Analiza Check Point Software Technologies pokazuje, że już dzień po wybuchu konfliktu na Bliskim Wschodzie pojawiły się cyberataki wymierzone w organizacje z Kataru. Część operacji badacze wiążą z chińskojęzycznymi grupami APT, które wykorzystały m.in. malware PlugX oraz narzędzia Cobalt Strike.
Zespół Check Point Research odnotował pierwszą falę ataków już 1 marca 2026 roku, zaledwie dzień po rozpoczęciu eskalacji militarnej w regionie. Według analityków, tempo działań sugeruje, że operacje cyberwywiadowcze są dziś ściśle powiązane z wydarzeniami geopolitycznymi i mogą być uruchamiane niemal natychmiast po pojawieniu się kryzysu.
Jedną z kampanii powiązano z grupą Camaro Dragon, która próbowała zainfekować katarskie cele zmodyfikowaną wersją złośliwego oprogramowania PlugX.
Ataki ukryte w plikach z „informacjami o wojnie”
W jednym z przypadków ofiary otrzymywały archiwum udające zdjęcia rzekomych ataków na amerykańskie bazy w Bahrajnie. Uruchomienie pliku inicjowało wieloetapowy proces infekcji wykorzystujący technikę DLL hijacking oraz legalny plik Baidu NetDisk. Ostatecznie instalowany był backdoor PlugX, który umożliwia m.in. zdalny dostęp do systemu, kradzież plików, przechwytywanie ekranu czy rejestrowanie naciśnięć klawiszy.
Badacze podkreślają, że podobne techniki pojawiły się już wcześniej w operacjach wymierzonych w cele wojskowe w Turcji, co może wskazywać na szerszą kampanię cyberwywiadowczą w regionie.
Druga kampania z wykorzystaniem AI
W kolejnym ataku wykorzystano archiwum sugerujące uderzenie w infrastrukturę naftowo-gazową Zatoki Perskiej. Przynęta imitowała komunikację powiązaną z rządem Izraela i zawierała materiały wygenerowane przez AI niskiej jakości. Końcowym ładunkiem był Cobalt Strike – framework używany legalnie w testach penetracyjnych, ale często wykorzystywany także przez grupy ofensywne do rozpoznania środowiska ofiary i przygotowania dalszej infiltracji.
Eksperci wskazują – z umiarkowanym poziomem pewności – że także ta operacja może być powiązana z podmiotami z Chiny, na co wskazują zastosowane techniki, infrastruktura C2 i wzorce znane z wcześniejszych kampanii.
Katar jako strategiczny cel
Zdaniem analityków wybór celu nie jest przypadkowy. Katar odgrywa kluczową rolę w regionie dzięki znaczeniu energetycznemu, relacjom z Zachodem oraz funkcji mediatora w wielu konfliktach.
Według analityków Check Point Research, szybkie skierowanie cyberoperacji przeciwko temu państwu może oznaczać próbę natychmiastowego pozyskania informacji wywiadowczych dotyczących skutków kryzysu oraz zmian w układzie sił na Bliskim Wschodzie.
