15
Najnowsza aktywność

3

Najnowsza aktywność

Cyfrowy werbunek Guoanbu. Jak chiński wywiad pozyskuje źródła na LinkedIn

Współczesne operacje wywiadowcze Chińskiej Republiki Ludowej nie obejmują wyłącznie klasycznego szpiegostwa opartego na bezpośrednim wywiadzie osobowym ukierunkowanym na pozyskiwanie informacji oznaczonych klauzulą niejawności. Ich istotą jest cierpliwość, skala oraz zdolność do łączenia wielu pozornie niepowiązanych działań w jeden długofalowy proces rozpoznania. Cyberprzestrzeń nie jest w tym modelu wyłącznie środowiskiem technicznego włamania do systemu informatycznego. Stała się równocześnie obszarem obserwacji, profilowania, selekcji celów, nawiązywania relacji, budowania zaufania, werbunku oraz stopniowego pozyskiwania informacji.

Główną rolę w tym systemie odgrywa Ministerstwo Bezpieczeństwa Państwowego, znane pod angielskim skrótem MSS oraz chińską nazwą Guojia Anquanbu, często skracaną do określenia Guoanbu. Jest to podstawowa cywilna służba wywiadu zagranicznego i kontrwywiadu Chińskiej Republiki Ludowej. Nie działa ona jednak w instytucjonalnej próżni. Chiński aparat bezpieczeństwa wykorzystuje również struktury Ministerstwa Bezpieczeństwa Publicznego, wojskowe zdolności wywiadowcze i cybernetyczne, regionalne biura bezpieczeństwa państwowego, przedsiębiorstwa technologiczne, firmy świadczące usługi cyberbezpieczeństwa, pośredników oraz samodzielnych wykonawców. W marcu 2025 roku FBI ujawniło, że chińskie instytucje państwowe wykorzystywały formalne i nieformalne relacje z firmami sektora cyberbezpieczeństwa oraz niezależnymi hakerami do prowadzenia włamań na całym świecie. Według amerykańskich ustaleń jedna z takich firm współpracowała z dziesiątkami regionalnych struktur MSS i Ministerstwa Bezpieczeństwa Publicznego, dostarczając im zarówno wykradzione dane, jak i narzędzia umożliwiające samodzielne prowadzenie operacji. (FBI)

Taka konstrukcja zapewnia Pekinowi trzy zasadnicze korzyści. Pierwszą jest masowość: równoległe operacje mogą być prowadzone przeciwko tysiącom osób, instytucji i systemów. Drugą pozostaje elastyczność, ponieważ poszczególne zadania mogą być delegowane podmiotom formalnie komercyjnym, działającym pod szyldem przedsiębiorstw konsultingowych, technologicznych lub rekrutacyjnych. Trzecią jest możliwość utrzymywania dystansu między operatorem a chińskim państwem. Wykorzystanie wykonawców, firm pośredniczących i rozbudowanej infrastruktury technicznej komplikuje atrybucję, wydłuża proces kontrwywiadowczy i pozwala zachować pewien poziom wiarygodnego zaprzeczenia. Brytyjskie National Cyber Security Centre wskazywało, że elementem tego ekosystemu są przedsiębiorstwa technologiczne, brokerzy danych oraz hakerzy świadczący usługi na zlecenie chińskich służb. (National Cyber Security Centre)

Chińskie operacje wywiadowcze prowadzone poprzez cyberprzestrzeń należy zatem rozumieć jako kontinuum. Na jednym jego końcu znajdują się zaawansowane włamania do sieci telekomunikacyjnych, administracji publicznej, infrastruktury transportowej, instytucji wojskowych i przedsiębiorstw strategicznych. Na drugim – pozornie niewinne wiadomości wysyłane do urzędnika, analityka, byłego wojskowego, naukowca lub pracownika firmy technologicznej. Pomiędzy nimi funkcjonuje rozbudowany system gromadzenia danych, analizy śladów cyfrowych, mapowania powiązań zawodowych oraz identyfikowania osób, które mogą posiadać dostęp do wiedzy przydatnej z punktu widzenia politycznych, militarnych albo gospodarczych interesów Pekinu.

W tym modelu nie każda pozyskana informacja musi mieć charakter tajny. Istotna wartość może wynikać z połączenia setek fragmentów danych: struktury organizacyjnej instytucji, nazwisk uczestników spotkań, zakresów kompetencji urzędników, relacji między departamentami, nieformalnych opinii pracowników, harmonogramów prac, kierunków przygotowywanych regulacji czy przewidywanych reakcji politycznych. Informacja z pozoru banalna, zestawiona z danymi pochodzącymi z innych źródeł, może potwierdzić hipotezę analityczną, wskazać lukę w zabezpieczeniach albo pomóc w wytypowaniu osoby dysponującej znacznie bardziej wrażliwym dostępem. Z perspektywy długofalowej operacji wywiadowczej wartość posiada więc nie tylko dokument, lecz również człowiek, jego sieć kontaktów, doświadczenie, ambicje, potrzeby finansowe, frustracje zawodowe i podatność na uznanie.

