Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок.
Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год.
Новый ландшафт: когда смешались хактивизм, APT и киберкриминал
Главным трендом 2025 года стало не использование новых эксплойтов или инструментов атаки, а стирание границ между категориями злоумышленников и появление на глобальном теневом рынке так называемого хактивизма по найму.
Еще некоторое время назад хактивистские группы ограничивались громкими заявлениями о себе с помощью DDoS-атак и дефейса сайтов. Сегодня мы видим трансформацию их активности: хактивисты теперь часто выступают в качестве прокси, участвуют в кибератаках совместно с прогосударственными группировками или по их указанию. В случае выполнения услуг по найму хактивисты стремятся нарастить личный инструментарий и уровень подготовки, сохраняя видимую автономность. В результате их атаки становятся технически сложнее, а цели — масштабнее.
Интересно, что часть APT-группировок начала публиковать украденные данные, используя их не ради выкупа, а для нанесения репутационного ущерба жертве. Все это говорит о том, что мотивация прогосударственных атакующих также изменилась и теперь выходит за рамки классического кибершпионажа.
Кроме того, ранее не преследовавшие финансовой выгоды хакеры теперь взламывают инфраструктуру для кражи криптовалюты, вымогательства, продажи доступов на подпольных форумах и даже для саботажа производственных систем. Так, к примеру, CyberVolk параллельно действует и как идеологическое сообщество, и как финансово мотивированная преступная структура, требующая выкуп за расшифровку данных.
Такое сближение хакерских тактик и интересов создает более непредсказуемую и сложную угрозу: теперь организациям важно отслеживать не только технические векторы атаки, но и их социально-политический контекст. К тому же встает вопрос, к какой категории угроз относить хактивистов, действующих на уровне APT-группировок или как прокси прогосударственных групп.
Мотивация: от шпионажа до саботажа
Мотивация APT-группировок и хактивистов в 2025 году распределялась по трем основным направлениям:
Утечки данных и шпионаж. Кража секретной информации — ключевая мотивация многих кампаний. За 2025 год произошел ряд громких утечек в результате целевых взломов. Например, утечки, связанные со шпионской кампанией группы Cloaked Shadow, которая коснулась нескольких предприятий ОПК в России.
Саботаж и вывод систем из строя. В 2025 году участились деструктивные кибератаки на важные объекты. Например, APT33 и родственные ей MuddyWater, OilRig и другие связаны с серией атак, включающих попытки доступа к КИИ. Ущерб от подобных диверсий выражается не только в финансовых потерях (простой предприятий, ремонт оборудования), но и в подрыве доверия к безопасности целых отраслей.
Финансовые хищения и вымогательство. Многие группировки преследуют несколько целей в рамках одной атаки. Наиболее яркий пример — прогосударственные группировки, активно действующие в азиатском регионе. Так, в 2025 году в результате хакерских атак был похищен рекордный объем криптовалюты на сумму около 2 млрд $, что на 51% больше, чем годом ранее.
Цели атак: отрасли и страны
Из-за преобладания политических мотивов атак особый интерес для хактивистов и APT-группировок представляли те отрасли, в которых находится больше всего объектов КИИ: государственные учреждения, промышленность, оборонные предприятия и финансовый сектор.
Прогосударственные группы теперь также нацелены на торговые сети, объекты спорта и туризма, компании из сферы услуг. Участились атаки на объекты здравоохранения и образовательные организации. Под прицелом находятся и различные форумы, спортивные соревнования и другие крупные события. В этих случаях саботаж приводит к ущербу международной репутации принимающей стороны.
Традиционно самыми атакуемыми странами за рассматриваемый период стали США, Россия и Китай. При этом на СНГ пришлось наибольшее число атак. Что касается атак именно хактивистов — больше всего пострадала Европа.
Интересные кейсы года
Lazarus: операция Dream Job в новом исполнении
В октябре 2025 года Lazarus Group атаковала как минимум три европейские компании — производителей беспилотников и оборонных комплектующих. Вектор атаки — письма с предложениями о работе, содержащие зараженные вредоносами документы и ссылки. Похищенная техническая документация напрямую затрагивала военную безопасность стран — заказчиков этих компаний.
