A new special report from Mandiant highlights a critical pivot in the cyber threat landscape for 2026. Threat actors are no longer merely experimenting with Large Language Models (LLMs); they are operationalizing them to automate malware obfuscation and exploit vulnerabilities in agentic workflows.
Read More: https://www.security.land/mandiant-ai-risk-resilience-2026/
#SecurityLand #EmergingTech #CyberSecurity #ThreatIntel #Mandiant #GoogleCloud #AI #InfoSec #AI #LLM
Szpiegostwo na globalną skalę. Google rozbija chińską siatkę, która wykradała dane z polskich telekomów
Zespoły Google Threat Intelligence Group (GTIG) oraz Mandiant zneutralizowały potężną infrastrukturę szpiegowską grupy UNC2814, powiązanej z Chinami.
Hakerzy od lat atakowali sektor telekomunikacyjny i administrację publiczną w ponad 40 krajach, w tym w Polsce. Do wyciągania wrażliwych danych, takich jak treści SMS-ów czy numery PESEL, cyberprzestępcy wykorzystywali m.in… legalne Arkusze Google.
Wyniki najnowszego śledztwa analityków bezpieczeństwa rzucają światło na jedną z najbardziej rozległych kampanii szpiegowskich ostatnich lat. Grupa oznaczona kodem UNC2814, działająca aktywnie co najmniej od 2017 roku, stworzyła globalną sieć inwigilacji, której głównym celem byli dostawcy usług telekomunikacyjnych oraz instytucje rządowe.
Atakując operatorów, napastnicy zyskiwali strategiczny punkt dostępu do komunikacji i danych wielu podmiotów jednocześnie. Eksperci z GTIG potwierdzili aż 53 przypadki udanych włamań w 42 państwach, identyfikując przy tym potencjalne cele w ponad 20 kolejnych krajach. Na liście poszkodowanych znalazła się również Polska.
Polska na celowniku: PESEL i billingi w rękach hakerów
Choć w naszym regionie uwaga ekspertów ds. cyberbezpieczeństwa skupia się zazwyczaj na destrukcyjnych działaniach grup powiązanych z Rosją i Białorusią, raport Google udowadnia, że polska infrastruktura krytyczna jest na celowniku również innych mocarstw.
Z ustaleń śledczych wynika, że włamania UNC2814 nie miały na celu niszczenia infrastruktury (jak ma to miejsce w przypadku rosyjskich ataków typu „wiper”), lecz cichą, długofalową inwigilację. Hakerzy przejmowali m.in. bazy danych osobowych, wykazy połączeń, a nawet treści wiadomości SMS konkretnych osób. W wielu potwierdzonych przypadkach cyberprzestępcy polowali na niezwykle wrażliwe dane obywateli, w tym numery dowodów osobistych oraz numery PESEL.
„Obawy o bezpieczeństwo w Polsce słusznie koncentrują się na działaniach grup powiązanych z Rosją. Jednak aktywność UNC2814 pokazuje, że sektor telekomunikacyjny – fundament polskiej łączności i cyfrowej gospodarki – jest celem uporczywych działań o globalnym zasięgu. Grupy powiązane z Chinami stawiają na długofalowe działania, zaprojektowane tak, by przez lata pozostać w ukryciu i po cichu wykradać dane” – tłumaczy Jamie Collier, główny doradca na Europę w Google Threat Intelligence Group.
GRIDTIDE, czyli jak zhakować przez Arkusze Google
Kluczowym momentem w rozpracowaniu grupy było odkrycie pod koniec 2025 roku przez zespół Mandiant nowego narzędzia typu backdoor, nazwanego „GRIDTIDE”. Złośliwe oprogramowanie, napisane w języku C, służyło do utrzymywania stałego dostępu do zainfekowanych systemów.
Sposób działania GRIDTIDE idealnie obrazuje nowy, niebezpieczny trend w cyberprzestępczości – nadużywanie legalnych platform chmurowych (SaaS). Zamiast stawiać własne serwery kontroli (C2), które łatwo wykryć i zablokować, złośliwy kod łączył się z Arkuszami Google kontrolowanymi przez napastników. Dzięki temu transfer wykradanych danych idealnie wtapiał się w normalny, firmowy ruch sieciowy. Google wyraźnie zaznacza, że nie był to wynik luki w zabezpieczeniach usługi, lecz sprytne wykorzystanie jej prawidłowych, wbudowanych funkcji w celu uniknięcia detekcji przez systemy bezpieczeństwa.
