Hacker elites: how the most dangerous APT Groups operate

Forget the cliché of a hooded hacker. Today’s real threats come from well-organized groups acting on behalf of nation-states. They steal data, influence elections, and disrupt infrastructure — systematically and with political intent. This article presents five of the most active APT groups today, their methods, targets, and the environments in which they operate.

7 Jul 2000 Natalia Peterková

Today, we’re focusing on attackers who don’t act alone. These aren’t lone hackers, but professionally organized groups backed by nation-states. Advanced Persistent Threats (APTs) operate under the command of militaries, intelligence agencies, or government bodies. Their targets include government networks, the defense industry, healthcare, research, and energy sectors. Instead of grenades, they deploy malware. Instead of spies, they use exploit code. In this digital bestiary, we introduce five elite groups that carry out the most dangerous cyber operations on behalf of the state.

Skupina lidí v tmavém prostředí s obličeji osvětlenými neónovými barvami, které tvoří vzory připomínající lebky.

How do APT groups attack?

Cyberattacks don’t happen randomly. Every attack method serves a specific purpose — some groups rely on manipulating people, others exploit technical vulnerabilities or move stealthily through networks. Recognizing these "skills" is key to cyber defense: it helps us understand what a particular adversary is after, how they operate — and why they’re dangerous.

 
Social engineering
Exploit mastery
Stealth mode
Supply chain attack

Type

Psychological, manipulating people instead of computers.

Technical attack on unknown vulnerabilities.

Stealthy intrusion, long-term infiltration without detection.

Indirect attack through a third party or supplier.

Goal

People, email inboxes, login credentials.

Unpatched systems, applications. Victim’s networks, systems, and data — without triggering alarms. Software updates, IT services, trusted software, hardware.

 

Method

Uses the victim’s psychology and trust to gain access. Tactics include phishing (fraudulent emails), pretexting (fake identities), and baiting (luring the victim into unintended action). Uses so-called zero-day exploits — security flaws that have no patch yet. Hackers discover them before defenses can react. Tactics include developing malware and launching targeted intrusions.

The infection disguises itself as a normal part of the network and can remain invisible for months. It uses rootkits, backdoors, and lateral movement to quietly collect data and maintain control of the system. 

The hacker doesn’t attack the organization directly but infects a supplier (e.g., a software provider). Once an update is deployed or synchronization occurs, the target is infected — without raising suspicion.​

Key environments of cyber operations

Attacks don’t happen in a vacuum. Hacker groups carefully choose the environment in which they operate — and each of these environments comes with different demands, unique vulnerabilities, and specific types of risk. Attacking a data center is very different from targeting a power plant. The more sensitive the target, the more calculated and sophisticated the attack tends to be.

Level 1 / Data centers: the backbone of the internet — servers, cloud services, storage. A common target for phishing campaigns, malware distribution, and initial network breaches. Easily exploited as an entry point to more valuable targets.

Level 2 / Government Networks: complex, multi-layered systems that protect sensitive state information. Hackers seek strategic data, diplomatic communications, or footholds for long-term espionage. These environments demand advanced techniques.

Level 3 / Critical infrastructure: energy, transportation, healthcare. Here, attacks aren’t just about data loss — they can endanger lives. Attackers use ransomware, system vulnerabilities, and DDoS attacks to disrupt essential services.

Level 4 / Global digital space: this is where the most dangerous games are played — cyber espionage and disinformation campaigns take center stage. These attacks influence political leadership, international conflicts, and the course of technological development.

Dvě masky nasvícené černým světlem s křídovým kreslením ve tmavé místnosti.

One hacker group, countless names. Why?

Hacker groups often go by dozens of different names — and that’s no coincidence. Each cybersecurity company uses its own naming system, which means the same group can have multiple “identities” depending on who’s tracking them. For example, the notorious APT28 is also known as APT-C-20, ATK5, Blue Athena, BlueDelta, FROZENLAKE, Fancy Bear, Fighting Ursa, Forest Blizzard, G0007, or Grey-Cloud. The result? Confusion and miscommunication between security teams and partners.

To bring more clarity, companies like Microsoft, CrowdStrike, and Mandiant (Google Cloud) have launched an initiative to map these names across systems [1]. They don’t aim to enforce a single label, but instead track each other’s naming to make it easier to compare analyses and share threat intelligence. Each company, however, keeps its own style:

  • Microsoft uses weather-themed names (e.g., Blizzard for Russia, Typhoon for China) [2].
  • CrowdStrike names groups after animals (e.g., Panda for China, Bear for Russia) [3].
  • Google Cloud (Mandiant) uses formats like APT[number] and UNC[number].

