Den 18 februari 2026 utfärdade Ukrainas president Volodymyr Zelenskyj sanktioner mot den belarusiske diktatorn Aljaksandr Lukasjenka för dennes roll i upptrappningen och förlängningen av Rysslands aggressionskrig mot Ukraina. Ett av de angivna skälen var att Ryssland under andra halvåret 2025 hade inrättat ett system av relästationer för styrning av anfallsdrönare i Belarus. Åtgärden utvidgade avsevärt Rysslands kapacitet att genomföra angrepp mot Ukrainas norra regioner, från Kyivregionen till Volyn.

Genomförandet av vissa angrepp, däribland angrepp mot energi- och järnvägsinfrastruktur, hade inte varit möjligt utan medverkan från den belarusiska sidan. Utfärdandet av sanktionerna utgjorde kulmen på en månadslång cyberoperation genomförd av ukrainska aktivister från det analytiska cybercentret Fenix med stöd av volontärer från InformNapalm.

Cyberoperationens genomförande

Under operationen bröt hackarna sig in i dussintals ryska militärers konton och fick tillgång till övervakningssystem som användes av drönaroperatörer. Dold övervakning av deras verksamhet bedrevs dygnet runt. De insamlade uppgifterna vidarebefordrades omgående till Ukrainas försvarsstyrkor.

Cyberspecialisterna hade inte full kontroll över systemen och kunde inte själva styra drönarna. Möjligheten att följa fiendens agerande förbättrade dock effektiviteten i Ukrainas motåtgärder. Tillgången till information om drönarnas rutter och uppdrag ökade förmågan att bekämpa ryska drönarangrepp.

Operationen pågick åtminstone från mitten av 2025 och hade i februari 2026 uttömt sin underrättelsepotential, bland annat till följd av framgångsrika insatser mot ryska ledningscentraler. Analysen av uppfångade chattar mellan drönaroperatörer, genomförd i september 2025, visade att Ryssland aktivt använde belarusisk civil infrastruktur, främst mobilmaster, för planering av drönarnas rutter.

Användningen av infrastrukturen möjliggjorde stabil kommunikation och räckvidd till mål vid Ukrainas norra och västra gräns. Därutöver registrerades avsiktliga intrång med drönare på Nato-medlemsstaters territorium.

Skärmbild av operatörens skrivbord och programvara med bild från drönarens kamera. I meddelandetrådens högra del syns ett meddelande från en operatör med beteckningen user5214: ”Drönare ЫЫ12057 start enligt plan kl. 11:08 i riktning mot Tjernihiv.” Datum 2025-09-25.

Skärmbild av ruttplanering. I skärmens högra del syns en meddelandetråd mellan operatörer: ”Meddela mig när generalen anländer.” ”Gerbera 14922 start enligt plan kl. 14:58. Gerbera 29097 start enligt plan kl. 14:40. Gerbera 26153 start enligt plan kl. 15:06.” ”Geran 1140 start enligt plan kl. 16:07.”

Typisk ruttplanering innebär start från ryskt territorium, färd över Belarus längs den ukrainska gränsen och därefter angrepp mot mål i Ukraina.

Dold övervakning av ett latent hot

Under flera månader bedrev ukrainska informationstekniska specialister dold övervakning av chattar och verksamhet hos dussintals operatörer av ryska anfallsdrönare. Information vidarebefordrades löpande till försvarsstyrkorna, vilket ökade situationsmedvetenheten och effektiviteten i avlyssning och neutralisering av drönare.

Operationen varade i mer än sex månader och bidrog till ett antal relaterade insatser av Ukrainas försvarsstyrkor. Dessa omfattade angrepp mot ledningscentraler och uppskjutningsplatser för drönare på ryskt territorium och i tillfälligt ockuperade ukrainska territorier, angrepp mot positioner tillhörande Rubikon, Rysslands elitdrönarenhet samt andra åtgärder som försvårade ryska drönaroperationer.