Charakterystyczną cechą tych działań jest brak presji na natychmiastowy rezultat. Chińskie służby mogą prowadzić rozpoznanie przez wiele miesięcy, a relację ze źródłem rozwijać stopniowo przez kilka lat. Pierwsze zadanie często nie narusza prawa ani procedur bezpieczeństwa. Może dotyczyć przygotowania ogólnej analizy, skomentowania publicznie dostępnego dokumentu albo przedstawienia opinii na temat sytuacji politycznej. Dopiero później pojawia się prośba o „wewnętrzną perspektywę”, niepubliczne szczegóły, kontakty do innych ekspertów lub potwierdzenie informacji pochodzących z zamkniętego spotkania. Granica pomiędzy legalną działalnością analityczną a współpracą wywiadowczą jest przesuwana powoli, tak aby osoba będąca celem nie potrafiła wskazać jednego momentu, w którym zgodziła się zostać źródłem obcego państwa.

Podobna logika dotyczy operacji technicznych. Ich celem nie zawsze jest natychmiastowa kradzież dużego zbioru dokumentów lub wywołanie widocznego zakłócenia. Znacznie cenniejsze może być utrzymanie dyskretnego dostępu, poznanie architektury systemu, obserwowanie komunikacji albo przygotowanie warunków do wykorzystania infrastruktury w przyszłości. Międzynarodowe ostrzeżenia publikowane w 2025 i 2026 roku wskazywały, że aktorzy powiązani z Chinami atakowali między innymi sieci telekomunikacyjne, administracyjne, transportowe i wojskowe, wykorzystywali urządzenia brzegowe oraz tworzyli rozproszone sieci przejętych urządzeń służące do ukrywania rzeczywistego źródła aktywności. Pozyskane w ten sposób dane mogą umożliwiać identyfikowanie celów, analizowanie ich komunikacji oraz śledzenie ich aktywności w skali międzynarodowej. (CISA)

Szczególne miejsce w tym systemie zajmują media społecznościowe i platformy zawodowe. Serwisy takie jak LinkedIn zawierają niemal gotową bazę rozpoznawczą: historię zatrudnienia, zakres obowiązków, uczestnictwo w projektach, specjalizacje, sieci kontaktów, znajomość języków, informacje o odejściu ze służby lub administracji, a niekiedy również pośrednie wskazówki dotyczące dostępu do informacji niejawnych. Dla służby wywiadowczej jest to środowisko pozwalające nie tylko znaleźć potencjalny cel, lecz także przygotować wobec niego wiarygodną legendę. Fałszywy rekruter może odwołać się do rzeczywistych kompetencji rozmówcy, zaproponować atrakcyjne wynagrodzenie i stworzyć wrażenie, że kontakt wynika wyłącznie z wysokiej wartości jego doświadczenia zawodowego.

Mechanizm ten został potwierdzony w oficjalnych ostrzeżeniach zachodnich służb. FBI wskazuje, że obce służby wykorzystują fałszywe profile, obietnice wysokich wynagrodzeń oraz pozornie neutralne zlecenia, które z czasem przekształcają się w żądania przekazania informacji niepublicznych lub niejawnych. Brytyjskie instytucje bezpieczeństwa ostrzegają natomiast, że operacja może rozpoczynać się nie tylko od bezpośredniej wiadomości, lecz również od fikcyjnego ogłoszenia o pracę. W takim przypadku to osoba będąca celem wysyła aplikację i pozostaje w przekonaniu, że sama zainicjowała relację. W czerwcu 2026 roku służby państw Five Eyes ponownie ostrzegły, że chińscy oficerowie i ich współpracownicy podszywają się pod rekruterów oraz konsultantów reprezentujących fikcyjne firmy ulokowane poza Chinami, aby docierać do osób posiadających dostęp do informacji uprzywilejowanych. (FBI)

Największym zagrożeniem nie jest więc pojedynczy fałszywy profil ani jedna wykradziona analiza. Jest nim system zdolny do długotrwałego obserwowania otwartych społeczeństw, automatyzowania selekcji potencjalnych źródeł i wykorzystywania naturalnych mechanizmów rynku pracy: mobilności zawodowej, potrzeby uznania, poszukiwania dodatkowych dochodów oraz gotowości ekspertów do dzielenia się wiedzą. W takim środowisku działalność wywiadowcza może zostać ukryta pod formą zwyczajnej relacji biznesowej, konsultacji eksperckiej albo rekrutacji do pracy zdalnej.

Opisane dalej przypadki pokazują, że cyfrowy werbunek nie jest pobocznym narzędziem chińskiego wywiadu, lecz elementem szerszego modelu operacyjnego. Łączy on klasyczne rozpoznanie osobowe z analizą danych, socjotechniką, infrastrukturą przykrycia, zdalnymi płatnościami oraz zabezpieczoną komunikacją. LinkedIn stanowi w tym mechanizmie jedynie punkt wejścia – miejsce, w którym profesjonalny profil zawodowy może zostać przekształcony w dossier potencjalnego źródła, a atrakcyjna oferta współpracy w pierwszy etap wieloletniej operacji wywiadowczej.

