Хакеры нашли 50000 способов сломать ваш компьютер, но в итоге им стало просто лень. Вот как атакующие и аналитики провели 2025 год

Почти 50 тысяч новых уязвимостей за год, десятки тысяч опубликованных эксплойтов и при этом лишь 1% реально использовали в атаках. Такой парадоксальный итог 2025 года следует из свежего отчёта компании VulnCheck об эксплуатации уязвимостей.

За прошлый год зарегистрировали 48 174 новых записи CVE, из них 83% получили идентификатор 2025 года. Почти у каждой четвёртой уязвимости с индексом 2025 появился публичный код для эксплуатации. Однако в реальных атаках применили только 1% таких ошибок. Шум вокруг уязвимостей растёт, а доля по-настоящему опасных остаётся минимальной.

При этом злоумышленники действуют быстрее. Почти 29% уязвимостей, которые добавили в список уже эксплуатируемых, начали использовать либо в день публикации CVE, либо раньше. За год специалисты VulnCheck зафиксировали 884 уязвимости с подтверждённой эксплуатацией и включили их в собственную базу известных эксплуатируемых уязвимостей. Почти половина таких случаев получила идентификаторы именно 2025 года.

Отдельный тренд года – всплеск количества эксплойтов. В 2025 году появилось более 14 400 эксплойтов для уязвимостей с идентификаторами того же года. Рост по сравнению с 2024 составил 16,5%. При этом 99% такого кода доступно публично, а по-настоящему «боевые» версии, пригодные для массовых атак, встречаются значительно реже. Более 98% опубликованных материалов представляют собой демонстрационный код.

Самой заметной уязвимостью года стала CVE-2025-55182, получившая неофициальное название React2Shell. Ошибка в компоненте React Server Components позволяла удалённо выполнять код. Всего за несколько недель после публикации появилось 236 рабочих публичных эксплойтов – рекорд за всю историю наблюдений. Уязвимость активно использовали группировки, связанные с Китаем, КНДР и Ираном, а также операторы программ-вымогателей и ботнетов. По данным отчёта, датчики VulnCheck зафиксировали более 26 000 попыток эксплуатации к концу января 2026 года.

Вторым крупным эпизодом стал так называемый ToolShell – цепочка из четырёх уязвимостей в Microsoft SharePoint. Первые исправления оказались неполными, злоумышленники начали атаки ещё до выхода окончательных патчей. К концу года каждую из этих уязвимостей связывали с десятками атакующих групп и несколькими семействами программ-вымогателей.

В сегменте программ-вымогателей число новых уязвимостей, использованных в атаках, снизилось на 25% по сравнению с предыдущим годом. Однако статистика скрывает тревожную деталь: 56,4% уязвимостей 2025 года, связанных с вымогателями, обнаружили уже после атак нулевого дня. Треть таких уязвимостей до сих пор не имеет ни публичных, ни коммерческих эксплойтов.

Авторы отчёта также обращают внимание на рост количества «пустых» эксплойтов, сгенерированных с помощью систем искусственного интеллекта. На популярных площадках размещают репозитории, которые имитируют рабочий код, но фактически не используют уязвимость. Такие публикации вводят в заблуждение аналитиков и автоматические системы, которые собирают данные об угрозах, и создают дополнительный информационный шум.

География атак тоже изменилась. Количество уязвимостей, связанных с именованными государственными группировками, сократилось на 13%. При этом число атрибуций в адрес китайских групп выросло на 52%, а доля неатрибутированных атак заметно снизилась. Всего в 2025 году специалисты насчитали 62 активные группы, которые эксплуатировали уязвимости с идентификаторами того же года.

Отчёт показывает простую, но неприятную картину. Большинство уязвимостей так и остаются теоретической угрозой, однако небольшой процент ошибок превращается в инструмент массовых атак буквально за дни. На фоне лавины CVE и псевдоэксплойтов главной проблемой становится не отсутствие данных, а умение отделить реальную угрозу от информационного шума.