#mandiant — Public Fediverse posts

Google lanza AI Threat Defense: plataforma autónoma para combatir ciberataques impulsados por IA en tiempo real

En un momento en que los ciberdelincuentes utilizan inteligencia artificial para detectar y explotar vulnerabilidades en horas en lugar de semanas, Google Cloud presentó su respuesta: una plataforma que combina Gemini, Mandiant, Wiz y CodeMender en un sistema de defensa siempre activo que no solo detecta amenazas, sino que las repara automáticamente (Fuente Google).

La carrera armamentista en ciberseguridad acaba de dar un salto de magnitud. Google Cloud lanzó oficialmente su plataforma AI Threat Defense el 28 de mayo de 2026, un sistema de seguridad autónomo diseñado para ayudar a las empresas a mantenerse al ritmo de los ciberdelincuentes que utilizan IA para descubrir y explotar vulnerabilidades a velocidades sin precedentes. El problema que busca resolver es concreto e inquietante: la «ventana de explotación», el tiempo crítico entre que una vulnerabilidad es descubierta y que es atacada, se redujo de semanas a apenas horas. Los métodos de seguridad manuales tradicionales ya no son suficientemente rápidos para detener ataques automatizados e impulsados por IA.

La arquitectura de la plataforma integra cuatro activos clave de Google en un sistema unificado. AI Threat Defense fusiona los modelos de la familia Gemini, la empresa de seguridad en la nube Wiz —recientemente adquirida por Google—, el agente de corrección de código CodeMender y la práctica de inteligencia de amenazas y respuesta a incidentes de Mandiant. El resultado es un sistema que opera en cuatro etapas secuenciales: Preparar, Escanear y Priorizar, Remediar y Monitorear.

Lo que distingue a esta plataforma de otras soluciones existentes es su enfoque en la acción, no solo en la alerta. Uno de los principales problemas de los sistemas actuales de ciberseguridad con IA es el enorme volumen de alertas generadas durante los análisis de vulnerabilidades. AI Threat Defense se diferencia porque no solo detecta y señala riesgos, sino que los prioriza activamente según el riesgo real en el mundo y automatiza el camino hacia la solución. En palabras de Francis deSouza, COO de Google Cloud y Presidente de Productos de Seguridad: «Los atacantes están usando IA para descubrir y aprovechar vulnerabilidades a velocidades sin precedentes. Los equipos de seguridad e ingeniería ya no pueden encontrar, analizar y parchear estas fallas manualmente con la velocidad suficiente. Este sistema está diseñado para superarlos.»

El contexto competitivo en el que llega este lanzamiento es igualmente revelador. Anthropic introdujo su modelo de ciberseguridad Claude Mythos en abril, mientras que OpenAI lanzó su plataforma Daybreak basada en GPT-5.5 a principios de mayo. Google llega tercero en este segmento específico, pero con una ventaja difícil de igualar: la integración nativa de Mandiant —considerada una de las firmas de inteligencia de amenazas más respetadas del mundo— junto con la escala de infraestructura de Google Cloud y el poder de razonamiento de Gemini.

La arquitectura segura por defecto de Google ya bloquea automáticamente 10 millones de correos spam por minuto y protege a miles de millones de usuarios en todo su portafolio. AI Threat Defense busca llevar esa misma filosofía de defensa proactiva al corazón de la seguridad empresarial en la era de la IA. La pregunta ya no es si las organizaciones necesitan defenderse con IA: es si pueden permitirse no hacerlo.

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

AI napisało exploita na zero-day. Google go złapało, bo… był zbyt „grzeczny”

Google Threat Intelligence Group (GITG) wspólnie z ekipą Mandiant poinformowało o wykryciu pierwszego w historii exploita typu zero-day, który został stworzony przy wyraźnym wsparciu modelu językowego (LLM).

Hakerzy użyli sztucznej inteligencji, by uderzyć w popularne narzędzie administracyjne typu open-source i ominąć uwierzytelnianie dwuskładnikowe (2FA).

Zbyt pilny uczeń zdradza hakera

To, co w tej sprawie jest najbardziej fascynujące, to fakt, że sztuczna inteligencja „wsypała” swoich twórców przez… nadmierną staranność. Eksperci Google’a zidentyfikowali udział AI w tworzeniu złośliwego kodu po kilku specyficznych cechach, które nie występują w „tradycyjnym” malwarze (w sensie: tym tworzonym przez ludzi). Co zdradziło autorstwo AI?