Dekada budowy, natychmiastowy demontaż
Aby przeciąć operacje szpiegowskie UNC2814, Google przeprowadziło skoordynowaną akcję uderzeniową. Firma zamknęła wszystkie projekty w Google Cloud kontrolowane przez napastników, zablokowała powiązane konta oraz przejęła kontrolę nad ich domenami (technika tzw. sinkholingu), skutecznie odcinając złośliwy kod od zaatakowanych środowisk. Analitycy spodziewają się, że ruch ten zniweczy dekadę pracy hakerów nad budową ich globalnej sieci.
Wszystkie poszkodowane podmioty otrzymały już oficjalne powiadomienia, a eksperci Google aktywnie wspierają organizacje w łataniu luk. Jednocześnie GTIG podkreśla, że kampania UNC2814 to odrębna operacja i nie należy jej łączyć z głośnymi ostatnio atakami grupy „Salt Typhoon”, która również obrała sobie za cel sektor telekomunikacyjny.
Szerszy raport techniczny z operacji rozbicia infrastruktury GRIDTIDE został opublikowany na blogu Google Cloud.
Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic
#APTChiny #atakNaTelekomy #backdoorGRIDTIDE #chińscyHakerzy #cyberbezpieczeństwoPolska #GoogleThreatIntelligenceGroup #GTIG #kradzieżPESEL #Mandiant #UNC2814
In #cyber I dug into why and where particular naming conventions of threat actors originate.#UNC in particular. Mundane as it may be, TLDR:
#Mandiant assigns numbered acronyms in three categories, APT, FIN, and UNC, resulting in APT names like FIN7. Other companies using a similar system include Proofpoint (TA) and IBM (ITG and Hive).
Others do their own things too.
From: Advanced Persistent Threat (naming) https://en.wikipedia.org/wiki/Advanced_persistent_threat
UNC1069: Nordkoreanische Hacker setzen auf KI-gestützte Angriffe gegen Finanzbranche
Angriffskampagne mit sieben Malware-Familien
Entdecken Sie die neuen Bedrohungen durch UNC1069: KI-gestützte Angriffe im Finanz- und Kryptowährungsbereich.
Senator says #ATT , #Verizon blocking release of #SaltTyphoon #security assessment reports-Reuters
Dem Sen #Cantwell said Verizon & AT&T are blocking release of key docs about an alleged massive #Chinese #spying operation that infiltrated US #telecom networks known as Salt Typhoon & wants their CEOs to appear before Congress to answer questions
Cantwell asked both companies to turn over security assessments conducted by Alphabet #cybersecurity unit #Mandiant
#privacy
Please Don’t Feed the Scattered Lapsus ShinyHunters
https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/
#ScatteredLapsusShinyHunters #LatestWarnings #TheComingStorm #DataBreaches #AllisonNixon #Ransomware #sextortion #Mandiant #Unit221 #SLSH
#Mandiant details how #ShinyHunters abuse #SSO to steal cloud data
Mandiant says a wave of recent ShinyHunters SaaS data-theft attacks is being fueled by targeted voice phishing (vishing) attacks and company-branded phishing sites that steal single sign-on (SSO) credentials and multi-factor authentication (MFA) codes.
-Netze: #Google 
#Mandiant gibt Microsofts #NTLM den Todesstoß | Security https://www.heise.de/news/Windows-Netze-Google-Mandiant-gibt-Microsofts-NTLM-den-Todesstoss-11145487.html #Microsoft #GoogleMandiant#Mandiant releases #RainbowTable that cracks weak admin password in 12 hours
Google open sourced their Salesforce Aura auditor and I'm not usually giddy when Big Tech drops crumbs but I have been trying to build this for a couple of years now and THANK GOD I can stop.
https://cloud.google.com/blog/topics/threat-intelligence/auditing-salesforce-aura-data-exposure/
Security Land
Agnieszka Serafinowicz
Tommy Kavanagh
AllAboutSecurity
PrivacyDigest
KrebsOnSecurity RSS
The New Oil
Marcel SIneM(S)US
Bill