Cíle APT skupin

Jejich záměrem může být tajný dokument, technologie s vojenským potenciálem nebo strategické rozhodování nepřítele. Jejich mise nejsou chaotické ani náhodné. Jde o strategicky řízené operace, které mají dlouhodobé cíle:

ZÍSKAT CITLIVÉ INFORMACE

ROZVRÁTIT STRUKTURY

OVLIVNIT VEŘEJNÉ MÍNĚNÍ

OSLABIT KLÍČOVÉ SEKTORY

Portrét pandy v kybernetickém obleku se zářícími červenými očima na temném pozadí.

STONE PANDA (APT10): tichá panda z říše středu

„Když chceš vědět všechno, nesmíš být slyšet vůbec.“

  • Motiv: Kyberšpionáž čínského státu, zaměřená na průmysl, zdravotnictví a infrastrukturu
  • Teritorium: USA, Japonsko, Evropa
  • Specializace: Zneužívání poskytovatelů IT služeb, datové sklady, zdravotnictví

STONE PANDA s přímým napojením na čínský stát. Jejím cílem není sabotáž, ale tiché získávání dat. Smyslem jejich existence je zajistit přístup k technologickým inovacím a průmyslovým datům, které mají pro Čínu strategický význam. Největší pozornost na sebe strhla operací Cloud Hopper (2017), kdy přes poskytovatele IT služeb infiltrovala stovky firem a institucí po celém světě. Získaný přístup jí umožnil sbírat data nejen z komerční sféry, ale i z vládních a vojenských struktur. Cílem byla cloudová infrastruktura, datová centra i strategická technologická odvětví. Stone Panda se však zaměřila i na zdravotnictví – během let 2016 a 2017 podnikla řadu útoků na farmaceutické firmy a výzkumná centra, kde kradla data o vývoji léků a biotechnologiích. Používala při tom malware RedLeaves, navržený k tomu, aby zůstal neodhalený i několik let. Její operace probíhají nenápadně a s minimálním šumem – právě proto je Stone Panda tak účinná.

Digitální ilustrace černého hada s červenými očima na temně modrém pozadí s mřížkou.

TURLA (AKT13): had, co se ti dostane pod kůži

„Naše útoky nejsou jen rychlé, jsou nevyhnutelné.“

  • Motiv: Strategická kyberšpionáž pro ruský stát
  • Teritorium: Vládní úřady, diplomacie, obranné organizace, ambasády
  • Specializace: Vojenská špionáž, dlouhodobé cyklické infiltrace

TURLA, pod velením Ruska, je známá svou filozofií vytrvalosti. Každá její operace je součástí širšího strategického plánu zaměřeného na politickou a vojenskou špionáž. Skupina se specializuje na infiltraci vládních úřadů, obranných organizací a ambasád, přičemž své cíle vyhledává zejména v Evropě a na Blízkém východě. V roce 2014 úspěšně napadla sítě NATO a několik evropských vládních agentur. TURLA se vyznačuje sofistikovaným používáním custom malware, jako jsou Snake (Uroburos), Gazer a Kazuar, které jí umožňují dlouhodobý přístup k napadeným systémům s minimálním rizikem odhalení. Tato dlouhodobá infiltrace je klíčová pro její strategii, která je inspirována symbolem Uroboros – hadem, jenž požírá vlastní ocas. Operace Turla Watering Hole z roku 2014, kdy TURLA využila kompromitované webové stránky zaměřené na africké diplomaty, aby infiltrovala jejich sítě a získala citlivé informace. Dalším útokem byla operace Agent BTZ, která se zaměřila na americkou armádu a přístup do jejích vnitřních systémů, což vedlo k odhalení citlivých vojenských dokumentů. TURLA také využívala techniku „web shell“ k infiltraci a šíření malwaru prostřednictvím kompromitovaných webových serverů. Skupina neútočí kvůli okamžitému zisku, ale kvůli dosažení širších geopolitických cílů a vojenské dominanci.

Digitální umělecké zobrazení medvěda s červeným a černým zbarvením a žhnoucíma červenýma očima na tmavě červeném pozadí s mřížkou.

FANCY BEAR (APT28): ruský medvěd geopolitiky

„Geopolitika je pro nás šachovnice – v jejich stínech jsme vždy o tah napřed.“

  • Motiv: Státem řízená kyberšpionáž
  • Teritorium: NATO, EU, USA
  • Specializace: Volby, vládní instituce, think-tanky

FANCY BEAR je šelma, která neřve – ale šlape rovnou přes státní hranice. Stojí za ní ruská vojenská rozvědka GRU a její lovecké území tvoří politické instituce, volební systémy a armádní servery Západu. Fancy Bear nekrade peníze – krade důvěru, stabilitu a někdy i výsledky voleb. Nejviditelnější stopu zanechala v roce 2016, kdy během amerických prezidentských voleb pronikla do e-mailových schránek Demokratického národního výboru a zveřejnila citlivou komunikaci. Ale to byl jen začátek. Zasahovala do francouzských voleb, infiltrovala německý Bundestag a cíleně pronikala do struktur NATO. Její styl? Tichý průnik – vojenská disciplína v digitálním provedení. Nepotřebuje dělat hluk, když může sbírat data měsíce nepozorovaně. Používá phishingové kampaně šité na míru a nástroje jako X-Agent, které jí umožňují zůstat v systému tak dlouho, dokud to potřebuje – nebo dokud to nevybuchne. Fancy Bear je víc než hackerská skupina. Je to geopolitický nástroj. Pokud se někde hroutí důvěra ve volby, rozpadá politická jednání nebo unikají tajné dokumenty – podívejte se do stínů. Možná tam najdete medvědí stopu.