• Podręcznikowy styl: skrypt w Pythonie był napisany niezwykle czysto, niemal w sposób akademicki.
• Nadgorliwe komentarze: kod zawierał mnóstwo edukacyjnych opisów modułów, co jest typowe dla odpowiedzi generowanych przez chatboty, a zbędne dla hakerów.
• „Halucynacje” w kodzie: AI dodało do skryptu zmyślone punktacje CVSS (system oceny groźności luki), których hakerzy nigdy by tam nie umieścili.
• Estetyka ponad wszystko: skrypt zawierał rozbudowane menu pomocy i klasy kolorowania tekstu w konsoli (ANSI color), co sugeruje, że haker poprosił AI o „ładny i profesjonalny program”.

Chiny i Korea Północna na „promptach”

Raport Google’a rzuca też światło na to, jak państwowe grupy hakerskie „jailbreakują” modele AI, by służyły im do brudnej roboty.

Chińska grupa UNC2814 stosuje technikę „persony”: każą sztucznej inteligencji wcielić się w rolę „starszego audytora bezpieczeństwa”, co pozwala ominąć filtry blokujące generowanie złośliwego kodu. Z kolei koreańska grupa APT45 zalewa modele tysiącami powtarzalnych zapytań o analizę znanych podatności (CVE), traktując AI jako darmowego stażystę do żmudnej roboty przy wyszukiwaniu luk w zabezpieczeniach.

Co to oznacza dla nas?

Nie doczekaliśmy się jeszcze „Terminatora”, który sam wymyśla broń masowej zagłady, ale jesteśmy świadkami narodzin ery „Script Kiddie 2.0”. AI po prostu bardzo obniża próg wejścia w zaawansowaną cyberprzestępczość. Zamiast lat nauki pisania exploitów, wystarczy sprytny zestaw promptów i odrobina wiedzy, by „uzbroić” nową lukę w systemie.

Dobra wiadomość? Na razie AI pisze kod tak charakterystyczny, że systemy obronne (również oparte na AI) potrafią go wyłapać właśnie przez tę jego „podręcznikowość”. Pytanie brzmi: ile czasu hakerzy będą potrzebowali, by kazać chatbotom pisać kod w sposób „brudny i ludzki”?

Google Finanse z AI trafiają do Polski. Nowa wersja ma pomóc inwestorom w analizie rynku

Live off the Land? How About Bringing Your Own Island? An Overview of UNC1945 | Mandiant | Google Cloud Blog

Pulse ID: 69e24c4209ee4ef735104ec3
Pulse Link: https://otx.alienvault.com/pulse/69e24c4209ee4ef735104ec3
Pulse Author: CyberHunter_NL
Created: 2026-04-17 15:05:38

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Cloud #CyberSecurity #Google #InfoSec #Mandiant #OTX #OpenThreatExchange #bot #CyberHunter_NL

Аналитика кибератак от Google

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак , проведенных Mandiant в 2025. Делимся с вами подробностями.

https://habr.com/ru/companies/infowatch/articles/1024286/

#mandiant #google #ИБ #инфобез #статистика #информационная_безопасность

Аналитика кибератак от Google

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак , проведенных Mandiant в 2025. Делимся с вами подробностями.

https://habr.com/ru/companies/infowatch/articles/1024286/

#mandiant #google #ИБ #инфобез #статистика #информационная_безопасность

Аналитика кибератак от Google

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак , проведенных Mandiant в 2025. Делимся с вами подробностями.

https://habr.com/ru/companies/infowatch/articles/1024286/

#mandiant #google #ИБ #инфобез #статистика #информационная_безопасность

Аналитика кибератак от Google

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак , проведенных Mandiant в 2025. Делимся с вами подробностями.

https://habr.com/ru/companies/infowatch/articles/1024286/

#mandiant #google #ИБ #инфобез #статистика #информационная_безопасность

To nie AI jest największym zagrożeniem. Czyli raport opisujący incydenty z 2025 roku

