Hacker elites: how the most dangerous APT Groups operate
Forget the cliché of a hooded hacker. Today’s real threats come from well-organized groups acting on behalf of nation-states. They steal data, influence elections, and disrupt infrastructure — systematically and with political intent. This article presents five of the most active APT groups today, their methods, targets, and the environments in which they operate.
Today, we’re focusing on attackers who don’t act alone. These aren’t lone hackers, but professionally organized groups backed by nation-states. Advanced Persistent Threats (APTs) operate under the command of militaries, intelligence agencies, or government bodies. Their targets include government networks, the defense industry, healthcare, research, and energy sectors. Instead of grenades, they deploy malware. Instead of spies, they use exploit code. In this digital bestiary, we introduce five elite groups that carry out the most dangerous cyber operations on behalf of the state.
How do APT groups attack?
Cyberattacks don’t happen randomly. Every attack method serves a specific purpose — some groups rely on manipulating people, others exploit technical vulnerabilities or move stealthily through networks. Recognizing these "skills" is key to cyber defense: it helps us understand what a particular adversary is after, how they operate — and why they’re dangerous.
|
Social engineering |
Exploit mastery |
Stealth mode |
Supply chain attack |
Type |
Psychological, manipulating people instead of computers. |
Technical attack on unknown vulnerabilities. |
Stealthy intrusion, long-term infiltration without detection. |
Indirect attack through a third party or supplier. |
Goal |
People, email inboxes, login credentials. |
Unpatched systems, applications. | Victim’s networks, systems, and data — without triggering alarms. | Software updates, IT services, trusted software, hardware. |
Method |
Uses the victim’s psychology and trust to gain access. Tactics include phishing (fraudulent emails), pretexting (fake identities), and baiting (luring the victim into unintended action). | Uses so-called zero-day exploits — security flaws that have no patch yet. Hackers discover them before defenses can react. Tactics include developing malware and launching targeted intrusions. |
The infection disguises itself as a normal part of the network and can remain invisible for months. It uses rootkits, backdoors, and lateral movement to quietly collect data and maintain control of the system. |
The hacker doesn’t attack the organization directly but infects a supplier (e.g., a software provider). Once an update is deployed or synchronization occurs, the target is infected — without raising suspicion. |
Key environments of cyber operations
Attacks don’t happen in a vacuum. Hacker groups carefully choose the environment in which they operate — and each of these environments comes with different demands, unique vulnerabilities, and specific types of risk. Attacking a data center is very different from targeting a power plant. The more sensitive the target, the more calculated and sophisticated the attack tends to be.
Level 1 / Data centers: the backbone of the internet — servers, cloud services, storage. A common target for phishing campaigns, malware distribution, and initial network breaches. Easily exploited as an entry point to more valuable targets.
Level 2 / Government Networks: complex, multi-layered systems that protect sensitive state information. Hackers seek strategic data, diplomatic communications, or footholds for long-term espionage. These environments demand advanced techniques.
Level 3 / Critical infrastructure: energy, transportation, healthcare. Here, attacks aren’t just about data loss — they can endanger lives. Attackers use ransomware, system vulnerabilities, and DDoS attacks to disrupt essential services.
Level 4 / Global digital space: this is where the most dangerous games are played — cyber espionage and disinformation campaigns take center stage. These attacks influence political leadership, international conflicts, and the course of technological development.
One hacker group, countless names. Why?
Hacker groups often go by dozens of different names — and that’s no coincidence. Each cybersecurity company uses its own naming system, which means the same group can have multiple “identities” depending on who’s tracking them. For example, the notorious APT28 is also known as APT-C-20, ATK5, Blue Athena, BlueDelta, FROZENLAKE, Fancy Bear, Fighting Ursa, Forest Blizzard, G0007, or Grey-Cloud. The result? Confusion and miscommunication between security teams and partners.
