Жовтень 2025 року. Польські правоохоронці затримують особу, пов’язану з військовою розвідкою росії (ГРУ): при ній знайдено SIM-картки, деталі дронів і вибухівку, приховану в консервних банках. Того ж місяця у Франції заарештовують чотирьох осіб за замах на російського дисидента — критика путіна. А Чехія оголошує про затримання акредитованого китайського журналіста, якого підозрюють у роботі на користь китайської розвідки. Це не поодинокі випадки — це системна картина гібридної війни, яку ведуть проти Євросоюзу.
Ці та інші інциденти є частиною стійкої закономірності гібридної активності, яка охоплює країни від Балтії до Балкан. Незважаючи на різноманітність тактик і цілей, усі ці операції переслідують спільну мету: підірвати єдність Європи, послабити довіру громадян до державних інститутів, зруйнувати суспільну згуртованість і дискредитувати ліберальну демократію як дієздатну форму управління.
Хоча гібридна війна стара як світ, європейські законодавці почали серйозно осмислювати цю загрозу лише після анексії Криму та вторгнення росії на схід України у 2014 році. З того часу кількість кіберопераційних і інформаційних атак неухильно зростала. Повномасштабне вторгнення росії в Україну у лютому 2022 року зробило Євросоюз мішенню цілком нового арсеналу гібридних інструментів.
Це дослідження Інституту стратегічного діалогу (ISD) фіксує гібридні інциденти, що торкнулися кожної з 27 країн ЄС після 24 лютого 2022 року. Росія виступала підтвердженим, підозрюваним або передбачуваним актором у 23 випадках із 27; Китай — у чотирьох; Іран — в одному (спільно з росією). Наведені приклади не є вичерпним переліком: більшість країн зазнала десятків інцидентів за цей період.
Що таке гібридні загрози
Поняття «гібридна війна» спочатку означало форми збройного конфлікту, що не вписуються ані в суто конвенційні, ані в суто нерегулярні рамки. Сьогодні цей термін переважно застосовують для опису «дій нижче порогу офіційно оголошеної війни». Європейський центр передового досвіду з протидії гібридним загрозам визначає їх як шкідливу діяльність зі злочинним умислом, спрямовану на підрив держав або інституцій через поєднання різних засобів — маніпуляцій з інформацією, кібератак, економічного тиску, прихованих політичних маневрів, примусової дипломатії або погроз застосуванням сили.
Для цілей аналізу ISD виділив п’ять типів гібридних інцидентів: інформаційні операції (координоване використання медіапростору для маніпулювання суспільною думкою), кібероперації (несанкціонований доступ до комп’ютерних мереж з метою крадіжки, модифікації даних або порушення роботи систем), кінетичні операції (фізичне насильство або дії, що підривають безпеку), підрив політичного та громадянського суспільства (захоплення або кооптація суспільних рухів, партій і організацій), а також шкідливе фінансування (таємне спонсорування іноземних політиків і партій).
Задокументовані випадки по країнах
Австрія: стікери та графіті проти підтримки України
Ініціатор загрози: росія
Період: 2022–2025
Тип інциденту: Кінетична операція; інформаційна операція
ТТП: Вандалізм; поширення фейків; створення неавтентичних новинних сайтів
Російська розвідка організувала масштабну операцію впливу в Австрії та інших німецькомовних країнах, поєднавши онлайн-дії з провокаціями на вулицях. За даними австрійських спецслужб, агенти впливу поширювали в інтернеті фейки про українську владу, а також розклеювали стікери й малювали графіті з праворадикальною символікою та националістичними гаслами — імітуючи проукраїнський активізм.
Операцію розкрили на початку 2025 року після аналізу пристроїв болгарського громадянина, затриманого за підозрою у шпигунстві на користь Кремля. Наступні розслідування встановили, що операцію організував колишній операційний директор компанії Wirecard Ян Марсалек — австрієць, що переховується в Москві та, за даними слідства, співпрацює з російською розвідкою з 2014 року. Серед задумів групи — створення мережі сайтів під виглядом європейських осередків українського полку «Азов» і підкидання націоналістичних стікерів у різних містах Європи.