Cyfrowy werbunek pod lupą. Jak Zachód rozpracował operacje Guoanbu na LinkedInie

Wykorzystywanie przez chińskie Ministerstwo Bezpieczeństwa Państwa (MSS) platform biznesowych i mediów społecznościowych do infiltracji zachodnich ośrodków decyzyjnych nie jest zjawiskiem nowym, jednak mechanizm ten przez lata podlegał ewolucji. Służby kontrwywiadowcze państw europejskich mapowały to zagrożenie od ponad dekady, stopniowo upubliczniając kolejne etapy chińskiego procederu.

Pierwsze alerty w tej sprawie zaczęły pojawiać się już w 2015 roku w Wielkiej Brytanii. Brytyjska Służba Bezpieczeństwa (MI5) skierowała wówczas niejawne briefingi ostrzegawcze do urzędników państwowych i kluczowych sektorów technologicznych, sygnalizując, że profile na LinkedInie stają się narzędziem w rękach obcego wywiadu. Przełom w publicznej debacie nastąpił w grudniu 2017 roku, kiedy to niemiecki kontrwywiad federalny (BfV) jako pierwszy na świecie otwarcie i imiennie obnażył chińskie operacje w sieci, szacując liczbę namierzanych obywateli Niemiec na ponad 10 tysięcy. Niespełna rok później, w październiku 2018 roku, skala zjawiska została potwierdzona we Francji. W wyniku kontrolowanego przecieku medialnego ujawniono wówczas ustalenia tamtejszego kontrwywiadu (DGSI), z których wynikało, że chińscy szpiedzy, podając się za rekruterów, nawiązali kontakt z blisko 4000 francuskich specjalistów i urzędników. Choć rządy zachodnie od lat systematycznie ostrzegają przed tym schematem – czego przykładem była m.in. szeroka kampania brytyjskiego MI5 „Think Before You Link” – to kulisy organizacyjne i ewolucja cyfrowego systemu werbunkowego zostały lepiej opisane w marcu 2026 roku. Dziennikarze śledczy portalu Intelligence Online opublikowali trzyczęściowe dochodzenie. Ujawniło ono, że chiński aparat wywiadowczy, a w szczególności Szanghajskie Biuro Bezpieczeństwa Państwowego (SSSB), przekształcił ten proceder w przedsięwzięcie o skali masowej i sformalizowanej. Raport Intelligence Online opisuje, jak po pandemii COVID-19 chińscy oficerowie porzucili tradycyjne metody werbunku na rzecz operacji w pełni zdalnych, opartych na sieci fikcyjnych firm doradczych oraz bezpiecznych, szyfrowanych komunikatorach, omijając przy tym narzędzia podlegające bezpośredniej kontroli Pekinu.

Jak chiński wywiad kradł przez LinkedIn strategiczne tajemnice Europy

Portal Intelligence Online donosi, że europejskie kraje zidentyfikowały zakrojoną na szeroką skalę operację prowadzoną przez chińskie Ministerstwo Bezpieczeństwa Państwowego (Guojia Anquanbu)  w celu pozyskiwania wrażliwych informacji za pośrednictwem fałszywych kont w serwisach społecznościowych. Wśród osób będących na celowniku znajdują się obywatele państw europejskich powiązani z NATO oraz Komisją Europejską, część z nich Pekinowi udało się zwerbować. Skuteczną metodą stosowaną przez Guoanbu okazał się Social Media Fishing.

Dziennikarze portalu przybliżyli historię sięgająca roku 2023. Obywatelka Francji, która pracowała dla Komisji Europejskiej podczas poszukiwań pracy natknęła się na Linkedin na ogłoszenie firmy Oriental Consulting, podającej się za przedsiębiorstwo z siedzibą w Hongkongu. Nie zdawała sobie sprawy, że  firma konsultingowa w rzeczywistości nie istnieje i jest przykrywką dla chińskiej agencji wywiadowczej. Po zgłoszeniu kandydatury otrzymała telefon przez WhatsApp od osoby mówiącej biegle po angielsku, niemal jak native speaker – Chińczyka przedstawiającego się jako „Kevin Zhang”. Zhang poprosił ją o przygotowanie analizy proponowanych europejskich sankcji wobec chińskich podmiotów zaangażowanych we wspieranie rosyjskiego wysiłku wojennego. Była kontraktorka Komisji Europejskiej przyjęła zlecenie i otrzymała 800 euro za pośrednictwem PayPala.

Zhang skontaktował się ponownie, nalegając na uczestnictwo kontraktorki w spotkaniach ministerialnych dotyczących europejskich sankcji wobec Chin. Kiedy otrzymał odpowiedź, że nie ma dostępu do spotkań tej rangi, wyszedł z nową prośbą – chciał, aby kobieta skontaktowała Zhanga z osobami, które mają dostęp do tego typu informacji. Kobieta odmówiła i zerwała wszelkie kontakty z tajemniczym rozmówcą.