To bring more clarity, companies like Microsoft, CrowdStrike, and Mandiant (Google Cloud) have launched an initiative to map these names across systems [1]. They don’t aim to enforce a single label, but instead track each other’s naming to make it easier to compare analyses and share threat intelligence. Each company, however, keeps its own style:
Cíle APT skupin
Jejich záměrem může být tajný dokument, technologie s vojenským potenciálem nebo strategické rozhodování nepřítele. Jejich mise nejsou chaotické ani náhodné. Jde o strategicky řízené operace, které mají dlouhodobé cíle:
ZÍSKAT CITLIVÉ INFORMACE
ROZVRÁTIT STRUKTURY
OVLIVNIT VEŘEJNÉ MÍNĚNÍ
OSLABIT KLÍČOVÉ SEKTORY
STONE PANDA (APT10): tichá panda z říše středu
„Když chceš vědět všechno, nesmíš být slyšet vůbec.“
- Motiv: Kyberšpionáž čínského státu, zaměřená na průmysl, zdravotnictví a infrastrukturu
- Teritorium: USA, Japonsko, Evropa
- Specializace: Zneužívání poskytovatelů IT služeb, datové sklady, zdravotnictví
STONE PANDA s přímým napojením na čínský stát. Jejím cílem není sabotáž, ale tiché získávání dat. Smyslem jejich existence je zajistit přístup k technologickým inovacím a průmyslovým datům, které mají pro Čínu strategický význam. Největší pozornost na sebe strhla operací Cloud Hopper (2017), kdy přes poskytovatele IT služeb infiltrovala stovky firem a institucí po celém světě. Získaný přístup jí umožnil sbírat data nejen z komerční sféry, ale i z vládních a vojenských struktur. Cílem byla cloudová infrastruktura, datová centra i strategická technologická odvětví. Stone Panda se však zaměřila i na zdravotnictví – během let 2016 a 2017 podnikla řadu útoků na farmaceutické firmy a výzkumná centra, kde kradla data o vývoji léků a biotechnologiích. Používala při tom malware RedLeaves, navržený k tomu, aby zůstal neodhalený i několik let. Její operace probíhají nenápadně a s minimálním šumem – právě proto je Stone Panda tak účinná.
TURLA (AKT13): had, co se ti dostane pod kůži
„Naše útoky nejsou jen rychlé, jsou nevyhnutelné.“
- Motiv: Strategická kyberšpionáž pro ruský stát
- Teritorium: Vládní úřady, diplomacie, obranné organizace, ambasády
- Specializace: Vojenská špionáž, dlouhodobé cyklické infiltrace
TURLA, pod velením Ruska, je známá svou filozofií vytrvalosti. Každá její operace je součástí širšího strategického plánu zaměřeného na politickou a vojenskou špionáž. Skupina se specializuje na infiltraci vládních úřadů, obranných organizací a ambasád, přičemž své cíle vyhledává zejména v Evropě a na Blízkém východě. V roce 2014 úspěšně napadla sítě NATO a několik evropských vládních agentur. TURLA se vyznačuje sofistikovaným používáním custom malware, jako jsou Snake (Uroburos), Gazer a Kazuar, které jí umožňují dlouhodobý přístup k napadeným systémům s minimálním rizikem odhalení. Tato dlouhodobá infiltrace je klíčová pro její strategii, která je inspirována symbolem Uroboros – hadem, jenž požírá vlastní ocas. Operace Turla Watering Hole z roku 2014, kdy TURLA využila kompromitované webové stránky zaměřené na africké diplomaty, aby infiltrovala jejich sítě a získala citlivé informace. Dalším útokem byla operace Agent BTZ, která se zaměřila na americkou armádu a přístup do jejích vnitřních systémů, což vedlo k odhalení citlivých vojenských dokumentů. TURLA také využívala techniku „web shell“ k infiltraci a šíření malwaru prostřednictvím kompromitovaných webových serverů. Skupina neútočí kvůli okamžitému zisku, ale kvůli dosažení širších geopolitických cílů a vojenské dominanci.
FANCY BEAR (APT28): ruský medvěd geopolitiky
„Geopolitika je pro nás šachovnice – v jejich stínech jsme vždy o tah napřed.“
- Motiv: Státem řízená kyberšpionáž
- Teritorium: NATO, EU, USA
- Specializace: Volby, vládní instituce, think-tanky
FANCY BEAR je šelma, která neřve – ale šlape rovnou přes státní hranice. Stojí za ní ruská vojenská rozvědka GRU a její lovecké území tvoří politické instituce, volební systémy a armádní servery Západu. Fancy Bear nekrade peníze – krade důvěru, stabilitu a někdy i výsledky voleb. Nejviditelnější stopu zanechala v roce 2016, kdy během amerických prezidentských voleb pronikla do e-mailových schránek Demokratického národního výboru a zveřejnila citlivou komunikaci. Ale to byl jen začátek. Zasahovala do francouzských voleb, infiltrovala německý Bundestag a cíleně pronikala do struktur NATO. Její styl? Tichý průnik – vojenská disciplína v digitálním provedení. Nepotřebuje dělat hluk, když může sbírat data měsíce nepozorovaně. Používá phishingové kampaně šité na míru a nástroje jako X-Agent, které jí umožňují zůstat v systému tak dlouho, dokud to potřebuje – nebo dokud to nevybuchne. Fancy Bear je víc než hackerská skupina. Je to geopolitický nástroj. Pokud se někde hroutí důvěra ve volby, rozpadá politická jednání nebo unikají tajné dokumenty – podívejte se do stínů. Možná tam najdete medvědí stopu.