Бельгія: офіцер безпеки шпигував на Китай
Актор загрози: Китай
Період: 2025
Тип інциденту: Підрив громадянського суспільства
ТТП: Шпигунство; використання агентів; вербування політиків
У жовтні 2025 року бельгійська поліція заарештувала офіцера безпеки міської адміністрації Брюсселя та висунула йому звинувачення в іноземному шпигунстві. Підозрюваний передавав інформацію про опонентів Китаю та росії і мав доступ до «міжнародного дипломатичного середовища». За даними джерел видання POLITICO Europe, справа пов’язана з Китаєм, хоча слідство також перевіряло можливі контакти з росією.
Арешту передували резонансні справи китайського шпигунства в Бельгії. Зокрема, спільне розслідування Financial Times, Der Spiegel і Le Monde у грудні 2023 року розкрило, що з 2019 по 2022 рік агент китайської розвідки платив колишньому депутату Європарламенту від партії «Фламандський інтерес» Франку Крейлману за просування пекінських позицій із широкого кола питань — від придушення демократії в Гонконзі до переслідування уйгурів у Сіньцзяні.
Болгарія: шпигунська мережа полювала на журналіста Bellingcat
Ініціатор загрози: росія
Період: 2020–2025
Тип інциденту: Кінетична операція; підрив громадянського суспільства
ТТП: Шпигунство; фізичні погрози; використання агентів
У 2025 році британський суд засудив шістьох болгарських громадян за шпигунські злочини, скоєні в різних країнах Європи за дорученням посередників, пов’язаних з російськими спецслужбами. Мережею керував той самий Ян Марсалек, причетний до австрійської операції. Серед цілей — болгарський журналіст-розслідувач Крісто Ґрозєв, що працював у виданні Bellingcat і викривав агентів ГРУ. За даними судових свідчень, члени угруповання стежили за Ґрозєвим по всій Європі, пошкодили будинок його родини, вкрали електронне обладнання і обговорювали плани викрадення журналіста. Ґрозєву довелося продовжувати роботу з таємних місць через постійну загрозу з боку російських спецслужб.
Хорватія: DDoS-атаки та програма-вимагач проти лікарні
Ініціатор загрози: росія (підозрюється)
Період: Червень 2024
Тип інциденту: Кібероперація
ТТП: DDoS; програми-вимагачі; атаки на критичну інфраструктуру
У 2024 році кілька проросійських кіберугруповань здійснили серію атак на хорватські державні установи та об’єкти критичної інфраструктури. Наприкінці червня угруповання NoName057(16), яке систематично атакує країни, що підтримують Україну, взяло на себе відповідальність за DDoS-атаки на сайти Міністерства фінансів, центрального банку та Загребської фондової біржі. Невдовзі проросійське угруповання LockBit оголосило про атаку на найбільшу лікарню Хорватії — KBC Zagreb, яка була змушена на добу відключити IT-системи. Зловмисники отримали доступ до конфіденційних даних пацієнтів і персоналу та вимагали викуп. Близькість у часі обох атак свідчить про можливу координацію.
Кіпр: фейк про «готель Зеленського за £150 млн»
Ініціатор загрози: росія
Період: Червень 2024
Тип інциденту: Інформаційна операція
ТТП: Поширення фейків через традиційні медіа та інфлюенсерів
У червні 2024 року проросійські агенти впливу розтиражували фейк про нібито купівлю президентом Зеленським готелю та казино на Кіпрі за кошти західної допомоги. Турецьке видання OdaTV опублікувало матеріал, що посилався на підроблений сайт — клон готелю, створений невідомими особами за кілька днів до виходу статті. Хоча публікацію згодом видалили, фейк підхопили проросійські канали впливу, зокрема Сімеон Бойков — австралієць під санкціями ЄС, що мешкає в генеральному консульстві росії в Сіднеї. Один лише його пост в X зібрав 2,9 мільйона переглядів. Кремлівські медіа Lenta.ru та Gazeta.ru поширили твердження, що Зеленський готується «втекти» на Кіпр.
