Google Threat Intelligence Group (GTIG) wraz z Mandiant i partnerami zakłóciło 18 lutego 2026 globalną operację szpiegowską przypisywaną chińskiemu aktorowi państwowemu (PRC-nexus), śledzonemu jako UNC2814 (kampania nazwana GRIDTIDE).
Grupa działa co najmniej od 2017 roku i zaatakowała co najmniej 53 organizacje w 42 krajach (podejrzewa się +20 kolejnych). Główny cel: sektor telekomunikacyjny i instytucje rządowe – celem było pozyskiwanie billingów, treści SMS-ów, numerów PESEL, dowodów osobistych i innych danych do śledzenia konkretnych osób.
Polska jest potwierdzona jako ofiara – hakerzy uzyskali dostęp do polskich telekomów, co pozwoliło na masowe pozyskiwanie metadanych i treści wiadomości (w tym wrażliwych numerów PESEL i billingów obywateli).
Metodyka: Bardzo stealthy – używali API Google Sheets jako kanału C2 (command-and-control), co maskowało ruch jako legalny SaaS. To pozwoliło na długotrwałą obecność bez wykrycia.
Dlaczego to płonie: Największa ujawniona chińska kampania telekom-szpiegowska od lat; pokazuje skalę inwigilacji transgranicznej i słabość wykrywania w sektorze krytycznym. Dla Polski oznacza realne ryzyko kompromitacji danych obywateli i służb.
Źródła / linki:
Oficjalny raport Google: https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign
Polski artykuł z detalami o PESEL i billingach: https://imagazine.pl/2026/02/25/google-rozbija-chinska-grupe-hakerska-unc2814-kradziez-pesel-polska
CyberDefence24 (krótka wzmianka): https://cyberdefence24.pl/cyberbezpieczenstwo/google-ujawnia-chinska-kampanie-szpiegowska-polska-celem
The Hacker News: https://thehackernews.com/2026/02/google-disrupts-unc2814-gridtide.html
Rekomendacje dla podmiotów w PL: Pilny przegląd logów telekomów i instytucji rządowych pod kątem nietypowego użycia Google Workspace API (zwłaszcza Sheets). Wdrożenie detekcji anomalii SaaS i rotacja credentiali. CERT Polska / CSIRT GOV prawdopodobnie wydał już alert wewnętrzny.
