Центр компетенций по сетевой безопасности ГК "Гарда" подвел итоги активности APT-группировок за 2025 г. Анализ публичных отчетов подтвердил высокий уровень кибердавления на российские организации и устойчивый интерес злоумышленников к государственному и промышленному сегментам. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры, при этом противники все чаще уходят от шумных техник и действуют скрытно и методично.

Во всех рассмотренных кампаниях отправной точкой компрометации инфраструктуры стал фишинг. Анализ показал, что каждая из выявленных группировок работала против российских государственных учреждений. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. В ряде кампаний злоумышленники комбинировали кражу данных с их последующим уничтожением, а в других - выстраивали долгосрочное присутствие, чтобы выкачивать документы и учетные данные.

Архитектор информационной безопасности UserGate uFactor ООО "Юзергейт" Дмитрий Овчинников объяснил, почему главной целью атакующих стали госсектор, промышленность и энергетика: "В случае успешной атаки экономический ущерб может быть на несколько порядков выше стоимости проведения атаки. Кроме того, для данных отраслей, объекты в которых зачастую являются частью КИИ, нанесенный ущерб может затронуть повседневную жизнь многих тысяч человек. Кроме того, все подобные отрасли имеют большое количество legacy систем. В особенности это касается промышленности и любых АСУ ТП сетей. Сетевые узлы на подобных объектах часто не имеют свежих обновлений безопасности, а значит на них легко проэксплуатировать уязвимость".

Злоумышленники делают ставку на две стратегии: таргетированные рассылки и маскировку вредоносных файлов под легитимные документы и утилиты. Причем контент писем подстраивается под профиль жертвы, повышая тем самым вероятность открытия и запуска нагрузки. После первичного доступа атакующие закрепляются в системе, при этом они опираются на общедоступные инструменты администрирования, средства туннелирования и фреймворки постэксплуатации.

Злоумышленники активно применяют PowerShell-скрипты, задания планировщика, ключи автозапуска в реестре и установку легитимных агентов удаленного управления. Такой подход позволяет сохранить доступ после перезагрузки и не привлекать внимание средств защиты, ориентированных на поиск явного вредоносного кода.

На этапе развития атаки группировки переходят к разведке и боковому перемещению. Они собирают сведения об учетных записях, доменной структуре и сетевых ресурсах, используют инструменты для анализа Active Directory и сетевого сканирования. Для перемещения между узлами применяются штатные протоколы Windows, RDP, SMB и WinRM, а также украденные учетные данные.

"Результаты исследования показывают, что атакующие все чаще маскируют вредоносную активность под штатные процессы и легитимное администрирование. Поэтому так важно не только контролировать все действия в инфраструктуре, но и обогащать системы защиты потоками данных об угрозах, TI-фидами. Они позволяют заранее учитывать тактики, техники и инструменты конкретных группировок, быстрее выявлять подозрительные цепочки событий и сокращать время реакции на инциденты", - отметил руководитель продукта "Гарда Threat Intelligence Feeds" Илья Селезнев.

"В 2026 г. мы ожидаем сохранения высокой активности APT-группировок. В зоне риска по-прежнему будут госсектор, промышленность, энергетика и связанные с ними подрядчики и ИТ-поставщики. Атаки будут становиться более тихими, злоумышленники все чаще будут пытаться использовать легитимные инструменты администрирования, маскируя вредоносную активность под штатные процессы. На этом фоне будет еще больше расти количество инцидентов с длительным скрытым присутствием и поздним обнаружением, и отразятся такие атаки в статистике скорее на дистанции, а не по итогам года или полугодия", - спрогнозировал руководитель отдела технического пресейла ООО "АйТи Таск" (IT Task) Михаил Тимаев.