Nový špionážní virus útočí na Ukrajinu i NATO. Hackeři se tak dostávají k nejcitlivějším datům

Ruská vojenská rozvědka GRU nasadila proti obranné a logistické infrastruktuře Ukrajiny i spojenců v NATO špionážní malware. Česko patří mezi výslovně jmenované cíle.

Zdroj fotografie: Unsplash

Koncem března 2026 zveřejnila bezpečnostní firma Trend Micro analýzu kampaně, kterou přisuzuje skupině APT28, hackerské jednotce GRU známé také jako Fancy Bear nebo Pawn Storm. Kampaň běží nejméně od září 2025, výrazně zesílila v lednu 2026 a míří na vládní úřady, obranný průmysl, dopravce, logistické firmy i meteorologické služby. Nejde o běžný samoreplikující se virus, jaký se šíří mezi domácími počítači. Jde o tiše pracující sadu nástrojů, jejichž jediným účelem je dostat se dovnitř, zůstat neviditelná a vytahovat strategicky cenná data, plány přeprav, e-mailovou komunikaci, provozní metadata. Právě proto je potenciální škoda mnohem větší, než naznačuje počet veřejně potvrzených obětí.

Co je PRISMEX a jak funguje

PRISMEX není jeden soubor. Je to označení Trend Micro pro celý řetězec navazujících komponent, z nichž každá plní konkrétní úlohu:

• PrismexSheet – Excel dropper s VBA makrem, který v sobě ukrývá payload pomocí steganografie v PNG obrázcích.
• PrismexDrop – dropper připravující prostředí pro další fáze.
• PrismexLoader – knihovna DLL, která z obrázku vytáhne a do paměti načte payload .NET, aniž by na disku zanechala stopu.
• PrismexStager – implant postavený na frameworku Covenant Grunt, zajišťující vzdálené řízení napadeného stroje.

Celý řetězec startuje spear-phishingovým e-mailem přizpůsobeným zemi a profesi oběti, který může vypadat jako hydrometeorologické varování, pozvánka na vojenský program nebo upozornění na pašování zbraní. Příloha zneužívá zranitelnost CVE-2026-21509 v mechanismu OLE aplikace Microsoft Office, případně ji řetězí s CVE-2026-21513. Útočníci si přitom registrovali infrastrukturu dva týdny předtím, než byla zranitelnost veřejně popsána. To naznačuje, že o ní věděli dříve než většina obránců.

Proč ho nikdo nezastaví

Konstrukce kampaně je dělaná pro měsíce tichého provozu. Payload běží výhradně v paměti procesu „explorer.exe“, perzistenci zajišťuje COM hijacking a naplánovaná úloha pojmenovaná nevinně „OneDriveHealth“. Komunikace se vzdáleným řízením probíhá přes legitimní cloudovou službu Filen.io, v síťovém provozu vypadá jako běžné nahrávání souborů do úložiště.

Výsledek: klasický antivirus nevidí podezřelý soubor na disku, firewall nevidí podezřelou doménu a administrátor nevidí neznámou službu. Přesná průměrná doba, po kterou útočníci zůstávají uvnitř sítě, nebyla zveřejněna. Samotná architektura ale ukazuje, že jde o týdny až měsíce, ne hodiny.

Trend Micro navíc výslovně zmiňuje, že vedle špionážních schopností byly pozorovány i příkazy typu wiper, tedy instrukce schopné mazat data. Kampaň tak může kdykoli přejít z tichého sledování do destruktivního režimu.

Česko v cílovém okruhu

Zpráva Trend Micro výslovně řadí Českou republiku mezi logistické podpůrné partnery spojené s muničními iniciativami pro Ukrajinu. Vedle Česka jmenuje Polsko, Rumunsko, Slovinsko, Slovensko a Turecko.

Konkrétní česká organizace napadená přímo kampaní PRISMEX veřejně potvrzena nebyla. Kontext je ale jednoznačný. NÚKIB už v květnu 2025 spolupodepsal varování před kampaní APT28 proti subjektům podporujícím Ukrajinu. Ve výroční zprávě za rok 2024 pak úřad konstatuje, že APT28 se na cíle v České republice zaměřuje dlouhodobě. A v dubnu 2026 vydal upozornění na kompromitaci routerů TP-Link stejnou skupinou, včetně zařízení na území ČR.

Podle nás je klíčové, že APT28 paralelně kombinuje cílený malware typu PRISMEX s plošným zneužíváním běžné síťové infrastruktury. Firma nebo úřad nemusí být přímým cílem špionáže, stačí, že její router poslouží jako odrazový můstek.

Co to znamená pro organizace v ohrožených sektorech

Primárním cílem nejsou běžní uživatelé. Riziko ale roste u každého, kdo pracuje v obraně, dopravě, logistice, IT nebo ve státní správě napojené na podporu Ukrajiny. Praktická doporučení vycházející z veřejně popsaného řetězce útoku:

• Okamžitě záplatovat Microsoft Office a Windows, zranitelnosti CVE-2026-21509 a CVE-2026-21513 mají veřejné exploity.
• Zakázat nebo silně omezit makra a neznámé doplňky v dokumentech Office.
• Hledat COM hijacking v registru (HKCU\Software\Classes\CLSID) a neobvyklé načítání CLR v procesu explorer.exe.
• Kontrolovat naplánované úlohy, název „OneDriveHealth“ je konkrétní indikátor.
• Omezit přístup ke cloudovým úložištím, která organizace nepoužívá, zejména Filen.io.
• Brát vážně varování na neplatné certifikáty v prohlížeči i e-mailovém klientu.

Strategická váha tiché operace

Americké ministerstvo spravedlnosti v dubnu 2026 rozbilo síť DNS hijackingu řízenou stejnou jednotkou GRU 26165. Popsalo, že v souběžných operacích APT28 sbírala hesla, autentizační tokeny a e-maily. Obžaloba z roku 2018 připomíná, že tatáž jednotka stála za hackem amerického Demokratického národního výboru v roce 2016.

PRISMEX ale není kampaň zaměřená na veřejný únik a politický skandál. Je to tichá průniková operace proti logistickému a obrannému zázemí kolem Ukrajiny, s menší mediální viditelností, ale velmi vysokou vojensko-provozní relevancí. Kompromitace dodavatelského řetězce, vhled do přepravních tras munice, mapování dopravních uzlů. A s pozorovanými příkazy typu wiper i připravenost přejít od sledování k sabotáži.

Počet obětí veřejně znám není. Důležitější je, že každá z nich sedí na informacích, jejichž ztráta se neprojeví v titulcích, ale v tom, že někdo na druhé straně fronty ví víc, než by měl.