Mandiant opublikował swój coroczny raport M-Trends. Raport, wbrew oczekiwaniom niektórych, nie stoi pod znakiem “AI niszczy świat”. Wnioski są dużo bardziej prozaiczne, a jednocześnie przerażające. AI faktycznie pomaga atakującym (głównie w socjotechnice i pisaniu malware’u omijającego detekcję), ale przytłaczająca większość udanych włamań to wciąż wynik błędów ludzkich i systemowych.
Oto najciekawsze smaczki, które warto znać z perspektywy Blue Teamów, Red Teamów i zwykłych adminów (rymy przypadkowe):
Phishing e-mailowy wypierany przez vishing, czyli ataki socjotechniczne przez telefon
To jedna z największych zmian w statystykach. Od sześciu lat wektorem nr 1 pozostaje wykorzystanie exploitów (32%). W 2025r. najczęściej dziurawiono SAP NetWeaver, Oracle E-Business Suite oraz Microsoft SharePoint. Ale uwaga: wektorem nr 2 nie jest już klasyczny phishing e-mailowy (spadek z 14% na zaledwie 6%). Na jego miejsce z wynikiem 11% wskoczył vishing oraz socjotechnika przez komunikatory. Kopsniesz mi 200 ziko blikiem, oddam jutro.
Na trzecim miejscu (10%) jest atak na łańcuch dostaw lub oprogramowanie firm trzecich (w tym SaaS).

Szyfrowanie startuje po 30 sekundach od ataku
Cyberjełopy się wyspecjalizowały. Grupy zajmujące się uzyskiwaniem początkowego dostępu (Initial Access Brokers) masowo infekują ofiary za pomocą np. złośliwych reklam (malvertising) lub fałszywych komunikatów w przeglądarce — popularny motyw ClickFix/InstallFix, który jako chyba pierwsi zauważyliśmy i opisaliśmy we wrześniu 2024. Chodzi o wyskakujące okienko namawiające do wklejenia np. kodu do konsoli PowerShell.
Kiedyś IAB wystawiał uzyskane dostępy na grupach lub forach i czekał na kupca (np. operatora ransomware). W 2022r. mediana czasu od [...]

#Mandiant #Raporty #Sieci

https://niebezpiecznik.pl/post/to-nie-ai-jest-najwiekszym-zagrozeniem-czyli-raport-opisujacy-incydenty-z-2025-roku/

Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów

Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.

Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.

Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.

Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.

Polska na celowniku: PESEL i billingi w rękach hakerów

Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.

Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.

„Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.

GRIDTIDE, czyli jak zhakować przez Arkusze Google

Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.

Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.

Dekada budowy, natychmiastowy demontaż

Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.

Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.

Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.

Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów

Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.

Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.

Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.

Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.

Polska na celowniku: PESEL i billingi w rękach hakerów

Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.

Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.

„Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.

GRIDTIDE, czyli jak zhakować przez Arkusze Google

Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.

Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.

Dekada budowy, natychmiastowy demontaż

Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.

Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.

Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.

Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

In #cyber I dug into why and where particular naming conventions of threat actors originate.#UNC in particular. Mundane as it may be, TLDR:

#Mandiant assigns numbered acronyms in three categories, APT, FIN, and UNC, resulting in APT names like FIN7. Other companies using a similar system include Proofpoint (TA) and IBM (ITG and Hive).

Others do their own things too.

From: Advanced Persistent Threat (naming) https://en.wikipedia.org/wiki/Advanced_persistent_threat

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters

Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions

Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy

https://www.reuters.com/business/media-telecom/senator-says-att-verizon-blocking-release-salt-typhoon-security-assessment-2026-02-03/

Please Don’t Feed the Scattered Lapsus ShinyHunters

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH

Please Don’t Feed the Scattered Lapsus ShinyHunters

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH

Please Don’t Feed the Scattered Lapsus ShinyHunters

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH

Please Don’t Feed the Scattered Lapsus ShinyHunters

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH

Please Don’t Feed the Scattered Lapsus ShinyHunters

https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH

ShinyHunters flip the script on MFA in new data theft attacks https://www.helpnetsecurity.com/2026/02/02/shinyhunters-mfa-social-engineering/ #Socialengineering #GoogleCloud #SilentPush #Don'tmiss #datatheft #extortion #Hotstuff #Mandiant #vishing #News #tips #SSO

ShinyHunters flip the script on MFA in new data theft attacks https://www.helpnetsecurity.com/2026/02/02/shinyhunters-mfa-social-engineering/ #Socialengineering #GoogleCloud #SilentPush #Don'tmiss #datatheft #extortion #Hotstuff #Mandiant #vishing #News #tips #SSO