Według Intelligence Online incydent ten jest częścią szeroko zakrojonej operacji prowadzonej przez chińskie Guoanbu – główną chińską służbę wywiadu zagranicznego, a w szczególności przez Szanghajskie Biuro Bezpieczeństwa Państwowego (Shanghai State Security Bureau, SSSB). Służba ta w 2021 r. utworzyła fałszywy profil na LinkedInie pod nazwiskiem „Kevin Zhang”, za pośrednictwem którego kontaktowała się z dziesiątkami osób, z których kilka zostało zwerbowanych w krajach takich jak Francja, Belgia, Wielka Brytania, Holandia i Włochy. Część zwerbowanych osób otrzymała po kilka tysięcy euro za swoją pracę na rzecz Guoanbu, które wprost prosiło je o przekazywanie informacji niepublicznych, a nawet „tajnych”.

Fałszywi rekruterzy

Modus operandi chińskich szpiegów polegał najpierw na nawiązywaniu kontaktu przez LinkedIn z osobami, które wcześniej pracowały w kluczowych instytucjach europejskich albo w NATO, często za pomocą publicznie zamieszczonych ogłoszeń o pracę. Kandydaci, którzy odpowiadali na takie oferty, pozostawali więc w przekonaniu, że to oni sami zainicjowali kontakt. Wymiana wiadomości szybko prowadziła do propozycji przygotowania raportów – płatnych od 700 do 1000 euro za około trzy strony tekstu. „Kevin Zhang”, lub osoby posługujące się innymi aliasami, wkrótce doprecyzowywały, że poszukują informacji „ekskluzywnych” albo „niepublicznych”, a w niektórych przypadkach nawet „tajnych”

Pozyskiwane informacje

Zdaniem dziennikarzy Intelligence Online głównymi obszarami zainteresowań Szanghajskiego Biura Bezpieczeństwa Państwowego były unijne sankcje oraz środki, które mogłyby zostać skierowane przeciwko Chinom, a także strategia NATO wobec Azji, szczególnie dotycząca Tajwanu. Jeden z Francuzów, który pod koniec lat 2010 był oddelegowany do NATO, w 2022 roku otrzymał próbę skontaktowania od „Kevina Zhanga”, twierdzącego, że jego firma Oriental Consulting poszukuje analityków dla różnych klientów. Bardzo szybko Zhang złożył pierwsze zamówienie: raport na temat planu NATO na wypadek chińskiej interwencji militarnej na Tajwanie. Cel zerwał wszelką komunikację, gdy jego chiński kontakt jasno dał do zrozumienia, że poszukuje informacji niepublicznych. Profil Zhanga zniknął pod koniec 2025 roku, gdy jego twórcy zorientowali się, że sytuacja staje się dla nich niebezpieczna. Profil był najprawdopodobniej obsługiwany przez kilku oficerów prowadzących Guoanbu w Szanghaju.

Jak działa mechanizm Guoanbu? Masowa kradzież europejskich tajemnic

Dziennikarze śledczy ujawniają, że wykorzystywanie przez chińskie Ministerstwo Bezpieczeństwa Państwa fałszywych kont na LinkedInie do pozyskiwania wrażliwych informacji zatacza coraz szersze kręgi. Operacja wyszła już daleko poza środowiska akademickie i obronne, uderzając bezpośrednio w najbardziej strategiczne ośrodki decyzyjne, zwłaszcza w Brukseli i w strukturach NATO. Co niepokojące, werbunek trwa w najlepsze pomimo coraz głośniejszego nagłaśniania tego procederu w mediach.

Portal Intelligence Online wskazuje na gwałtowny wzrost stosowania tego modus operandi od czasu pandemii COVID-19. Metoda ta została początkowo rozwinięta z powodu zamrożenia międzynarodowych podróży, jednak Pekin kontynuował ją z sukcesem również po zniesieniu restrykcji i wciąż stosowana jest na masową skalę.

Państwa będące celem tych operacji zauważyły, że fałszywe konta wykazują szczególną aktywność wokół kluczowych wydarzeń politycznych na arenie międzynarodowej. Oficjalne wizyty dyplomatyczne, takie jak wizyta Xi Jinpinga we Francji w 2024 roku, wizyty Emmanuela Macrona w Chinach w 2023 i w grudniu 2025 roku, a także wizyty europejskich urzędników, jak przewodnicząca Komisji Europejskiej Ursula von der Leyen, która udała się do Pekinu w lipcu 2025 roku na szczyt Unia Europejska-Chiny – wywołują gwałtowne wzmożenie aktywności. Gdy tylko dane wydarzenie wzbudza zainteresowanie władz w Pekinie, oficerowie wywiadu obsługujący fałszywe profile natychmiast naciskają na wszystkie swoje źródła, żądając dostarczenia im większej ilości informacji, niekoniecznie jednak koncentrując się na osobach rzeczywiście najbardziej istotnych. Chińscy szpiedzy zarzucają sieć bardzo szeroko, z różnym skutkiem. Niektóre z namierzonych osób nie mają bowiem oporów przed zmyślaniem swoich „raportów” albo korzystaniem ze sztucznej inteligencji do ich przygotowania.