Чехія: «Голос Європи» підкуповував депутатів Євросоюзу
Ініціатор загрози: росія
Період: 2023–2024
Тип інциденту: Підрив громадянського суспільства; інформаційна операція; шкідливе фінансування
ТТП: Хабарництво; створення неавтентичних новинних сайтів
Пропутінський новинний сайт Voice of Europe, зареєстрований у Празі, став інструментом виплати грошей праворадикальним політикам ЄС і поширення кремлівської пропаганди напередодні виборів до Європарламенту 2024 року. У березні 2024 року чеська влада запровадила санкції проти сайту та двох бізнесменів — Віктора Медведчука та Артема Марченко — за нібито переведення сотень тисяч євро десяткам правих політиків у щонайменше шести країнах ЄС: Німеччині, Франції, Польщі, Бельгії, Нідерландах і Угорщині. Мета — поширення антиукраїнських наративів і вплив на громадську думку.
Оператори сайту підходили до євроскептичних політиків під виглядом журналістів, щоби взяти інтерв’ю з проросійських тем, після чого поширювали ці розмови через власні канали в соціальних мережах із понад 180 000 підписниками. У травні 2024 року Рада ЄС зупинила мовлення Voice of Europe та ще трьох пов’язаних з росією медіа — RIA Novosti, «Известия» і «Российская газета».
Данія: атаки на водопровід і передвиборчі сайти
Ініціатор загрози: росія
Період: 2024–2025
Тип інциденту: Кібероперація
ТТП: DDoS; атаки на критичну інфраструктуру
У грудні 2025 року Служба воєнної розвідки Данії офіційно звинуватила росію в «деструктивних і дезорганізаційних» кібератаках у 2024–2025 роках. Зокрема, хакерське угруповання Z-Pentest (відоме також як Cyber Army of Russia Reborn), що фінансується та керується ГРУ, у 2024 році атакувало водопровідну станцію Tureby Alkestrup. Внаслідок маніпуляцій з тиском у трубах поблизу Копенгагена розірвалося щонайменше три водопровідні труби; близько 500 домогосподарств зазнали перебоїв у водопостачанні, 50 з яких залишались без води сім годин. Угруповання NoName057(16) паралельно влаштувало DDoS-атаки на сайти данських партій, муніципалітетів і оборонної компанії напередодні місцевих виборів у листопаді 2025 року.
Естонія: ГРУ організувало кампанію вандалізму проти держчиновників
Ініціатор загрози: росія
Період: Жовтень–грудень 2023
Тип інциденту: Кінетична операція
ТТП: Вандалізм; фізичні погрози; використання злочинної мережі
У лютому 2024 року Служба внутрішньої безпеки Естонії оголосила про затримання десяти осіб за підозрою в причетності до диверсійної операції, організованої ГРУ. Метою було сіяти страх і напругу в балтійській країні. За даними естонських властей, оперативники ГРУ вербували підозрюваних — громадян Естонії та росії — через соціальні мережі, пропонуючи невелику грошову винагороду за пошкодження майна держслужбовців. Серед жертв — міністр внутрішніх справ Лаурі Ланемент і місцевий журналіст, чиїм автомобілям розбили вікна. Затримані мали список з близько десяти наступних цілей — переважно естонські політики й журналісти, відомі своїм спростуванням кремлівської брехні про Україну.
Фінляндія: Росія «зброїзувала» мігрантів після вступу до НАТО
Ініціатор загрози: росія
Період: Серпень–грудень 2023
Тип інциденту: Кінетична операція; інформаційна операція
ТТП: «Зброїзація» міграції; поширення фейків через медіа та дипломатичні канали
Невдовзі після вступу Фінляндії до НАТО у 2023 році росія скерувала тисячі мігрантів на фінський кордон і розгорнула інформаційну кампанію проти Гельсінкі. За даними фінських властей, російська сторона сприяла нелегальному перетину кордону більш ніж 1 300 шукачів притулку — переважно з Близького Сходу та Африки — між серпнем і груднем 2023 року: людей скеровували до контрольно-пропускних пунктів без належних документів, деяким надавали велосипеди та самокати. Коли Фінляндія оголосила про закриття всіх прикордонних переходів, офіційні представники росії та державні медіа розцінили цей крок як «порушення прав людини» і «русофобію». Деякі кремлівські видання безпідставно стверджували, що рішення було продиктоване вимогами США або прагненням отримати фінансування ЄС.
