В первом квартале 2026 года 42% кибератак совершалось с целью шпионажа

Наши специалисты фиксируют повышенную активность группировок, ориентированных на шпионаж

30 апреля 2026 г.

С января по март 2025 года на шпионаж пришлось 38% зафиксированных целевых атак. По данным исследования Threat Zone 2026, за весь 2025 год этот показатель составил 37%. В текущем году он сохраняется на высоком уровне: в первые три месяца доля шпионских кибератак выросла до 42%.

Для таких злоумышленников характерно длительное скрытое присутствие в инфраструктуре. С их деятельностью специалисты BI.ZONE Compromise Assessment связывают более 60% всех выявляемых случаев скрытой компрометации. Примечательно, что кибершпионы часто экспериментируют с инструментами и разрабатывают свое вредоносное ПО, чтобы увеличить шансы на успешную атаку.

Например, с марта по апрель 2026 года команда BI.ZONE Threat Intelligence зафиксировала повышенную активность кластера Paper Werewolf. Для атак злоумышленники использовали новые самописные инструменты.

Paper Werewolf активно экспериментирует с цепочками атак, используя фишинговые PDF‑документы, установщики и различные загрузчики для доставки вредоносной нагрузки. Кластер обладает высоким уровнем подготовки и технической зрелости: атакующие продолжают разработку собственных имплантов для фреймворка постэксплуатации Mythic. Кроме того, они создали собственный стилер PaperGrabber, который позволяет собирать данные из Telegram, файлы с локальных, сетевых и съемных дисков, а также красть учетные данные из браузеров.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Одна из фишинговых кампаний была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удаленного доступа EchoGather. ВПО позволяло атакующим собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на C2‑сервер, а также выполнять команды. Весь процесс атакующие замаскировали под установку Adobe Acrobat Reader.

Летом 2025 года та же группировка Paper Werewolf использовала для атак уязвимости в WinRAR. К фишинговым письмам прилагались RAR‑архивы якобы с важными документами, а на самом деле — с вредоносным ПО. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать ВПО на скомпрометированное устройство незаметно для жертвы. Тогда целями атак стали организации из России и Узбекистана.

Чтобы защитить организацию от кибератак, важно знать, какие методы и инструменты применяют злоумышленники. Подробную информацию об этом предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Здесь пользователи могут найти свежие и подробные данные об актуальных угрозах, злоумышленниках, их тактиках, техниках, инструментах и эксплуатируемых уязвимостях.