Podmiot odpowiedzialny za operacje

Kontrwywiady Francji, Belgii, Wielkiej Brytanii i Włoch ustaliły, że głównym źródłem tej operacji jest Szanghajskie Biuro Bezpieczeństwa Państwowego (SSSB). Sposób działania został pierwotnie opracowane przez Ministerstwo Bezpieczeństwa Państwowego (czyli Guoanbu, największą chińską niemilitarną agencję szpiegowską), którego SSSB jest drugą co do wielkości strukturą w Chinach. Ustalono, że te same metody w operacjach zagranicznych stosują również inne delegatury MSS, takie jak Biuro Bezpieczeństwa Państwowego w Pekinie (BSSB) czy oddział w Zhejiang.

Wraz ze wzrostem skali operacji, ewoluował także sam modus operandi chińskich oficerów wywiadu. O ile na początku standardowym schematem było nawiązanie kontaktu na LinkedInie, zlecenie kilku analiz, a następnie zaproszenie ofiary do Chin (gdzie dochodziło do klasycznego werbunku), o tyle dziś bezpośrednie spotkania twarzą w twarz należą do rzadkości. Udokumentowano relacje, które trwały nieprzerwanie przez kilka lat, opierając się wyłącznie na bezpiecznej komunikacji zdalnej. Po zaakceptowaniu zaproszenia na LinkedInie, fałszywi rekruterzy błyskawicznie proponują przeniesienie rozmowy na szyfrowane komunikatory: WhatsApp, Signal lub Telegram. Co ciekawe, chińscy szpiedzy nigdy nie proponują popularnej w ich kraju aplikacji WeChat. Powody są dwa: po pierwsze, użycie typowo chińskiego programu natychmiast wzbudziłoby czujność namierzanej osoby oraz zachodniego kontrwywiadu. Po drugie, restrykcyjna weryfikacja tożsamości w aplikacji WeChat utrudnia samym szpiegom zakładanie w pełni anonimowych kont. Zlecane raporty są opłacane za pośrednictwem cyfrowych systemów płatności, takich jak PayPal, rzadziej w kryptowalutach. Raporty liczące około trzech stron są opłacane kwotą od 700 do 1000 euro, czyli nieco mniej niż stawki oferowane kilka lat temu.

Biznesowe wydmuszki: Pod jakimi szyldami ukrywa się Pekin?

Oprócz korespondencji od tajemniczego Kevina Zhanga, działającego w imieniu fikcyjnego Oriental Consulting z siedzibą w Hongkongu, dziennikarze Intelligence Online przeanalizowali liczne wiadomości z lat 2023-2025, kierowane do osoby pracującej w instytucji UE. Próby kontaktu, podejmowane przez LinkedIn oraz e-mail, pochodziły od całego wachlarza nieznanych chińskich podmiotów, takich jak „Beijing APK Consulting”. Innym przykładem firm mających rzekomo siedzibę w państwach trzecich była filipińska spółka „Honestone Corp”. Choć posiadała profesjonalną stronę internetową oraz profile w mediach społecznościowych, w rzeczywistości nie prowadziła żadnej działalności, a publikowane przez nią artykuły były wątpliwej jakości. Kontakt był  podejmowany również przez konsultantów rekrutujących w imieniu innych firm doradczych, na przykład z Singapuru.

Z analizy przejętych wiadomości wyłania się powtarzalny, schemat werbunku. Do pracownika, który stał się celem napisała „Amour”, przedstawiająca się jako starsza menedżerka we wspomnianej filipińskiej firmie-wydmuszce:

„Nasze możliwości współpracy obejmują pisanie raportów lub konsultacje wideo i telefoniczne, w zależności od potrzeb danego projektu. Wynagrodzenie wynosi standardowo od 400 do 600 dolarów za raport liczący 2500–4000 słów oraz około 200 dolarów za godzinę konsultacji wideo/telefonicznej”.

W kolejnej wiadomości tajemnicza rekruterka zaoferowała 500 dolarów za analizę dotyczącą szczytu G7 w Hiroszimie, zaznaczając, że jej klientom zależy na „wartościowych, wewnętrznych spostrzeżeniach”. Na nieszczęście dla chińskich funkcjonariuszy Guoanbu, namierzony pracownik był bardzo dobrze zorientowany w metodach chińskiego szpiegostwa i pozostawił te wiadomości bez odpowiedzi. Mimo to, natrętne próby kontaktu nigdy nie ustały.

Ilu szpiegów ma właściwie Guoanbu?

Zdaniem dziennikarzy Intelligence Online powołujących się na źródła europejskich agencji bezpieczeństwa liczba funkcjonariuszy Gouanbu wynosi około 250 000. Odzwierciedla ona wyraźny wzrost zatrudnienia w chińskim Ministerstwie Bezpieczeństwa Państwowego (MSS), czyli w służbie wywiadu zagranicznego i kontrwywiadu tego państwa. W 2018 roku zachodnie służby wywiadowcze szacowały liczebność MSS na „zaledwie” 200 000 osób.