Франція: розпалювання ненависті між єврейськими та мусульманськими громадами
Ініціатор загрози: росія
Період: 2023 — по теперішній час
Тип інциденту: Кінетична операція; інформаційна операція
ТТП: Вандалізм; боти; використання злочинних агентів
Від початку війни Ізраїлю з ХАМАС російська розвідка організовує акти вандалізму у Франції, щоб розпалювати напругу між єврейською та мусульманською громадами. За місяць після нападу ХАМАС 7 жовтня 2023 року французька поліція затримала чотирьох іноземців, підозрюваних у малюванні майже 250 зірок Давида в Парижі та приміських районах. Французька служба Viginum встановила, що інцидент розтиражувала мережа з понад 1 000 ботів, пов’язаних із російською операцією «Двійник» (Doppelganger). Внутрішня розвідка Франції встановила причетність ФСБ до цієї дестабілізаційної спроби.
У травні 2024 року четверо болгарських громадян, найнятих російською розвідкою, осквернили Меморіал Голокосту Шоа в Парижі червоними відбитками долонь. У вересні 2025 року французька прокуратура видала ордер на арешт особи, що перебуває в Сербії і діє від імені ГРУ: їй інкримінують вандалізм біля трьох синагог, ресторану і — обливання свинячими головами — біля дев’яти мечетей у Паризькому регіоні.
Німеччина: підроблені відео фальшивих «фальсифікацій» на виборах
Ініціатор загрози: росія
Період: Лютий 2025
Тип інциденту: Інформаційна операція
ТТП: Маніпульоване відео; тролінг; неавтентичні новинні сайти
Напередодні федеральних виборів у Німеччині 2025 року проросійська мережа Storm-1516 виготовила й розтиражувала кілька відео, що нібито фіксують виборчі махінації. Щонайменше два ролики поширювалися в соціальних мережах із твердженнями, що у виборчих бюлетенях з Лейпцига відсутня назва крайньоправої партії «Альтернатива для Німеччини» (AfD). Ще одне відео нібито зображало знищення поштових бюлетенів, поданих за AfD, у Гамбурзі. Публікація в X, що містила такі фейки, набрала понад 500 000 переглядів і понад 12 000 репостів. Мерії Лейпцига та Гамбурга оперативно спростували відео. Того ж виборчого циклу Storm-1516 створила мережу понад 100 сайтів-імітацій місцевих новинних видань, де публікувала матеріали з кремлівськими наративами й сфабриковані звинувачення в сексуальних домаганнях на адресу кандидатів від «Зелених» Роберта Габека та Анналени Бербок.
Греція: Китай завербував офіцера ВПС для шпигунства проти НАТО
Ініціатор загрози: Китай
Період: 2024–2026
Тип інциденту: Кінетична операція
ТТП: Шпигунство; використання агентів
У лютому 2026 року грецька поліція заарештувала полковника Повітряних сил Греції за підозрою в передачі Китаю секретних військових даних, зокрема матеріалів, що стосуються НАТО. Підозрюваний — один із провідних грецьких фахівців із кібербезпеки та електронних систем — мав доступ до інформації кількох родів військ і союзних держав, використовував спеціальне програмне забезпечення від китайських агентів для фотографування таємних документів. За даними слідства, у 2024 році з ним зав’язали контакт представники китайської компанії, а згодом він зустрівся з агентами розвідки на конференції НАТО в Європі. Пізніше полковник відвідав Китай під приводом вивчення мови, де проходив вишкіл з техніки шпигунства. Після арешту він зізнався у передачі інформації за винагороду.
Угорщина: росія розпалює етнічну ворожнечу навколо Закарпаття
Ініціатор загрози: росія
Період: 2022 — по теперішній час
Тип інциденту: Інформаційна операція; кінетична операція
ТТП: Поширення фейків; підпал; вандалізм
Від початку повномасштабного вторгнення росії в Україну кремлівські агенти впливу намагаються загострити етнічну напругу між українцями та угорцями. Проросійські ЗМІ систематично поширюють наративи про «утиски угорців» в Україні, звинувачуючи «українських нацистів» в етноциді та зображуючи Україну загрозою суверенітету Угорщини. У травні 2025 року мережа Pravda, що об’єднує понад 200 пропутінських сайтів і поширює кремлівську пропаганду в понад 80 країнах, поширила фото нібито угорської бронетехніки, що рухається до кордону для вторгнення у Закарпаття. Мережа російських Telegram-каналів розповсюдила скриншоти підробленого опитування в Instagram — нібито від Коледжу Бетлена Ґабора в Румунії, — де жителів Закарпаття запитували про бажання «возз’єднатися» з Угорщиною. Окрема група підозрюваних підпалила угорську церкву на Закарпатті та написала антиугорський напис на будівлі.