Redan i september 2025 vidarebefordrades operativ information till Natos partnerländer. Intrång av ett stort antal ryska obemannade luftfarkoster i Polen natten mellan den 9 och 10 september utgjorde ett led i testning av ny taktik och av den belarusiska civila telekommunikationsinfrastrukturens kapacitet.

Syftet med sådana operationer är att planera angrepp mot logistiska rutter i Ukraina och Polen för att störa leveranser av västligt vapenstöd.

Det fastställdes att obemannade luftfarkoster av serien ”ЫЫ” återkommande förekom i den programvara som operatörerna använde samt i deras meddelandetrådar. Drönare ur denna serie påträffades därefter i Polen och i de baltiska staterna efter ryska angrepp.

Ryska lockdrönare av typen Gerbera med de karakteristiska numren ЫЫ32384 och ЫЫ31402 påträffade i Polen.

Fragment av stjärtsektionen från en Gerbera-lockdrönare med serienummer ЫЫ31704 påträffat på en strand i Lettland.

Behovet av ett rättsligt ramverk för verksamhet i cyberrymden

Erfarenheterna från denna och andra framgångsrika cyberoperationer visar att djupgående intrång i motståndarens kommunikations-, planerings- och samordningssystem kan ha betydande inverkan på krigsförloppet. Ukrainska cyberspecialister, både statliga och civila, har under flera år uppvisat hög effektivitet.

Deras samverkan saknar alltjämt ett fullständigt rättsligt ramverk. Antagandet av lagen om inrättandet av cyberstyrkor har varit fördröjt sedan 2023. Den 9 oktober 2025 antog Verkhovna Rada lagförslag nr 12349 i första behandlingen.

Lagförslaget avser inrättande av ett kommando för cyberstyrkor, bildande av en cyberreserv bestående av civila specialister, genomförande av aktiva cyberoperationer samt samarbete med Nato. Processen för inrättande av cyberstyrkor är ännu inte avslutad.

Rättslig reglering av Ukrainas cyberstyrkor

Den 19 februari 2026 framhöll Mykhailo Makaruk, talesperson för informationskollektivet InformNapalm, att det slutliga antagandet av lagförslaget hade fördröjts i parlamentet. Ukrainska specialister som genomför offensiva cyberoperationer mot Ryssland befinner sig därmed i en rättslig gråzon.

Inrättandet av Ukrainas cyberstyrkor skulle möjliggöra systematisk samordning av statliga och civila segment, uppskalning av framgångsrika operationer, legalisering av samverkansmekanismer samt höjning av nivån på den strategiska planeringen i cyberrymden.

Den nyligen genomförda cyberoperationen mot Rysslands försök att kringgå blockaden av Starlink utgör ytterligare ett exempel på effektivt horisontellt samarbete mellan ukrainska cyberaktivister, volontärer inom underrättelse baserad på öppna källor och Ukrainas försvarsdepartement. Potentialen i detta samarbetsformat är emellertid avsevärt större.

Den sex månader långa cyberoperationen, som avslöjade användningen av belarusisk infrastruktur för angrepp mot Ukraina samt testning av angreppsrutter mot Nato-länder, bekräftar att cyberrymden utgör en fullvärdig krigsskådeplats och inte enbart ett stödverktyg.

Krigsskådeplatsen kräver inte enbart specialister utan även ett statligt beslut. Behovet av ett sådant beslut har förelegat under lång tid.

Ytterligare artiklar av InformNapalm

• Trepartssamtal i Abu Dhabi samtidigt som ryska attacker fortsätter
• Vapensmuggling via Krim i ryska 291:a regementet och Vostok-Achmat
• Privat diplomati hotar europeisk säkerhet med underminering av transatlantisk ordning

Materialet får fritt spridas och återpubliceras under förutsättning att källan anges. Licensiering enligt Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Följ oss på Facebook, Twitter, Telegram och Slate (Sl8).

InformNapalm tar inte emot ekonomiskt stöd från någon stat eller institutionell sponsor. Verksamheten finansieras uteslutande av frivilliga insatser från enskilda volontärer och läsare. Den som önskar bidra kan göra det genom månatliga mindre donationer via plattformen Buymeacoffee.