Rozbudowa głównej chińskiej służby wywiadowczej, która w 2021 roku rozpoczęła w Europie szeroko zakrojoną operację wymierzoną w Komisję Europejską i NATO, była w dużej mierze możliwa dzięki zwiększeniu liczby rekrutacji rekrutowanych lingwistów. Wzrostowi temu towarzyszyła również zmiana modus operandi tej organizacji pod kierownictwem ministra bezpieczeństwa państwowego Chena Yixina

Pierwsza kompromitacja i jej konsekwencje

Xu Yanjun – wysokiej rangi oficer chińskiego Ministerstwa Bezpieczeństwa Państwowego (MSS) zapisał się w historii jako pierwszy chiński nieoficjalny funkcjonariusz wywiadu ekstradowany do Stanów Zjednoczonych i tam skazany. Operacja kontrwywiadowcza kierowana przez FBI, która doprowadziła do jego zatrzymania, była poważnym ciosem dla MSS, które zdecydowało się ściągnąć do Chin wielu swoich nieoficjalnych, mobilnych i działających w ukryciu oficerów operujących w Europie. Nagłe wycofanie wielu szpiegów można było uznać za prawdziwy dar od losu dla europejskich służb kontrwywiadowczych, ponieważ pozwoliło im zidentyfikować wcześniej nieznanych chińskich oficerów wywiadu. Jednak po zatrzymaniu Xu kierownictwo Guoanbu zaczęło zachowywać znacznie większą ostrożność. Tendencja ta nasiliła się wraz z pandemią i bardzo restrykcyjną strategią Pekinu „zero Covid-19”, a także towarzyszącym jej zamrożeniem podróży międzynarodowych.

Wcześniejsze działania Guoanbu dopiero uwidoczniła ujawniona zdrada na rzecz Chin dwóch funkcjonariuszy francuskiego wywiadu zagranicznego DGSE, Henriego M. i Pierre’a-Marie H. Sąd skazał ich w 2020 roku odpowiednio na osiem i dwanaście lat więzienia. Pierre-Marie H. początkowo spotykał się ze swoimi chińskimi oficerami prowadzącymi każdego lata w luksusowych hotelach w Phuket (Tajlandia), na Seszelach, w Lozannie (Szwajcaria), a nawet na Mauritiusie.

Mechanizm finansowania i logistyka spotkań 

Chińskie Ministerstwo Bezpieczeństwa Państwa wdrożyło z czasem nową procedurę operacyjną, angażując do współpracy tzw. oficera mobilnego. Jego zadaniem było odbywanie regularnych spotkań – w odstępach co trzy lub cztery miesiące – ze zwerbowanym agentem na terenie Europy. Rola tego oficera ograniczała się do kwestii logistycznych: przekazywania środków finansowych, koordynacji terminów kolejnych kontaktów oraz odbioru od Pierre’a-Marie H. nośników SD zawierających poufne dokumenty francuskiej Dyrekcji Generalnej Bezpieczeństwa Zewnętrznego (DGSE).

Spotkania te organizowano z zachowaniem ścisłych zasad konspiracji. Na miejsce kontaktu wybierano najczęściej toalety placówek gastronomicznych w Szwajcarii lub Belgii, a spotkania odbywały się w precyzyjnie określonym dniu i o wyznaczonej godzinie.

„Trwało to pięć minut, akurat tyle, żeby przekazać kartę […], a on dawał mi gotówką równowartość pensji za trzy lub cztery miesiące, w pudełku nieco większym od pudełka po cygaretkach” – zeznał Pierre-Marie H. podczas przesłuchania.

Oskarżony zeznał również przed funkcjonariuszami Krajowej Dyrekcji Bezpieczeństwa Wewnętrznego (DGSI), iż przypuszczał, że nie był jedynym źródłem informacji obsługiwanym przez tego samego oficera na terenie Europy.

Ostatni bezpośredni kontakt obu mężczyzn miał miejsce w grudniu 2017 roku w Lozannie. Cztery miesiące później doszło do zatrzymania wysokiego rangą oficera MSS o nazwisku Xu, co doprowadziło do zawieszenia działalności wielu nieoficjalnych oficerów chińskiego wywiadu na Starym Kontynencie.

Podsumowanie

Opisane przypadki pokazują, że wykorzystywanie LinkedIna przez chińskie Ministerstwo Bezpieczeństwa Państwowego nie jest zbiorem przypadkowych prób pozyskania informacji, lecz elementem rozwiniętego, wieloetapowego i prowadzonego na dużą skalę systemu werbunku. Operacje przypisywane Guoanbu, a zwłaszcza Szanghajskiemu Biuru Bezpieczeństwa Państwowego, łączą możliwości współczesnych platform społecznościowych z klasycznymi technikami pracy operacyjnej. Zmieniły się narzędzia, tempo oraz sposób nawiązywania kontaktu, jednak zasadniczy cel pozostał ten sam: identyfikacja osób posiadających dostęp do informacji istotnych dla chińskich interesów, stopniowe przełamywanie ich ostrożności oraz przekształcanie relacji zawodowej w relację wywiadowczą.

