Кибершпионы стали в два раза чаще атаковать инженерные предприятия

Однако госсектор по‑прежнему остается для таких группировок целью номер один

11 февраля 2026 г.

По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, значительно выросла. В 2025 году этот показатель составил 37%, тогда как в 2024 году — только 21%. Таким образом, с целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.

Увеличение доли шпионских атак почти в полтора раза стало одним из самых ярких трендов киберландшафта 2025 года, которые мы обобщили в нашем исследовании Threat Zone 2026. Мы наблюдаем за активностью более чем 100 кластеров, нацеленных на Россию и другие страны СНГ, и почти половина (45%) из них — это именно шпионские группировки. Хотя их основной целью по‑прежнему остаются органы государственного управления (27% атак), кибершпионы стали значительно чаще интересоваться научно‑техническими и инженерными разработками. Доля атак шпионских кластеров на предприятия, связанные с НИОКР, выросла с 7% до 14%.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Кибершпионские кластеры существенно различаются как по уровню технической подготовки, так и по степени понимания особенностей атакуемых стран. В ряде случаев сложность используемых техник не сопровождается знанием специфики официальной переписки, что приводит к низкому качеству фишинговых сообщений; в других — напротив, технически простые атаки компенсируются хорошей адаптацией под локальный контекст, в частности, очень правдоподобным фишингом. Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно‑исследовательское и производственное предприятие оборонно‑промышленного комплекса РФ. Злоумышленники отправили в организацию фишинговое письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования от лица сотрудника другой организации — научно‑производственного центра беспилотных систем.

Интересно, что во вложении к письму не было вредоносных программ в классическом понимании — только легитимные инструменты, которые злоумышленники использовали в своих целях: AnyDesk (для удаленного управления компьютером жертвы), 4t Tray Minimizer (программа для скрытия окон, чтобы сделать действия атакующих незаметными для пользователя), а также утилита Blat (с ее помощью атакующие скрыто отправляли себе письма с похищенными данными). Такой подход преступники выбрали, чтобы сделать свою активность менее заметной для служб безопасности.

Помимо легитимных программ, практически все шпионские кластеры активно используют ВПО собственной разработки. Использование новых самописных программ позволяет злоумышленникам эффективнее обходить средства защиты и дольше оставаться в инфраструктуре незамеченными.

Кроме того, кластеры, нацеленные на шпионаж, как правило, не ограничены в бюджете и могут позволить себе приобретение дорогостоящих эксплоитов, включая 0‑day. Ранее специалисты BI.ZONE фиксировали атаки группировки Paper Werewolf, для которых злоумышленники предположительно приобрели на одном из теневых форумов за 80 000 долларов эксплоит к уязвимости в WinRAR.