«Киберпартизаны» и «Могваи». Кто на самом деле атаковал Россию в 2025 году

Команда Solar 4RAYS опубликовала итоговый отчёт за 2025 год по расследованиям киберинцидентов в российских организациях. Картина получилась неожиданно сложной: число атакованных отраслей сократилось вдвое, зато сами атаки стали изощрённее, продолжительнее и всё чаще направлены на тихое многомесячное присутствие в чужой инфраструктуре.

Общее количество расследованных инцидентов осталось на уровне 2024 года, однако за внешней стабильностью скрываются серьёзные структурные изменения. Хакеры атаковали компании из десяти отраслей вместо прежних 19 - в фокусе оказались госорганы, промышленность, IT, здравоохранение и энергетика. Последняя попала под прицел профессиональных взломщиков впервые за всё время наблюдений: интерес к российской энергетике объясняется геополитической напряжённостью и активностью группировок, работающих в интересах иностранных государств.

Главной целью атак в 60% случаев стал шпионаж - кража конфиденциальных данных. Хактивизм, напротив, пошёл на убыль: доля политически мотивированных взломов упала с 19% до 16%, хотя под конец года серия громких акций немного выправила статистику. Злоумышленники явно предпочитают скрытность публичности.

Особенно показательна динамика продолжительности атак. Доля инцидентов, длившихся от полугода до года, выросла сразу на 14 процентных пунктов и составила 22%. Каждая пятая атака - это месяцы незаметного присутствия в сети жертвы.

Радикально изменился и способ первоначального проникновения. Если раньше хакеры чаще всего ломились через уязвимости в веб-приложениях или использовали похищенные пароли, то в 2025 году резко - с 6% до 24% - выросла доля атак через подрядчиков. Злоумышленники намеренно ищут компании, имеющие сетевой доступ к крупным целям, взламывают их и уже оттуда проникают туда, куда нужно. IT-компании стали особенно привлекательной точкой входа именно потому, что обслуживают других.

Атаки через подрядчиков нередко оборачиваются настоящим детективом. В одном из расследованных инцидентов злоумышленники захватили учётную запись сотрудника подрядчика и через неё проникли в инфраструктуру заказчика. Команда Solar 4RAYS потребовала заблокировать скомпрометированный аккаунт - заказчик выполнил рекомендацию, однако сам подрядчик отказался предоставить доступ к своим системам, настаивая на том, что со стороны компрометации быть не может. Через две недели заказчик самостоятельно разблокировал учётную запись, предварительно сменив пароль. Ровно через 24 часа нелегитимный вход повторился. Только тогда удалось добиться доступа к системам подрядчика - и подтвердить факт компрометации. В придачу на машинах подрядчика обнаружились файлы с паролями в открытом виде.

Эксперты зафиксировали и резкий рост числа активных группировок: в 2025 году Solar 4RAYS отследили следы деятельности 18 хакерских объединений против восьми годом ранее. Семь из них оказались ранее неизвестными. Среди заметных новичков - NGC5081, применяющая написанный на Rust бэкдор IDFKA и тщательно маскирующаяся под легитимные процессы и подрядчиков жертвы. Также впервые в России были зафиксированы атаки Snowy Mogwai (UNC5174) - группировки восточноазиатского происхождения, специализирующейся на шпионаже против телеком-компаний и госструктур.

Отдельного внимания заслуживает группировка Partisan Zmiy, известная также как «Киберпартизаны». Сформированная в 2020 году гражданами Беларуси, она долго атаковала местные госструктуры и СМИ, а с 2022 года переключилась на Россию. Несмотря на хактивистский имидж, аналитики Solar 4RAYS классифицируют «Киберпартизанов» как полноценную APT-группировку со шпионскими целями. Самый громкий приписываемый им инцидент 2025 года - летняя атака на инфраструктуру «Аэрофлота».

Проукраинские группировки в целом заметно снизили активность: доля расследованных инцидентов, связанных с ними, рухнула с 70% до 24,6%. Shedding Zmiy, ещё недавно отвечавшая за 37% всех инцидентов, теперь фигурирует лишь в 7% случаев - вероятно, группировка обновляет арсенал перед новым витком активности.

Среди технических приёмов, которые всё чаще берут на вооружение злоумышленники, эксперты выделяют закрепление через легитимные сервисы. В одном из инцидентов хакеры модифицировали скрипт запуска GitLab так, что при каждом старте платформы вместе с ней автоматически поднималось и вредоносное ПО. В другом случае взломщики создали бэкдор прямо внутри базы данных PostgreSQL веб-приложения TrueConf - через специальный триггер злоумышленники выполняли произвольные SQL-запросы и сохраняли файлы прямо на сервере.

На 2026 год аналитики Solar 4RAYS прогнозируют сохранение высокого уровня шпионажа против стратегически важных отраслей, рост атак с использованием программ-вымогателей по модели «вымогательство как услуга» и первые заметные следы применения искусственного интеллекта при подготовке и проведении целевых взломов.