Przypadek profilu „Kevina Zhanga” i fikcyjnej firmy Oriental Consulting dobrze ilustruje logikę tego mechanizmu. Kontakt nie rozpoczynał się od żądania ujawnienia tajemnic ani od propozycji współpracy z obcym wywiadem. Pierwszym etapem była oferta legalnie wyglądającego, dobrze wynagradzanego zlecenia analitycznego, odpowiadającego kompetencjom i doświadczeniu zawodowemu osoby będącej celem. Dopiero później pojawiały się prośby o informacje „ekskluzywne”, „wewnętrzne” lub niepubliczne, a następnie oczekiwanie uzyskania dostępu do osób uczestniczących w spotkaniach ministerialnych, pracach Komisji Europejskiej albo procesach planistycznych NATO.

Najważniejszym elementem tej metody jest stopniowanie zaangażowania. Początkowo zlecane analizy mogą być przygotowywane na podstawie źródeł otwartych i nie muszą naruszać procedur bezpieczeństwa. Osoba przyjmująca zlecenie otrzymuje wynagrodzenie i przekonuje się, że współpraca jest prosta, profesjonalna oraz finansowo atrakcyjna. Kolejne zadania przesuwają jednak granicę dopuszczalnego zachowania. W pewnym momencie przedmiotem zainteresowania przestaje być ogólna analiza sytuacji, a stają się nim informacje zdobyte dzięki stanowisku, relacjom osobistym lub wcześniejszemu zatrudnieniu. Taki model ogranicza ryzyko natychmiastowego zerwania kontaktu i utrudnia osobie werbowanej rozpoznanie momentu, w którym działalność konsultingowa zaczyna przyjmować charakter współpracy wywiadowczej.

Istotne znaczenie ma również rozproszenie infrastruktury operacyjnej. Fałszywe profile rekruterów, nieistniejące firmy doradcze, profesjonalnie przygotowane strony internetowe, podmioty zarejestrowane lub pozornie działające w Hongkongu, Singapurze czy na Filipinach oraz komunikacja prowadzona przez zachodnie aplikacje tworzą wiarygodną otoczkę działalności biznesowej. Oriental Consulting, Beijing APK Consulting czy Honestone Corp nie były jedynie nazwami używanymi do wysyłania wiadomości. Stanowiły element legendy operacyjnej, która miała odsunąć podejrzenia od chińskiego aparatu państwowego i stworzyć wrażenie kontaktu z międzynarodowym rynkiem usług eksperckich.

Przenoszenie rozmów z LinkedIna na WhatsApp, Signal lub Telegram oraz wykorzystywanie PayPala i innych cyfrowych metod płatności dodatkowo ograniczało potrzebę organizowania spotkań bezpośrednich. Pandemia COVID-19 przyspieszyła tę zmianę, lecz nie była jej jedyną przyczyną. Operacje zdalne okazały się tańsze, bezpieczniejsze dla oficerów prowadzących i łatwiejsze do realizowania na dużą skalę. Jeden profil mógł być obsługiwany przez kilka osób, równocześnie prowadzić dziesiątki kontaktów i testować podatność kandydatów z wielu państw. Z punktu widzenia Guoanbu oznaczało to możliwość szerokiego zarzucania sieci bez konieczności wcześniejszego ustalania, który z celów okaże się najbardziej wartościowy.

Opisane działania pokazują również, że chiński wywiad nie ogranicza zainteresowania do czynnych urzędników czy funkcjonariuszy posiadających bezpośredni dostęp do informacji niejawnych. Równie atrakcyjni mogą być byli pracownicy instytucji Unii Europejskiej, byli przedstawiciele struktur NATO, analitycy, konsultanci, naukowcy, specjaliści technologiczni oraz osoby zachowujące kontakty w dawnym środowisku zawodowym. Odebranie uprawnień dostępowych lub zakończenie zatrudnienia nie oznacza bowiem utraty całej wartości wywiadowczej. Pozostają wiedza o procedurach, znajomość procesów decyzyjnych, osobiste relacje oraz zdolność wskazania osób dysponujących aktualnym dostępem.

Tematyka zlecanych raportów potwierdza, że operacje te były podporządkowane konkretnym priorytetom politycznym i strategicznym Pekinu. Zainteresowanie sankcjami Unii Europejskiej, wsparciem rosyjskiego wysiłku wojennego, polityką NATO wobec Azji oraz potencjalną reakcją Sojuszu na chińską operację militarną przeciwko Tajwanowi nie było przypadkowe. Aktywność fałszywych profili wzrastała również w okresach ważnych wizyt dyplomatycznych i spotkań europejsko-chińskich. Oznacza to, że pozyskiwanie informacji za pośrednictwem platform zawodowych było powiązane z bieżącymi potrzebami informacyjnymi władz Chińskiej Republiki Ludowej i mogło służyć przygotowaniu stanowisk negocjacyjnych, ocenie ryzyka sankcyjnego lub rozpoznaniu planów państw zachodnich.

