Un raport recent al Google Threat Intelligence Group, publicat înaintea Conferinței de Securitate de la München din 2026, arată o intensificare semnificativă a atacurilor cibernetice sponsorizate de state, îndreptate împotriva sectorului de apărare din Statele Unite și Europa. Potrivit analizei citate de publicația britanică The Guardian, strategiile folosite de aceste grupări au evoluat vizibil, mutând accentul de la atacurile clasice asupra infrastructurii IT a companiilor către țintirea directă a angajaților, a candidaților la angajare și a dispozitivelor personale ale acestora.
Specialiștii Google subliniază că actorii statali implicați în spionaj cibernetic exploatează tot mai frecvent vulnerabilitățile umane, folosind tehnici sofisticate de inginerie socială. Printre acestea se numără oferte false de locuri de muncă, platforme de recrutare contrafăcute și mesaje personalizate care imită comunicări legitime din partea unor recrutori, organizatori de conferințe sau parteneri profesionali. Scopul este obținerea de date de autentificare sau accesul indirect la sisteme sensibile, prin conturi și dispozitive care nu sunt monitorizate strict de departamentele de securitate ale companiilor.
Raportul evidențiază faptul că indivizii reprezintă, din ce în ce mai mult, verigi critice în lanțul de securitate. Atacatorii își construiesc campaniile pe baza unor profilări detaliate ale țintelor, analizând rolurile profesionale, locația, rețelele sociale și chiar elemente din viața personală, pentru a crea mesaje credibile și convingătoare. Această abordare personalizată crește semnificativ șansele de succes și face detectarea amenințărilor mult mai dificilă.
Printre actorii statali menționați se numără grupări asociate Rusiei, care ar fi clonat site-urile a sute de companii din industria de apărare din țări precum Marea Britanie, Statele Unite, Germania, Franța sau Suedia. Aceste campanii au inclus și tentative de compromitere a aplicațiilor de mesagerie criptată, precum Signal sau Telegram, în special în rândul personalului militar, al jurnaliștilor și al oficialilor ucraineni. Operațiunile sunt caracterizate de perioade îndelungate de recunoaștere și pregătire, ceea ce le face dificil de identificat în fazele incipiente.
Raportul Google menționează și activități atribuite Coreei de Nord, unde hackeri s-ar fi prezentat drept specialiști IT și ar fi obținut poziții de muncă la distanță în peste o sută de companii americane, inclusiv din sectorul apărării. Aceste accesări ar fi fost folosite atât pentru furt de criptomonede, cât și pentru obținerea de venituri direcționate către statul nord-coreean. În paralel, grupări asociate Iranului ar fi lansat campanii bazate pe portaluri de recrutare false, menite să colecteze date de acces de la angajați ai firmelor de apărare și producători de drone.
Analiza atrage atenția și asupra implicării unor actori asociați Chinei, care au folosit emailuri extrem de bine adaptate contextului local al țintelor, incluzând referințe la comunități, instituții sau evenimente reale, pentru a crea aparența unor comunicări legitime. Aceste tactici subliniază nivelul ridicat de sofisticare și resursele considerabile implicate.
Extinderea cooperării militare internaționale și sprijinul acordat Ucrainei au lărgit, potrivit raportului, spectrul potențialelor ținte. Nu doar marile companii de apărare sunt vizate, ci și subcontractori, consultanți și firme mai mici din lanțurile de aprovizionare, unele fiind expuse inclusiv atacurilor de tip ransomware și șantaj cibernetic.
Concluzia Google este că modelele tradiționale de securitate, centrate exclusiv pe rețelele corporative, nu mai sunt suficiente. Protecția eficientă necesită o abordare integrată, care să includă instruirea angajaților, procese de recrutare mai sigure și măsuri sporite de protecție a conturilor și dispozitivelor personale, într-un context în care linia frontului cibernetic s-a mutat tot mai clar asupra individului.