Ірландія: підозрілі дрони супроводжували літак Зеленського
Ініціатор загрози: росія (підозрюється)
Період: Грудень 2025
Тип інциденту: Кінетична операція
ТТП: Несанкціоновані польоти дронів
У грудні 2025 року чотири неідентифіковані військові дрони порушили повітряний простір Ірландії, слідуючи по маршруту літака, що перевозив президента Зеленського до Дубліна з офіційним візитом. Дрони пізніше помітив екіпаж корвета ВМС Ірландії. Попри те, що ірландська влада офіційно не визначила державного актора, міністр юстиції Джим О’Каллаган заявив, що за цим явно стоять не аматори з домашніми іграшками. Прем’єр-міністр Мікеал Мартін назвав обставини інциденту характерними для «тривалої гібридної кампанії, натхненної росією». Президент Євради Антоніу Кошта кваліфікував подію як «ще один приклад гібридних атак росії».
Італія: документальні фільми RT в обхід санкцій ЄС
Ініціатор загрози: росія
Період: 2022 — по теперішній час
Тип інциденту: Інформаційна операція
ТТП: Ухилення від санкцій; імперсонація міжнародних організацій
Попри санкції ЄС, що забороняють будь-яке поширення контенту RT, проросійські оператори організовують у містах Італії підпільні покази документальних фільмів телеканалу про війну в Україні. Стрічки — зокрема «Діти Донбасу» та «Майдан — шлях до війни» — зображують Україну агресором, виправдовуючи тим самим вторгнення росії. Покази відбуваються в громадських залах, бібліотеках і університетах; їх нерідко організовують таємно, залучаючи учасників через WhatsApp і збираючи їх у публічних місцях перед оголошенням адреси. Скандальна деталь: афіша квітневого 2025 року сеансу в Таранто містила офіційний логотип ЮНІСЕФ без жодного зв’язку з організацією. У червні 2025 року не менш ніж 22 рекламні щити з анонсом фільмів з’явилися у великих містах країни з гаслом: «Вони забороняють правду — ми її показуємо».
Латвія: підпали та шпигунство проти оборонних підприємств
Ініціатор загрози: росія
Період: 2023–2025
Тип інциденту: Кінетична операція
ТТП: Підпал; диверсія; шпигунство; атаки на критичну інфраструктуру
У жовтні 2025 року Латвійська служба державної безпеки порушила кримінальне переслідування чотирьох осіб, пов’язаних із російськими спецслужбами, за диверсії проти оборонних і критично важливих об’єктів. Угруповання підпалило підприємство приватної компанії, що виконує оборонні контракти, а восени 2024 року спробувало підпалити вантажний автомобіль з українськими номерами на латвійській критичній інфраструктурі — невдало. Учасники ретельно вивчали об’єкти, фіксували входи, виходи та протоколи безпеки, після чого передавали ці відомості російській розвідці. Троє підозрюваних заарештовано навесні 2025 року; четвертий перебував під вартою за іншою справою.
Литва: Вільнюс як хаб для надсилання вибухівки поштою по Європі
Ініціатор загрози: росія
Період: 2024
Тип інциденту: Кінетична операція
ТТП: Диверсія; підпал; використання злочинної мережі
У вересні 2025 року литовська прокуратура оголосила про розкриття та ліквідацію мережі, пов’язаної з ГРУ, яка планувала надсилати вибухові пристрої з Вільнюса до різних країн Європи. 15 підозрюваних — громадяни росії, Литви, Латвії, Естонії та України — відправили 4 посилки з вибухівкою, прихованою в косметичних флаконах і масажних подушках, через служби DHL та DPD. Один пакет вибухнув в аеропорту Лейпцига до завантаження на рейс до Великої Британії, другий — на вантажівці в дорозі до Польщі, третій — на складі в Бірмінгемі. Поліцейські обшуки в Литві, Польщі, Латвії та Естонії виявили шість кілограмів тротилу в консервних банках і детонатори. Підозрювані вербувалися через Telegram і отримували плату в криптовалюті. Спецслужби Заходу вважають цю операцію «пробним запуском» перед масштабнішою атакою на вантажні та пасажирські рейси до США і Канади.
