Группа киберразведки Экспертного центра безопасности (PT ESC) представила обзор кибератак за III квартал 2025 года ✍️

В отчете рассмотрены хакерские атаки на инфраструктуры российских организаций и типовые цепочки группировок — от первоначального доступа до закрепления.

🙅‍♂ За период отмечена активность таких групп, как PseudoGamaredon, TA Tolik, XDSpy, PhantomCore, Rare Werewolf, Goffee, IAmTheKing, Telemancon, DarkWatchman и Black Owl.

✉ Фишинговые кампании шли непрерывно и маскировались под деловую переписку. Использовались:

• Запароленные архивы с LNK-, SCR-, COM-загрузчиками и документами-приманками; fake-CAPTCHA c запуском PowerShell.

• RMM и удаленный доступ (UltraVNC, AnyDesk), REST-C2 и многоступенчатые загрузчики.

• Редирект-логика: прошел проверку — скачивается полезная нагрузка; не прошел — происходит переадресация на заглушку легитимного сервиса.

• Zero-day-уязвимости: эксплуатация CVE-2025-8088 группировкой Goffee.

Полный отчет — на нашем сайте.