Ewolucja od spotkań organizowanych w luksusowych hotelach i państwach trzecich do relacji prowadzonych wyłącznie zdalnie nie oznacza porzucenia tradycyjnego wywiadu osobowego. Przeciwnie, pokazuje jego przystosowanie do współczesnego środowiska informacyjnego. Wcześniejsze przypadki, w tym pozyskanie funkcjonariuszy francuskiego DGSE oraz działalność mobilnych oficerów przekazujących pieniądze i odbierających nośniki danych, dowodzą, że Guoanbu potrafiło prowadzić wieloletnie, ściśle zakonspirowane operacje agenturalne. Zatrzymanie i skazanie Xu Yanjuna zwiększyło ostrożność chińskich służb, ale nie zahamowało ich aktywności. Przyczyniło się natomiast do ograniczenia fizycznej obecności części funkcjonariuszy w Europie i przyspieszenia rozwoju metod pozwalających prowadzić źródła na odległość.

Rozpoznanie zachodnich kontrwywiadów doprowadziło do ujawnienia części tej infrastruktury, identyfikacji fałszywych kont oraz upublicznienia ostrzeżeń kierowanych do urzędników, ekspertów i pracowników sektorów strategicznych. Kampanie takie jak brytyjska „Think Before You Link” zwiększyły świadomość zagrożenia, jednak nie wyeliminowały samego mechanizmu. Jego skuteczność opiera się bowiem na wykorzystaniu powszechnych i społecznie akceptowanych zachowań: poszukiwania pracy, budowania sieci kontaktów, realizowania dodatkowych zleceń oraz dzielenia się eksperckimi opiniami.

Wnioskiem wynikającym z opisanych przypadków nie powinno być zatem samo zalecenie ostrożności wobec nieznanych profili. Konieczne jest traktowanie platform społecznościowych jako pełnoprawnego obszaru działalności kontrwywiadowczej. Instytucje publiczne, struktury NATO, organy Unii Europejskiej, przedsiębiorstwa technologiczne i sektor obronny powinny uwzględniać, że proces pozyskania źródła może rozpoczynać się długo po zakończeniu zatrudnienia, a celem nie musi być od razu informacja niejawna. Równie wartościowy może być dostęp do środowiska, potwierdzenie kierunku planowanych decyzji, identyfikacja uczestników procesu albo przekazanie kontaktu do osoby posiadającej bardziej wrażliwą wiedzę.

Operacje Guoanbu na LinkedInie pokazują ostatecznie, że granica między działalnością zawodową, konsultingiem a rozpoznaniem wywiadowczym stała się wyjątkowo płynna. Fałszywy rekruter nie musi wyglądać jak funkcjonariusz obcego państwa, a pierwsze zlecenie nie musi dotyczyć tajemnicy. Zagrożenie ujawnia się dopiero w sekwencji działań: precyzyjnym wyborze celu, przeniesieniu komunikacji poza platformę, wypłacie pierwszego wynagrodzenia, stopniowym zwiększaniu oczekiwań oraz próbie uzyskania dostępu do informacji lub osób niedostępnych publicznie.

To właśnie długofalowość, cierpliwość i zdolność do prowadzenia wielu podobnych operacji jednocześnie stanowią najważniejsze cechy opisanego systemu. Ujawnienie profili, firm-wydmuszek i części metod działania nie oznacza jego zakończenia. Oznacza jedynie, że zachodnie służby poznały jeden z modeli wykorzystywanych przez chiński aparat wywiadowczy. Profile mogą zostać usunięte, nazwy firm zmienione, a komunikacja przeniesiona na inne platformy. Niezmienna pozostanie natomiast logika operacji: znaleźć człowieka posiadającego wartościową wiedzę, zbudować wiarygodną relację, obniżyć jego czujność i krok po kroku przesuwać granicę współpracy.


Autor: Miłosz Dzienio – ChinaWatch, Redakcja Disinfo Digest

Fundacja INFO OPS Polska


Źródła:

https://www.csoonline.com/article/563859/espionage-germany-unmasks-fake-chinese-linkedin-profiles.html


https://www.gov.uk/government/news/action-to-disrupt-and-deter-threats-to-uk-as-mi5-issues-spy-alert

https://globalnation.inquirer.net/315914/china-used-fake-linkedin-profiles-to-spy-on-nato-eu-security-source

https://www.intelligenceonline.com/asia-pacific/2026/03/24/chinese-spies-fish-for-high-profile-european-targets-via-fake-linkedin-profiles,110687480-art


https://www.intelligenceonline.com/asia-pacific/2026/03/26/unravelling-guoanbu-s–linkedin–scheme-to-steal-strategic-european-secrets,110688884-art

https://www.intelligenceonline.com/asia-pacific/2026/03/27/from-roving-officers-to-undercover-agents_-how-the-guoanbu-has-adapted-its-methods,110690147-art

Udostępnij!

Otwórz PDF i wydrukuj