Atacurile cibernetice orchestrate de Rusia împotriva Ucrainei au intrat într-o nouă etapă periculoasă: integrarea inteligenței artificiale (AI) în instrumentele de hacking și în campaniile de phishing. Potrivit unui raport publicat de Serviciul de Stat pentru Comunicații Speciale și Protecția Informațiilor din Ucraina (SSSCIP), prima jumătate a anului 2025 a marcat o intensificare fără precedent a activităților cibernetice ostile, atât din punct de vedere cantitativ, cât și tehnologic.
În perioada ianuarie–iunie 2025, autoritățile ucrainene au înregistrat 3.018 incidente cibernetice, comparativ cu 2.575 în a doua jumătate a anului 2024. Raportul arată că autoritățile locale și structurile militare au fost principalele ținte ale atacurilor, în timp ce numărul incidentelor asupra sectorului guvernamental și energetic a scăzut ușor. Cu toate acestea, natura atacurilor devine tot mai sofisticată și mai greu de detectat.
Cea mai importantă constatare a raportului este că hackerii ruși folosesc acum instrumente de inteligență artificială pentru a genera nu doar mesaje de phishing, ci și mostre de malware complet noi, capabile să se adapteze și să evite sistemele tradiționale de protecție.
„Unele dintre programele malițioase analizate poartă semne clare că au fost create cu ajutorul AI”, avertizează SSSCIP, subliniind că atacatorii „nu intenționează să se oprească aici”.
Printre campaniile documentate se numără:
- UAC-0219, care a folosit malware-ul WRECKSTEEL pentru a ataca instituții administrative și infrastructuri critice. Se crede că acest software, scris în PowerShell, a fost parțial generat cu ajutorul modelelor AI.
- UAC-0218, care a livrat troianul HOMESTEEL prin arhive RAR modificate, vizând forțele de apărare.
- UAC-0226, care a distribuit malware-ul GIFTEDCROOK către organizații din industria apărării, administrații locale și unități militare.
- UAC-0227, care a lansat atacuri asupra centrelor teritoriale de recrutare și sprijin social, folosind fișiere SVG pentru a instala viruși precum Amatera Stealer și Strela Stealer.
- UAC-0125, un subgrup legat de rețeaua Sandworm, care a creat site-uri false ce imitau platforma de securitate ESET pentru a distribui o ușă din spate (backdoor) numită Kalambur (sau SUMBUR).
Aceste atacuri confirmă o tendință periculoasă: AI nu mai este folosită doar pentru a genera texte sau imagini, ci pentru a crea software capabil să fure date, să păcălească sistemele antivirus și să imite comportamente umane reale, făcând detecția aproape imposibilă.
Exploatarea vulnerabilităților și războiul hibrid
Un alt aspect alarmant al raportului este legat de exploatarea vulnerabilităților din aplicații populare de e-mail, precum Roundcube și Zimbra. Grupul APT28 (UAC-0001), asociat serviciilor secrete ruse, a folosit breșe precum CVE-2023-43770, CVE-2024-37383 și CVE-2025-49113, pentru a lansa atacuri fără clic („zero-click”).
Prin aceste breșe, atacatorii injectau cod malițios care le permitea să acceseze parole, liste de contacte și să redirecționeze toate mesajele e-mail către adrese controlate de ei. Mai mult, unele atacuri au folosit o tehnică ingenioasă: crearea de blocuri HTML ascunse, cu câmpuri de autentificare ce se completau automat din browser, oferind hackerilor acces la datele salvate local.
SSSCIP notează că aceste atacuri cibernetice sunt adesea sincronizate cu operațiuni militare convenționale. Grupul Sandworm (UAC-0002), de exemplu, a fost activ simultan în sectorul energetic, în comunicații și în infrastructurile critice, în timp ce armata rusă desfășura acțiuni în teren. Această strategie de război hibrid urmărește destabilizarea coordonată a structurilor de apărare și a rețelelor de comandă ucrainene.
Servicii legitime transformate în arme digitale
Raportul mai evidențiază o tactică tot mai răspândită: abuzarea serviciilor online legitime pentru activități ilegale. Platforme populare precum Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Firebase, mocky.io sau ipfs.io sunt folosite de hackeri pentru a găzdui malware, a crea pagini de phishing sau a extrage date.
„Utilizarea resurselor online legitime în scopuri malițioase nu este o tactică nouă”, explică SSSCIP, „dar numărul platformelor exploatate de hackeri ruși a crescut constant în ultimele luni.”
Această metodă complică munca investigatorilor, deoarece traficul aparent provine din surse de încredere, ceea ce face dificilă blocarea automată a atacurilor fără a perturba activitatea instituțiilor.
Pe fondul acestor evoluții, experții avertizează că AI transformă fundamental peisajul războiului cibernetic. Nu mai este vorba doar despre spionaj digital sau furt de date, ci despre o nouă formă de armă autonomă, capabilă să evolueze, să învețe din propriile greșeli și să se adapteze în timp real.
Într-o declarație recentă, oficialii ucraineni au subliniat că „lupta pentru securitatea cibernetică este acum o luptă pentru supraviețuirea națională”. Ucraina continuă să investească în contramăsuri digitale și în parteneriate internaționale, însă războiul AI dintre hackeri și apărători este abia la început.
Într-o epocă în care algoritmii pot fi la fel de periculoși ca rachetele, frontul cibernetic al războiului ruso-ucrainean devine un avertisment global: inteligența artificială poate fi o unealtă a progresului — sau o armă a haosului, în funcție de cine o controlează.