ShinyHunters flip the script on MFA in new data theft attacks https://www.helpnetsecurity.com/2026/02/02/shinyhunters-mfa-social-engineering/ #Socialengineering #GoogleCloud #SilentPush #Don'tmiss #datatheft #extortion #Hotstuff #Mandiant #vishing #News #tips #SSO

ShinyHunters flip the script on MFA in new data theft attacks https://www.helpnetsecurity.com/2026/02/02/shinyhunters-mfa-social-engineering/ #Socialengineering #GoogleCloud #SilentPush #Don'tmiss #datatheft #extortion #Hotstuff #Mandiant #vishing #News #tips #SSO

#Windows :windows: -Netze: #Google :google: #Mandiant gibt Microsofts #NTLM den Todesstoß | Security https://www.heise.de/news/Windows-Netze-Google-Mandiant-gibt-Microsofts-NTLM-den-Todesstoss-11145487.html #Microsoft #GoogleMandiant

Google open sourced their Salesforce Aura auditor and I'm not usually giddy when Big Tech drops crumbs but I have been trying to build this for a couple of years now and THANK GOD I can stop.

https://cloud.google.com/blog/topics/threat-intelligence/auditing-salesforce-aura-data-exposure/

#salesforce #mandiant

Gainsight breach: Salesforce details attack window, issues investigation guidance https://www.helpnetsecurity.com/2025/11/26/gainsight-breach-salesforce-details-attack-window/ #supplychaincompromise #PaloAltoNetworks #Salesforce #Don'tmiss #datatheft #Gainsight #Hotstuff #Mandiant #News #SaaS

#Hackers stole data from over 200 companies’ #Salesforce instances via #Gainsight apps. The Scattered Lapsus$ Hunters group, including ShinyHunters, claimed responsibility, citing a previous breach of Salesloft Drift authentication tokens. Gainsight is working with #Google’s #Mandiant to investigate, asserting the breach originated from external. https://techcrunch.com/2025/11/21/google-says-hackers-stole-data-from-200-companies-following-gainsight-breach/?eicker.news #tech #media #news

Salesforce investigates new incident echoing Salesloft Drift compromise https://www.helpnetsecurity.com/2025/11/20/salesforce-investigates-new-incident-echoing-salesloft-drift-compromise/ #supplychaincompromise #GoogleCloud #Salesforce #Don'tmiss #datatheft #Gainsight #Hotstuff #Mandiant #News #SaaS

Attackers exploited another Gladinet Triofox zero-day (CVE-2025-12480) https://www.helpnetsecurity.com/2025/11/11/gladinet-triofox-vulnerability-cve-2025-12480/ #file-sharing #remoteaccess #Don'tmiss #Hotstuff #Gladinet #Mandiant #0-day #News

SonicWall cloud backup hack was the work of a state actor https://www.helpnetsecurity.com/2025/11/06/sonicwall-cloud-backup-hack-was-the-work-of-a-state-actor/ #cloudsecurity #Don'tmiss #SonicWall #Hotstuff #firewall #Mandiant #backup #News

SonicWall cloud backup hack was the work of a state actor https://www.helpnetsecurity.com/2025/11/06/sonicwall-cloud-backup-hack-was-the-work-of-a-state-actor/ #cloudsecurity #Don'tmiss #SonicWall #Hotstuff #firewall #Mandiant #backup #News

SonicWall cloud backup hack was the work of a state actor https://www.helpnetsecurity.com/2025/11/06/sonicwall-cloud-backup-hack-was-the-work-of-a-state-actor/ #cloudsecurity #Don'tmiss #SonicWall #Hotstuff #firewall #Mandiant #backup #News

VirusTotal – nowy model współpracy, łatwiejszy dostęp do platformy

VirusTotal, to platforma, której nie trzeba przedstawiać Czytelnikom sekuraka. Ten należący do firmy Google serwis pozwala skanować przesyłane do niego pliki korzystając z wielu silników antywirusowych. Dodatkowo przesyłane na platformę pliki wykorzystywane są do dalszych analiz przez osoby badające złośliwe oprogramowanie. Od teraz dostęp do tego olbrzymiego repozytorium ze złośliwym...