LAZARUS GROUP (APT38): chobotnice s chapadly v kryptoměnách
„Peněžní tok je naším hlavním motorem – každé hacknutí je investice do státní moci.“
- Motiv: Státem řízená kyberšpionáž i finanční kriminalita
- Teritorium: Asie, USA, Jižní Korea, EU
- Specializace: Banky, kryptoburzy, kritická infrastruktura, zdravotnictví
LAZARUS je jako hlubinná chobotnice – klidná, ale všude. Chapadla této skupiny sahají od bank v Bangladéši až po kryptoburzy v Japonsku. Funguje jako kybernetická bankovní pokladna režimu v Severní Koreji: krade, ničí a sponzoruje jaderný program. V roce 2016 málem vybrala Bangladéšské centrální bance celý účet u americké Federální rezervy – jen překlep v jednom slově zabránil ztrátě miliardy dolarů. V roce 2017 rozšířila ničivý ransomware WannaCry, který ochromil nemocnice, firmy i dopravní systémy ve více než 150 zemích. Lazarus útočí jako celek, ale každé chapadlo má svou specializaci: špionáž, ransomware, hackerské průniky, zneužívání dodavatelských řetězců. Cílí na kryptoburzy, banky, vývojáře – kdekoliv, kde tečou peníze nebo citlivá data. Na rozdíl od jiných APT skupin Lazarus nemaskuje své motivace. Potřebuje peníze – pro stát, pro armádu, pro přežití režimu. Proto se nebojí ničit systémy ani vykrádat kritickou infrastrukturu či útočit na jaderné programy.
CHARMING KITTEN (APT35) – íránská kočka s drápky
„Chytáme oběti na slova, ne na kód.“
- Motiv: Špionáž ve službách Íránu, zaměřená na disidenty, novináře a akademiky
- Teritorium: Blízký východ, Evropa, USA
- Specializace: Kompromitace účtů, cílené kampaně proti oponentům režimu
CHARMING KITTEN je skupina, která místo silových průniků sází na klam a manipulaci. Místo malwaru používá falešné identity, důvěru a psychologii – jako kočka, která si nejprve získá pozornost, než vytasí drápy. Skupina se často vydává za novináře, akademiky nebo bezpečnostní výzkumníky, aby nalákala své cíle – disidenty, novináře, výzkumníky či vládní pracovníky – k otevření phishingových e-mailů nebo falešných přihlašovacích stránek. Jejím cílem je dlouhodobý přístup k e-mailům, kalendářům a komunikaci, kterou může režim využít k potlačování opozice nebo sledování zahraničních vztahů. V roce 2018 kompromitovala účty členů think-tanku Chatham House a amerických univerzit. Stejně tak cílila na americké vládní zaměstnance pomocí věrohodných phishingových stránek napodobujících Google či Microsoft. Nechyběl ani pokus o útok na e-maily prezidentských kandidátů v USA (2020), nebo falešná pozvání na konference OSN. Charming Kitten není technicky nejsofistikovanější, ale její schopnost dostat se k citlivým datům pomocí důvěry a iluze z ní činí jednoho z nejnebezpečnějších hráčů íránské kyberšpionáže.
Co si z bestiáře odnést?
Fancy Bear, Lazarus, Turla, Stone Panda a Charming Kitten nejsou běžní hackeři, ale skupiny, které realizují cílené operace s geopolitickým dopadem. Nejde jim o publicitu, ale o vliv. Infiltrují, sbírají data a sledují cíle, které slouží zájmům jejich vlád. Tato první část bestiáře uvedla elitní APT skupiny, které jednají jménem států. Ale to je teprve začátek. Ve druhé části se podíváme na zcela jiný svět: kybernetické žoldáky, vyděrače a anarchisty, kteří útočí pro výdělek, slávu, chaos – nebo jen proto, že mohou.