Уязвимость в SharePoint — урон на четырех континентах
В 2025 году была выявлена кампания с эксплуатацией неизвестной ранее уязвимости ToolShell в Microsoft SharePoint. Через корпоративную платформу злоумышленники проникли в сети организаций: пострадали ключевые государственные агентства США и десятки структур в Северной Америке, Европе, Азии и Африке.
UNC3886: шпионаж в виртуальных машинах
В рамках кампании Fire Ant группировка UNC3886 компрометировала системы в виртуальных машинах и размещала бэкдоры внутри корпоративных и инфраструктурных сетей. Это позволяло им сохранять доступ и оставаться незамеченными на протяжении долгого времени.
BlueNoroff: дипфейк-атака в Zoom
В апреле и мае 2025 года группировка BlueNoroff атаковала криптопроект Manta Network через Zoom. Злоумышленники в реальном времени имитировали руководителей проекта с помощью дипфейков и убеждали участников встреч установить «обновление», содержавшее вредоносное ПО.
Техника T1123 (Audio Capture) фигурирует в атаках все большего числа группировок. Перехваченные голосовые данные используются не только для шпионажа, но и для последующего обучения ИИ-моделей имитации.
Dire Wolf: шифровальщик как инструмент саботажа
APT-группировка Dire Wolf во второй половине 2025 года применяла шифровальщики принципиально иначе: никакого выкупа в качестве цели — только уничтожение. После проникновения и перемещения внутри периметра злоумышленники шифровали серверы и рабочие станции, целенаправленно удаляли резервные копии и нарушали работу критически важных сервисов.
Длительные простои и финансовый ущерб — сами по себе цель операции. Это меняет модель угрозы: классическая защита от вымогателей «заплати и получи ключ» здесь просто не работает.
TTPs: что используют атакующие
T1566 (Phishing) — главный способ проникновения во всех регионах, который используют до 43% группировок. Активное применение генеративного ИИ повышает качество социальной инженерии и масштаб кампаний: то, на что раньше нужна была команда хакеров, теперь генерируется в потоке.
Наиболее популярный способ запуска вредоносного кода — техника T1059 (Command and Scripting Interpreter): ее используют до 42% группировок. PowerShell, CMD, Bash, Python — все это уже есть в системе, выглядит как легитимная активность и минимизирует необходимость доставки отдельных исполняемых файлов.
Для обхода систем защиты до 38% группировок прибегают к технике T1027 (Obfuscated Files or Information). Обфускация снижает качество обнаружения как сигнатурными, так и поведенческими методами, позволяет переиспользовать один и тот же код в разных кампаниях и сильно усложняет атрибуцию.
В арсенале рассматриваемых группировок наблюдается много техник закрепления в сети жертвы, особенно в Европе и Южной Азии. Это объясняется высоким уровнем цифровизации различных отраслей в этих регионах и разнообразием цифровой инфраструктуры.
В СНГ, Европе и Африке прослеживается тренд на использование аутентификационных данных (T1555, T1003). Это связано с высоким уровнем шпионажа как мотивации атакующих групп.
Применение уникальных техник — T1123 (Audio Capture), T1070 (Indicator Removal), T1113 (Screen Capture), T1056.001 (Keylogging) — наблюдается во всех исследуемых регионах. Хакеры используют их не только для шпионажа, но и для последующей генерации фейковых изображений и звуковых дорожек при помощи ИИ.
Куда все движется: прогнозы на 2026 год
ИИ как мультипликатор атак. По нашим прогнозам, ИИ потенциально применим во всех тактиках матрицы MITRE ATT&CK и в 59% ее техник. Пока его используют точечно (фишинговые письма, генерация документов, дипфейки), но тенденция к росту очевидна.
Стратегические многоэтапные атаки. Группировки все чаще сначала создают «плацдармы» в нескольких атакованных организациях, а затем активируют заранее размещенное там ВПО. Это меняет временной горизонт атаки — от часов до месяцев.
Рост киберпреступных групп по найму. Ожидается увеличение числа группировок, предлагающих услуги проведения кибератак — с идеологическим нарративом в качестве обертки.
Цифровая изоляция как ответная мера. Наиболее атакуемые государства, вероятно, будут усиливать цифровую изоляцию критически важных систем — прежде всего КИИ.
Информационно-психологические операции. Продолжение геополитических конфликтов будет стимулировать государства использовать методы информационной войны, вовлекать в это прогосударственные группы и аффилированных хактивистов.
С подробным отчетом можно ознакомиться на сайте.