Люксембург: китайська мережа фейкових місцевих ЗМІ
Ініціатор загрози: Китай (підозрюється)
Період: 2023 — по теперішній час
Тип інциденту: Інформаційна операція
ТТП: Створення неавтентичних новинних сайтів
Пекінська компанія Shenzhen Haimaiyunxiang Media створила мережу з 123 сайтів-імітацій місцевих новинних видань у 30 країнах Азії, Латинської Америки та Європи — зокрема фейковий люксембурзький портал Gaul Journal — для поширення проксіньської пропаганди. За даними CitizenLab, сайти поєднували запозичений місцевий контент з матеріалами китайських державних медіа та рекламою китайських товарів. Серед головних тем — дискредитація критиків Пекіна та конспірологічні теорії проти США і союзників. Операція ймовірно була спрямована на штучне підвищення видачі цих матеріалів у пошукових системах, а не на охоплення широкої аудиторії.
Мальта: прокремлівські хакери «поклали» сайт Times of Malta
Ініціатор загрози: росія (підозрюється)
Період: Лютий 2024
Тип інциденту: Кібероперація
ТТП: DDoS
6 лютого 2024 року прокремлівське хакерське угруповання People’s Cyber Army of Russia (CARR) здійснило DDoS-атаку на сайт Times of Malta, що тривала кілька годин. Ще під час атаки CARR оголосило в Telegram — каналі з 31 600 підписниками — відповідальність за злом і заклало підписників долучитися. Сайт не відкривався близько 45 хвилин. Хакери мотивували атаку підтримкою виданням санкцій проти росії та погрожували атаками на Університет Мальти і Митну службу, проте ці загрози не були реалізовані.
Нідерланди: Китай таємно утримував закордонні «поліцейські дільниці»
Ініціатор загрози: Китай
Період: 2018–2022
Тип інциденту: Підрив громадянського суспільства
ТТП: Стеження за діаспорою; шпигунство; тиск і залякування
У листопаді 2022 року нідерландська влада зобов’язала Китай закрити дві незаконні «поліцейські дільниці» в Амстердамі та Роттердамі, що діяли з 2018 року під виглядом пунктів консульської служби. За даними розслідувань, їх справжньою функцією було стеження за китайськими дисидентами та тиск на них. Обидві дільниці очолювали колишні китайські військові та офіцери розвідки. Дисидент Ван Цзіньюй, що емігрував до Нідерландів і відкрито критикував Пекін, розповів: офіцер роттердамської дільниці телефонував йому з вимогою повернутися до Китаю, нагадуючи про батьків. Крім того, китайське посольство в Гаазі хибно поінформувало нідерландську поліцію про нібито бомбові погрози від його імені. Мережа подібних дільниць налічує понад 100 точок у всьому світі — в Іспанії, Італії, США та Канаді.
Польща: підрив залізничного маршруту допомоги Україні
Ініціатор загрози: росія
Період: Листопад 2025
Тип інциденту: Кінетична операція
ТТП: Диверсія; використання злочинної мережі
У листопаді 2025 року польська прокуратура висунула обвинувачення трьом особам у співпраці з російською розвідкою задля підриву залізничної колії між Польщею та Україною — критичного коридору для постачання допомоги. Підозрювані встановили два пристрої на коліях; один вибухнув поблизу варшавського передмістя, пошкодивши рейки. Жертв не було. Поблизу Любліна також пошкоджено лінії електропередач — ймовірно, з метою пустити поїзд під укіс. Двоє виконавців утекли до Білорусі, один з них раніше засуджений у Львові за «акти диверсії». Прем’єр-міністр Польщі Дональд Туск назвав атаку «найсерйознішою ситуацією в сфері національної безпеки Польщі з початку повномасштабної війни» і підвищив рівень загрози для критичних залізничних маршрутів до другого за найвищим.
