Эксперты Positive Technologies сообщили о сближении хактивистских групп и APT-структур. По оценке компании, в 2025 году часть идеологически мотивированных участников все чаще действует в интересах государств и связанных с ними организаций. Аналитики считают, что дальнейшее развитие такой кооперации может привести к появлению на теневом рынке модели хактивизм как услуга.
APT-группировки обычно связывают с целевыми атаками, высоким уровнем подготовки и длительным скрытым присутствием в инфраструктуре жертвы. По данным Positive Technologies, в 2025 году под такое описание все чаще подпадали и хактивисты, чья активность вышла за пределы цифровых протестов.
В компании заявили, что хактивисты нередко стали работать как прокси для прогосударственных группировок либо участвовать в атаках совместно с ними или по их указанию. При работе по найму такие участники, как отмечают аналитики, развивают собственный инструментарий и повышают квалификацию, сохраняя внешнюю самостоятельность. На фоне такой трансформации атаки становятся сложнее с технической точки зрения, а масштаб целей растет.
По данным Positive Technologies, в 2025 году Европа стала основным регионом активности хактивистов: на регион пришлось 65% таких групп. На смену DDoS-атакам и дефейсам сайтов, которые раньше часто использовались для публичного эффекта, все чаще приходят операции с длительным скрытым присутствием в сетях, саботажем инфраструктуры и кражей критически важных данных.
В качестве примера аналитики привели действия прогосударственных группировок, которые в 2025 году похитили криптовалюту примерно на $2 млрд. По данным источника, показатель оказался на 51% выше уровня предыдущего года. Одновременно злоумышленники получили крупные массивы информации о клиентах криптобирж и их персональные данные.
Чаще всего под атаки, по данным исследования, попадали отрасли, связанные с критически важными системами государств. На госучреждения пришлось 22% зафиксированных случаев, на промышленные организации 16%, на оборонные предприятия 10%, на финансовые компании еще 10%.
Отдельно Positive Technologies упомянула атаки группировки Lazarus. По данным источников, злоумышленники отправляли сотрудникам компаний письма с поддельными предложениями о работе, внутри которых находилось вредоносное программное обеспечение. После заражения инфраструктуры атакующие похищали секретные технические сведения о производственных процессах, что, как отмечается в исследовании, затронуло военную безопасность нескольких стран.
Основным способом получения первоначального доступа в корпоративные сети в 2025 году оставался фишинг. По оценке Positive Technologies, метод применяли до 43% отслеживаемых группировок. В компании добавили, что возможности фишинга быстро расширяются за счет инструментов искусственного интеллекта. В качестве примера аналитики указали группу BlueNoroff, которая, по данным источника, использовала дипфейки во время видеозвонков, выдавая мошенников за руководителей криптопроектов и убеждая собеседников установить обновление с вредоносным ПО.
По словам старшего аналитика Positive Technologies Артема Белея, в 2025 году наибольшую концентрацию активных группировок зафиксировали на территории СНГ, где 99 классифицировали как APT-группировки, а 24 как хактивистов. В Европе отслеживали деятельность 105 групп, причем почти две трети составляли хактивисты, что вывело регион на первое место в мире по их доле. В Латинской и Северной Америке активность проявили 99 группировок, преимущественно с финансовой мотивацией.