Digitální ilustrace červeného chobotnice s červenými očima na tmavě modrém mřížkovém pozadí.

LAZARUS GROUP (APT38): chobotnice s chapadly v kryptoměnách

„Peněžní tok je naším hlavním motorem – každé hacknutí je investice do státní moci.“

  • Motiv: Státem řízená kyberšpionáž i finanční kriminalita
  • Teritorium: Asie, USA, Jižní Korea, EU
  • Specializace: Banky, kryptoburzy, kritická infrastruktura, zdravotnictví

LAZARUS je jako hlubinná chobotnice – klidná, ale všude. Chapadla této skupiny sahají od bank v Bangladéši až po kryptoburzy v Japonsku. Funguje jako kybernetická bankovní pokladna režimu v Severní Koreji: krade, ničí a sponzoruje jaderný program. V roce 2016 málem vybrala Bangladéšské centrální bance celý účet u americké Federální rezervy – jen překlep v jednom slově zabránil ztrátě miliardy dolarů. V roce 2017 rozšířila ničivý ransomware WannaCry, který ochromil nemocnice, firmy i dopravní systémy ve více než 150 zemích. Lazarus útočí jako celek, ale každé chapadlo má svou specializaci: špionáž, ransomware, hackerské průniky, zneužívání dodavatelských řetězců. Cílí na kryptoburzy, banky, vývojáře – kdekoliv, kde tečou peníze nebo citlivá data. Na rozdíl od jiných APT skupin Lazarus nemaskuje své motivace. Potřebuje peníze – pro stát, pro armádu, pro přežití režimu. Proto se nebojí ničit systémy ani vykrádat kritickou infrastrukturu či útočit na jaderné programy.

Ilustrace pandy s červenými očima na neonově modro-červeném pozadí s mřížkou.

CHARMING KITTEN (APT35) – íránská kočka s drápky

„Chytáme oběti na slova, ne na kód.“

  • Motiv: Špionáž ve službách Íránu, zaměřená na disidenty, novináře a akademiky
  • Teritorium: Blízký východ, Evropa, USA
  • Specializace: Kompromitace účtů, cílené kampaně proti oponentům režimu

CHARMING KITTEN je skupina, která místo silových průniků sází na klam a manipulaci. Místo malwaru používá falešné identity, důvěru a psychologii – jako kočka, která si nejprve získá pozornost, než vytasí drápy. Skupina se často vydává za novináře, akademiky nebo bezpečnostní výzkumníky, aby nalákala své cíle – disidenty, novináře, výzkumníky či vládní pracovníky – k otevření phishingových e-mailů nebo falešných přihlašovacích stránek. Jejím cílem je dlouhodobý přístup k e-mailům, kalendářům a komunikaci, kterou může režim využít k potlačování opozice nebo sledování zahraničních vztahů. V roce 2018 kompromitovala účty členů think-tanku Chatham House a amerických univerzit. Stejně tak cílila na americké vládní zaměstnance pomocí věrohodných phishingových stránek napodobujících Google či Microsoft. Nechyběl ani pokus o útok na e-maily prezidentských kandidátů v USA (2020), nebo falešná pozvání na konference OSN. Charming Kitten není technicky nejsofistikovanější, ale její schopnost dostat se k citlivým datům pomocí důvěry a iluze z ní činí jednoho z nejnebezpečnějších hráčů íránské kyberšpionáže.

Co si z bestiáře odnést? 

Fancy Bear, Lazarus, Turla, Stone Panda a Charming Kitten nejsou běžní hackeři, ale skupiny, které realizují cílené operace s geopolitickým dopadem. Nejde jim o publicitu, ale o vliv. Infiltrují, sbírají data a sledují cíle, které slouží zájmům jejich vlád. Tato první část bestiáře uvedla elitní APT skupiny, které jednají jménem států. Ale to je teprve začátek. Ve druhé části se podíváme na zcela jiný svět: kybernetické žoldáky, vyděrače a anarchisty, kteří útočí pro výdělek, slávu, chaos – nebo jen proto, že mohou.

No description

You are running an old browser version. We recommend updating your browser to its latest version.

More info