Португалія: росія поширювала фейки під час масштабного відключення електроенергії
Ініціатор загрози: росія
Період: 2025
Тип інциденту: Інформаційна операція
ТТП: Поширення фейків; імперсонація ЗМІ; боти
Наприкінці квітня 2025 року, коли масштабне відключення електроенергії паралізувало Португалію та Іспанію, кремлівські мережі впливу скористалися ситуацією для поширення дезінформації. За даними іспанського видання Maldita.es, мережа Storm-1679 менш ніж через добу після відключення почала поширювати сфабрикований контент, що приписував катастрофу санкціям Заходу проти росії. Підроблений контент включав відео у стилістиці France 24 і «статтю» з імітацією британської газети The Independent. Мережа Telegram-каналів розтиражувала ці матеріали; згодом їх передрукувала пропутінська Pravda — зокрема фейкові супутникові знімки, де Піренейський півострів показаний у цілковітій темряві на тлі освітленої решти Європи.
Румунія: змова з метою державного перевороту за підтримки росії
Ініціатор загрози: росія
Період: 2023–2025
Тип інциденту: Підрив громадянського суспільства; кінетична операція
ТТП: Використання злочинних мереж; шпигунство; підбурювання до заколоту
У березні 2025 року румунська поліція заарештувала шістьох осіб за підозрою в змові з росією з метою повалення уряду. Підозрювані нібито планували створити парамілітарне угруповання «Командування Влада Цепеша» — за іменем Влада Пронизувача — для захоплення влади в Бухаресті, скасування конституції, розпуску партій і виходу Румунії з ЄС і НАТО. Румунська розвідка встановила, що підозрювані безпосередньо запитували підтримки у співробітників російського посольства; двоє їздили до Москви в січні 2025 року на зустрічі з фінансистами. Румунія видворила двох дипломатів РФ за підтримку змовників і розвідувальну діяльність.
Словаччина: росія «повісила» замах на Фіцо на Україну
Ініціатор загрози: росія
Період: Травень 2024
Тип інциденту: Інформаційна операція
ТТП: Поширення фейків через бот-мережі та традиційні медіа
У травні 2024 року кремлівські оперативники запустили скоординовану інформаційну кампанію, прагнучи пов’язати Україну із замахом на прем’єр-міністра Словаччини Роберта Фіцо. Акаунти ботів, деякі з яких пов’язані з мережею «Двійник», наповнили обговорення в X та Reddit спекуляціями про зв’язки стрільця з проукраїнськими силами. Аналіз понад 100 прокремлівських Telegram-каналів, здійснений дослідницькою групою Antibot4Navalny, показав: вони «одностайно» стверджували, що замах мотивований «проросійською позицією» Фіцо, і звинувачували Захід у потуранні насильству. Це вписується в стійку закономірність кремлівських операцій, що приписують Україні різні замахи — зокрема на Дональда Трампа і американського коментатора Чарлі Кьорка.
Словенія: DDoS-атака через підтримку закупівлі боєприпасів для України
Ініціатор загрози: росія
Період: Березень 2024
Тип інциденту: Кібероперація; інформаційна операція
ТТП: DDoS; відеопропаганда
У березні 2024 року пов’язане з Кремлем угруповання Cyber Army Russia Reborn (CARR) розпочало масштабну DDoS-кампанію проти словенських державних сайтів — у відповідь на рішення Любляни виділити €1 млн на чеську ініціативу із закупівлі боєприпасів для України. Кампанія тривала кілька днів і на кілька годин паралізувала сайт президента Словенії, а також ресурси Національної асамблеї, державного телемовника RTV Slovenija та інших урядових установ. Паралельно CARR оприлюднило відеозвернення словенською мовою — зі спробами переконати, що росія і Словенія не повинні ворогувати через спільне слов’янське коріння.
