Эксперты подтвердили устойчивый интерес киберпреступников к госструктурам и промышленности РФ в 2025 году

Специалисты Центра компетенций по сетевой безопасности компании «Гарда» проанализировали активность продвинутых угроз (APT-группировок) в 2025 году, обобщив данные публичных отчетов. Результаты свидетельствуют о сохраняющейся высокой частоте целенаправленных атак на российские организации. Основной интерес киберпреступников фокусируется на государственном и промышленном секторах экономики, включая энергетику и оборонный комплекс.

Первостепенными целями злоумышленников выступают сбор стратегической конфиденциальной информации и потенциальное нарушение работы критически важной инфраструктуры. Тактика атакующих становится все более изощренной, методичной и ориентированной на максимальную скрытность. Наиболее распространенным вектором первоначального проникновения без исключений остается фишинг. Содержание подобных писем тщательно адаптируется под специфику деятельности и должностные обязанности потенциальной жертвы (фото: ru.freepik.com).

После компрометации системы злоумышленники укрепляют свое присутствие, используя как стандартные инструменты удаленного администрирования, так и специализированные фреймворки. Для доставки вредоносного кода широко применяется маскировка под легитимные документы или служебные программы. Дальнейшее развитие атаки включает разведку внутренней сети и горизонтальное перемещение между системами с помощью протоколов RDP и SMB, часто с использованием похищенных учетных данных. Управление осуществляется через скрытую командную инфраструктуру, чей трафик маскируется под легальный, например, с использованием HTTPS, WebSocket или туннелирования через популярные облачные сервисы.

Среди наиболее активных группировок, нацеленных на российский сегмент, эксперты выделяют Awaken Likho, Angry Likho, GOFFEE, XDSpy, Rezet, Cloud Atlas и YoroTrooper. Их инструментарий постоянно эволюционирует и сочетает в себе кастомные разработки с адаптированными легитимными утилитами для удаленного доступа, туннелирования и хищения данных.

Тенденцией года стала возросшая имитация легитимной административной активности, что существенно осложняет традиционные методы обнаружения. В подобных условиях для эффективного противодействия, помимо мониторинга событий безопасности, критически важно задействовать актуальные источники разведки об угрозах. Такой контекст позволяет учитывать специфические методики известных группировок, ускоряя выявление подозрительных действий и сокращая общее время на реагирование на инциденты информационной безопасности. Александр Степанов