego ekosystemu cyfrowego. MIVD zauważa, że dotychczasowe metody reagowania i ograniczania skutków są często niewystarczające w starciu z tak rozległym i profesjonalnym zagrożeniem.

Systemowe pozyskiwanie technologii i wiedzy

Ciągły rozwój gospodarczy oraz modernizacja armii Chin wymagają rozległej i zaawansowanej wiedzy badawczej, którą Pekin zdobywa w sposób zorganizowany na całym świecie.

Chińskie służby realizują tę potrzebę poprzez przyciąganie zachodnich naukowców oraz masowe wysyłanie własnych badaczy do czołowych ośrodków naukowych na Zachodzie.

Dzięki takiemu podejściu Chiny uzyskują dostęp do bardzo wrażliwej wiedzy technologicznej, która jest następnie adaptowana we własnym przemyśle zbrojeniowym oraz służy modernizacji sił zbrojnych.

Północnokoreańscy hakerzy w europejskich firmach

Ciekawą obserwacją holenderskich służb jest aktywność hakerów z Korei Północnej. Państwo to opracowało wyrafinowany mechanizm omijania międzynarodowych sankcji, wykorzystując do tego hakerów oraz wysoko wykwalifikowanych specjalistów IT.

Osoby te podejmują pracę w zagranicznych organizacjach pod fałszywymi nazwiskami i pod pozorem legalnej działalności informatycznej generują znaczne dochody dla reżimu.

Większość tych środków trafia następnie bezpośrednio na finansowanie północnokoreańskich programów zbrojeń jądrowych i rakietowych.

Specjaliści ci często działają jako zdalni kontrahenci, pracujący jednocześnie dla wielu firm, co ułatwia im ukrywanie swojej prawdziwej tożsamości oraz rzeczywistego celu działania.

Operacje szpiegowskie i kradzież aktywów cyfrowych

MIVD wskazuje, że zagrożenie ze strony północnokoreańskich aktorów cyfrowych ewoluowało w ostatnim czasie ze Stanów Zjednoczonych bezpośrednio w kierunku Europy i Holandii.

Hakerzy z tego państwa przeprowadzają liczne operacje, których celem jest kradzież kryptowalut oraz poufnych danych korporacyjnych, szczególnie z nowoczesnego sektora blockchain.

Przykładem ich działalności był atak na holenderską ambasadę w Seulu, przeprowadzony przy użyciu technik spearphishingu i podszywania się pod oficjalną komunikację Ministerstwa Spraw Zagranicznych. Działania te były częścią szerszych kampanii, mających na celu zdobycie zaawansowanej wiedzy technologicznej oraz strategicznych informacji geopolitycznych.

Wnioski

Raport MIVD pokazuje wyraźnie, że cyberprzestrzeń stała się jednym z kluczowych obszarów rywalizacji między państwami. Rosja, Chiny i Korea Północna działają w różny sposób, lecz wszystkie konsekwentnie wykorzystują środowisko cyfrowe do realizacji celów strategicznych, politycznych, wojskowych i finansowych.

Zagrożeń w cyberprzestrzeni nie można już postrzegać wyłącznie jako problemu technicznego, ograniczonego do ochrony sieci i danych. Coraz częściej są one elementem szerszej presji wywieranej na państwa, instytucje i kluczowe sektory gospodarki.

Z perspektywy Europy szczególnie niepokojące jest zacieranie się granic między cyberszpiegostwem, sabotażem, operacjami wpływu, kradzieżą danych i klasyczną cyberprzestępczością. Przeciwnicy wykorzystują zarówno zaawansowane narzędzia techniczne, jak i metody pośrednie, takie jak dezinformacja, fałszywe tożsamości czy infiltracja legalnych struktur gospodarczych.

Odporność cyfrowa staje się dziś nie tylko kwestią bezpieczeństwa teleinformatycznego, ale jednym z fundamentów bezpieczeństwa państwa. Współcześnie o realnym poziomie bezpieczeństwa decydują nie tylko zdolności militarne, ale również skuteczność ochrony infrastruktury cyfrowej, zdolność wykrywania operacji wywiadowczych oraz szybkość reagowania na działania prowadzone poniżej progu otwartego konfliktu.