#WBiegu #Antivirus #Antywirus #Google #Malware #Mandiant #VirusTotal

https://sekurak.pl/virustotal-nowy-model-wspolpracy-latwiejszy-dostep-do-platformy/

Google introduces agentic threat intelligence for faster, conversational threat analysis https://www.helpnetsecurity.com/2025/10/21/google-agentic-threat-intelligence/ #Artificialintelligence #threatintelligence #GoogleCloud #VirusTotal #agenticAI #Mandiant #Google #News

North Korean Hackers Use ‘EtherHiding’ to Spread Malicious Crypto Wallets, Mandiant Warns - TLDR:

DPRK hackers use EtherHiding to embed malicious scripts within blockchain smart co... - https://blockonomi.com/north-korean-hackers-use-etherhiding-to-spread-malicious-crypto-wallets-mandiant-warns/ #blockchainsecurity #binancesmartchain #wordpressattacks #cryptophishing #cryptowallets #cybersecurity #dprkhackers #etherhiding #security #mandiant #crime #apt43

North Korean Hackers Use ‘EtherHiding’ to Spread Malicious Crypto Wallets, Mandiant Warns - TLDR:

DPRK hackers use EtherHiding to embed malicious scripts within blockchain smart co... - https://blockonomi.com/north-korean-hackers-use-etherhiding-to-spread-malicious-crypto-wallets-mandiant-warns/ #blockchainsecurity #binancesmartchain #wordpressattacks #cryptophishing #cryptowallets #cybersecurity #dprkhackers #etherhiding #security #mandiant #crime #apt43

North Korean Hackers Use ‘EtherHiding’ to Spread Malicious Crypto Wallets, Mandiant Warns - TLDR:

DPRK hackers use EtherHiding to embed malicious scripts within blockchain smart co... - https://blockonomi.com/north-korean-hackers-use-etherhiding-to-spread-malicious-crypto-wallets-mandiant-warns/ #blockchainsecurity #binancesmartchain #wordpressattacks #cryptophishing #cryptowallets #cybersecurity #dprkhackers #etherhiding #security #mandiant #crime #apt43

North Korean Hackers Use ‘EtherHiding’ to Spread Malicious Crypto Wallets, Mandiant Warns - TLDR:

DPRK hackers use EtherHiding to embed malicious scripts within blockchain smart co... - https://blockonomi.com/north-korean-hackers-use-etherhiding-to-spread-malicious-crypto-wallets-mandiant-warns/ #blockchainsecurity #binancesmartchain #wordpressattacks #cryptophishing #cryptowallets #cybersecurity #dprkhackers #etherhiding #security #mandiant #crime #apt43

North Korean operatives spotted using evasive techniques to steal data and cryptocurrency https://www.byteseu.com/1457595/ #CiscoTalos #Conflicts #GoogleThreatIntelligenceGroup #Jobs #malware #mandiant #NorthKorea

F5 data breach: “Nation-state” attackers stole BIG-IP source code, vulnerability info https://www.helpnetsecurity.com/2025/10/15/f5-big-ip-data-breach/ #CrowdStrike #databreach #F5Networks #networking #sourcecode #Don'tmiss #datatheft #Hotstuff #IOActive #Mandiant #NCCGroup #News #NCSC

F5 data breach: “Nation-state” attackers stole BIG-IP source code, vulnerability info https://www.helpnetsecurity.com/2025/10/15/f5-big-ip-data-breach/ #CrowdStrike #databreach #F5Networks #networking #sourcecode #Don'tmiss #datatheft #Hotstuff #IOActive #Mandiant #NCCGroup #News #NCSC

F5 data breach: “Nation-state” attackers stole BIG-IP source code, vulnerability info https://www.helpnetsecurity.com/2025/10/15/f5-big-ip-data-breach/ #CrowdStrike #databreach #F5Networks #networking #sourcecode #Don'tmiss #datatheft #Hotstuff #IOActive #Mandiant #NCCGroup #News #NCSC

F5 data breach: “Nation-state” attackers stole BIG-IP source code, vulnerability info https://www.helpnetsecurity.com/2025/10/15/f5-big-ip-data-breach/ #CrowdStrike #databreach #F5Networks #networking #sourcecode #Don'tmiss #datatheft #Hotstuff #IOActive #Mandiant #NCCGroup #News #NCSC

Attackers compromised ALL SonicWall firewall configuration backup files https://www.helpnetsecurity.com/2025/10/09/sonicwall-firewall-backup-compromised/ #cloudsecurity #enterprise #Don'tmiss #SonicWall #Hotstuff #firewall #Mandiant #backup #News #SMBs