От DDoS до саботажа КИИ: как хактивисты превратились в APT-угрозу

Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок. 

Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование ^[1]. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год. 

Новый ландшафт: когда смешались хактивизм, APT и киберкриминал 

Главным трендом 2025 года стало не использование новых эксплойтов или инструментов атаки, а стирание границ между категориями злоумышленников и появление на глобальном теневом рынке так называемого хактивизма по найму.

Еще некоторое время назад хактивистские группы ограничивались громкими заявлениями о себе с помощью DDoS-атак и дефейса сайтов. Сегодня мы видим трансформацию их активности: хактивисты теперь часто выступают в качестве прокси, участвуют в кибератаках совместно с прогосударственными группировками или по их указанию. В случае выполнения услуг по найму хактивисты стремятся нарастить личный инструментарий и уровень подготовки, сохраняя видимую автономность. В результате их атаки становятся технически сложнее, а цели — масштабнее.

Интересно, что часть APT-группировок начала публиковать украденные данные, используя их не ради выкупа, а для нанесения репутационного ущерба жертве. Все это говорит о том, что мотивация ^[2] прогосударственных атакующих также изменилась и теперь выходит за рамки классического кибершпионажа. 

Кроме того, ранее не преследовавшие финансовой выгоды хакеры теперь взламывают инфраструктуру для кражи криптовалюты, вымогательства, продажи доступов на подпольных форумах и даже для саботажа производственных систем. Так, к примеру, CyberVolk параллельно действует ^[3] и как идеологическое сообщество, и как финансово мотивированная преступная структура, требующая выкуп за расшифровку данных.

Такое сближение хакерских тактик и интересов создает более непредсказуемую и сложную угрозу: теперь организациям важно отслеживать не только технические векторы атаки, но и их социально-политический контекст. К тому же встает вопрос, к какой категории угроз относить хактивистов, действующих на уровне APT-группировок или как прокси прогосударственных групп.

Мотивация: от шпионажа до саботажа

Мотивация ^[4] APT-группировок и хактивистов в 2025 году распределялась по трем основным направлениям:

• Утечки данных и шпионаж. Кража секретной информации — ключевая мотивация ^[5] многих кампаний. За 2025 год произошел ряд громких утечек в результате целевых взломов. Например, утечки, связанные со шпионской кампанией ^[6] группы Cloaked Shadow, которая коснулась нескольких предприятий ОПК в России.

• Саботаж и вывод систем из строя. В 2025 году участились деструктивные кибератаки на важные объекты. Например, APT33 и родственные ей MuddyWater, OilRig и другие связаны ^[7] с серией атак, включающих попытки доступа к КИИ. Ущерб от подобных диверсий выражается не только в финансовых потерях (простой предприятий, ремонт оборудования), но и в подрыве доверия к безопасности целых отраслей.

• Финансовые хищения и вымогательство. Многие группировки преследуют несколько целей в рамках одной атаки. Наиболее яркий пример — прогосударственные группировки, активно действующие в азиатском регионе. Так, в 2025 году в результате хакерских атак был похищен ^[8] рекордный объем криптовалюты на сумму около 2 млрд $, что на 51% больше, чем годом ранее.

Цели атак: отрасли и страны

Из-за преобладания политических мотивов атак особый интерес ^[9] для хактивистов и APT-группировок представляли те отрасли, в которых находится больше всего объектов КИИ: государственные учреждения, промышленность, оборонные предприятия и финансовый сектор.

Прогосударственные группы теперь также нацелены на торговые сети, объекты спорта и туризма, компании из сферы услуг. Участились атаки на объекты здравоохранения и образовательные организации. Под прицелом находятся и различные форумы, спортивные соревнования и другие крупные события. В этих случаях саботаж приводит к ущербу международной репутации принимающей стороны. 

Традиционно самыми атакуемыми странами за рассматриваемый период стали США, Россия и Китай. При этом на СНГ пришлось наибольшее число атак. Что касается атак именно хактивистов — больше всего пострадала Европа. 

Интересные кейсы года

Lazarus: операция Dream Job в новом исполнении   

В октябре 2025 года Lazarus Group атаковала ^[10] как минимум три европейские компании — производителей беспилотников и оборонных комплектующих. Вектор атаки — письма с предложениями о работе, содержащие зараженные вредоносами документы и ссылки. Похищенная техническая документация напрямую затрагивала военную безоп��сность стран — заказчиков этих компаний.