Іспанія: вбивство перебіжчика з ГРУ в курортному містечку
Ініціатор загрози: росія (підозрюється)
Період: Листопад 2024
Тип інциденту: Кінетична операція
ТТП: Цілеспрямоване вбивство
У листопаді 2024 року у іспанському курортному місті Вільяхойоса було вбито Максима Кузьмінова — російського льотчика, що перейшов на бік України, перегнавши туди гелікоптер Мі-8 разом з екіпажем у 2023 році. Ця акція стала серйозним розвідувальним і пропагандистським успіхом Києва. В інтерв’ю після переходу Кузьмінов стверджував, що керувався моральними міркуваннями, а не лише обіцяною винагородою у 500 000 доларів. Кремлівські ЗМІ відразу назвали його зрадником і натякнули, що кара неминуча. За даними українських офіційних осіб, після від’їзду з України Кузьмінов жив в Іспанії під фальшивою особою, поки не був застрелений. Директор Служби зовнішньої розвідки росії Сергій Наришкін коментував загибель для ТАСС. Іспанські слідчі арештів не здійснили й росію офіційно не звинуватили, проте, за даними El País, іспанська розвідка «не сумнівається» в причетності Кремля.
Швеція: росія та Іран розпалювали ненависть через спалення Корану
Ініціатор загрози: росія; Іран
Період: 2023
Тип інциденту: Інформаційна операція; підрив громадянського суспільства; кібероперація
ТТП: Поширення фейків; організація протестів; SMS-злам
У 2023 році російські та іранські мережі впливу розтиражували й поглибили фейки про хвилю протестів у Швеції, в ході яких відбувалися спалення Корану. За даними Агентства психологічного захисту Швеції, RT та Sputnik публікували арабомовні матеріали з хибним твердженням, що шведський уряд підтримує спалення Корану. Пізніше з’ясувалося, що один зі скандальних інцидентів біля турецького посольства в Стокгольмі організував і профінансував праворадикальний журналіст і колишній співробітник RT Чанг Фрік — він оплатив дозвіл на акцію і залучив до неї ультраправого політика Расмуса Палудана. Ціллю операції було зірвати вступ Швеції до НАТО, поки ратифікація залежала від голосів Туреччини та Угорщини.
Іранські медіа та акаунти, пов’язані з державою, підхопили кремлівські наративи і зображували шведський уряд причетним до провокацій. КВІР (Корпус вартових ісламської революції) зламав SMS-оператора в Швеції і розіслав близько 15 000 повідомлень із закликами до помсти за спалення Корану.
Висновки
Задокументовані інциденти свідчать: тактика держав-агресорів суттєво еволюціонувала відтоді, як ЄС та його члени вперше визнали небезпеку гібридних загроз. Інформаційні операції та кібератаки тепер доповнюються кінетичними діями — від диверсій до вторгнень дронів. Кінетичні операції відігравали роль у більш ніж половині розглянутих випадків — у 14 з 27. До повномасштабного вторгнення в Україну стільки таких прикладів знайти б не вдалося.
Гібридна активність дедалі частіше координується з-за кордону, але реалізується зсередини. Це відображає як ускладнення оперативного середовища для кадрових офіцерів ГРУ та ФСБ у Європі, так і легкість, з якою іноземні спецслужби вербують місцевих виконавців через анонімні зашифровані месенджери. Перед законодавцями постає принципове питання: де проходить межа між зовнішніми та внутрішніми загрозами, коли держави-агресори навмисно стирають цю межу.
Різні типи гібридних загроз не можна розглядати ізольовано. Більшість задокументованих інцидентів поєднує кілька видів атак: акти вандалізму майже завжди супроводжувалися інформаційними операціями; диверсії — розвідувальними операціями. Усі ці тактики — від фейкових місцевих ЗМІ до атак на критичну інфраструктуру та політичних вбивств — є частинами єдиної стратегії дестабілізації Європи.
Жодна країна ЄС не перебуває поза зоною досяжності авторитарних держав — навіть ті, що намагалися підтримувати з росією прагматичніші відносини. Попри те що росія залишатиметься головним ініціатором загрози в осяжній перспективі, інші держави — зокрема Китай та Іран — вочевидь беруть з неї приклад. Тому атаки можуть очікувати на всі країни Євросоюзу, а не лише ті, що є традиційними цілями Кремля. Відповідь на ці загрози вимагає комплексного підходу — скоординованого, загальноєвропейського.
Джерело: Institute for Strategic Dialogue (ISD), 2026
Автори оригіналу: Krysia Sikora, Louis Savoia, Bret Schafer
Переклад і редакція: cybercalm.org