Уязвимость в SharePoint — урон на четырех континентах

В 2025 году была выявлена кампания ^[11] с эксплуатацией неизвестной ранее уязвимости ToolShell в Microsoft SharePoint. Через корпоративную платформу злоумышленники проникли в сети организаций: пострадали ключевые государственные агентства США и десятки структур в Северной Америке, Европе, Азии и Африке.

UNC3886: шпионаж в виртуальных машинах

В рамках кампании Fire Ant группировка UNC3886 компрометировала системы в виртуальных машинах и размещала бэкдоры внутри корпоративных и инфраструктурных сетей. Это позволяло им сохранять доступ и оставаться незамеченными на протяжении долгого времени. 

BlueNoroff: дипфейк-атака в Zoom

В апреле и мае 2025 года группировка BlueNoroff атаковала ^[12] криптопроект Manta Network через Zoom. Злоумышленники в реальном времени имитировали руководителей проекта с помощью дипфейков и убеждали участников встреч установить «обновление», содержавшее вредоносное ПО.

Техника T1123 (Audio Capture) фигурирует в атаках все большего числа группировок. Перехваченные голосовые данные используются не только для шпионажа, но и для последующего обучения ^[13] ИИ-моделей имитации.

Dire Wolf: шифровальщик как инструмент саботажа

APT-группировка Dire Wolf во второй половине 2025 года применяла шифровальщики принципиально иначе: никакого выкупа в качестве цели — только уничтожение. После проникновения и перемещения внутри периметра злоумышленники шифровали серверы и рабочие станции, целенаправленно удаляли резервные копии и нарушали работу критически важных сервисов.

Длительные простои и финансовый ущерб — сами по себе цель операции. Это меняет модель угрозы: классическая защита от вымогателей «заплати и получи ключ» здесь просто не работает. 

TTPs: что используют атакующие

T1566 (Phishing) ^[14] — главный способ проникновения во всех регионах, который используют до 43% группировок. Активное применение генеративного ИИ повышает качество социальной инженерии и масштаб кампаний: то, на что раньше нужна была команда хакеров, теперь генерируется в потоке.

Наиболее популярный способ запуска вредоносного кода — техника T1059 (Command and Scripting Interpreter) ^[15]: ее используют до 42% группировок. PowerShell, CMD, Bash, Python — все это уже есть в системе, выглядит как легитимная активность и минимизирует необходимость доставки отдельных исполняемых файлов. 

Для обхода систем защиты до 38% группировок прибегают к технике T1027 (Obfuscated Files or Information) ^[16]. Обфускация снижает качество обнаружения как сигнатурными, так и поведенческими методами, позволяет переиспользовать один и тот же код в разных кампаниях и сильно усложняет атрибуцию.

В арсенале рассматриваемых группировок наблюдается много техник закрепления в сети жертвы, особенно в Европе и Южной Азии. Это объясняется высоким уровнем цифровизации различных отраслей в этих регионах и разнообразием цифровой инфраструктуры.

В СНГ, Европе и Африке прослеживается тренд на использование аутентификационных данных (T1555 ^[17], T1003 ^[18]). Это связано с высоким уровнем шпионажа как мотивации атакующих групп.

Применение уникальных техник — T1123 (Audio Capture ^[19]), T1070 (Indicator Removal) ^[20], T1113 (Screen Capture) ^[21], T1056.001 (Keylogging) ^[22] — наблюдается во всех исследуемых регионах. Хакеры используют их не только для шпионажа, но и для последующей генерации фейковых изображений и звуковых дорожек при помощи ИИ.

Куда все движется: прогнозы на 2026 год

ИИ как мультипликатор атак. По нашим прогнозам, ИИ потенциально применим во всех тактиках матрицы MITRE ATT&CK и в 59% ее техник. Пока его используют точечно (фишинговые письма, генерация документов, дипфейки), но тенденция к росту очевидна.

Стратегические многоэтапные атаки. Группировки все чаще сначала создают «плацдармы» в нескольких атакованных организациях, а затем активируют заранее размещенное там ВПО. Это меняет временной горизонт атаки — от часов до месяцев.

Рост киберпреступных групп по найму. Ожидается увеличение числа группировок, предлагающих услуги проведения кибератак — с идеологическим нарративом в качестве обертки.

Цифровая изоляция как ответная мера. Наиболее атакуемые государства, вероятно, будут усиливать цифровую изоляцию критически важных систем — прежде всего КИИ.

Информационно-психологические операции. Продолжение геополитических конфликтов будет стимулировать ^[23] государства использовать методы информационной войны, вовлекать в это прогосударственные группы и аффилированных хактивистов.  

С подробным отчетом можно ознакомиться на сайте ^[1]