Дисклеймер: Материал носит исключительно ознакомительный характер и направлен на информирование организаций о современных киберугрозах и практиках тестирования на проникновение. Его цель — повышение осведомлённости и активности компаний в области информационной безопасности, развитие культуры киберустойчивости и повышение надёжности бизнес-процессов.
Если раньше цифровая угроза ассоциировалась с вирусами и вымогателями, то сегодня внимание смещается к куда более тонкой и опасной категории – кибершпионажу. Он не шумит, не разрушает инфраструктуру, а терпеливо наблюдает. Цель — не разовая выгода, а долгосрочный контроль над информационными потоками и технологическими решениями. По данным Отчёт Code Red 2026 от Positive Technologies – «Актуальные киберугрозы для российских организаций», на долю успешных атак со стороны кибершпионов пришлось 22% всех инцидентов в России. Это атаки другого уровня зрелости — с глубокой разведкой, выверенной инженерией и высоким уровнем технической культуры.
Стратегия тени
Кибершпионские группировки работают не ради финансового выкупа, а ради знания — самого ценного ресурса XXI века. Их интерес представляют документы, технические чертежи, коммерческие расчёты, а также сведения о партнёрах и клиентах. С 2024 по 2025 год чаще всего жертвами становились промышленные предприятия (21%), государственные учреждения (16%) и организации оборонного комплекса (13%). Это — не случайность. Эти сегменты концентрируют критически важные данные: от массивов персональной информации до результатов научно-технических разработок. Контроль над ними открывает возможность для стратегического мониторинга, влияния и последующих операций.
Техника тишины
Типичная операция кибершпионажа длится недели или месяцы. Она не оставляет следов, не вызывает тревоги, и лишь косвенные признаки указывают на присутствие злоумышленника. Характерный пример — кейс из практики команды Incident Response экспертного центра безопасности Positive Technologies (PT ESC IR). Злоумышленники скомпрометировали сетевые маршрутизаторы Cisco, воспользовавшись ошибкой в настройке протокола SNMPv2 (Simple Network Management Protocol — протокол простой сетевой службы управления). Доступ «чтение-запись» был разрешён для всех, что дало преступникам возможность создавать туннели трафика (GRE — Generic Routing Encapsulation), проводить разведку инфраструктуры и удалять следы активности с помощью EEM-апплетов (Embedded Event Manager). В течение 84 дней часть сетевого трафика организации находилась под их контролем. Утекло не менее 15 гигабайт данных, включая трафик почтовых протоколов SMTP, POP3 и IMAP. Анализ показал: это была не попытка шантажа, а операция наблюдения — чистой воды кибершпионаж.
Кто стоит за атаками
Во второй половине 2024 и в первых трёх кварталах 2025 года специалисты зафиксировали активность 22 кибершпионских группировок, действующих против российских организаций. 82% атак сопровождались фишингом (phishing — рассылка писем с вредоносными вложениями) и социальной инженерией, направленной на конкретных сотрудников с доступом к важным данным. 86% – с использованием вредоносного программного обеспечения собственной разработки, а 61% – с установкой инструментов удалённого управления. Среди наиболее активных групп – ExCobalt, Rare Werewolf, GOFFEE, PhaseShifters, PseudoGamaredon, Cloud Atlas и PhantomCore. Появились и новые – Telemancon, TA Tolik, Mythic Likho, FakeTicketer, Team46.
ExCobalt: от финансов к шпионажу
Эта группировка известна с 2016 года. Начав как финансово мотивированная (тогда под именем Cobalt), она трансформировалась в шпионскую структуру. В 2024–2025 годах команда PT ESC расследовала более десяти инцидентов, связанных с её атаками. ExCobalt использует эксплойты DeadPotato, CoercedPotato, GodPotato, а также легитимные инструменты администрирования Radmin и PsExec — что делает её особенно незаметной. Отдельная находка экспертов — модификация системного скрипта flogon. js, позволившая похищать учётные данные с сервера Microsoft Exchange. Злоумышленники получили около 650 корпоративных логинов и паролей, а на заключительном этапе развернули шифровальщики LockBit и Babuk, маскируя шпионаж под финансовую атаку.
Rare Werewolf и GOFFEE: имитация доверия
Rare Werewolf в 2025 году активно рассылала фишинговые письма с архивами, замаскированными под документы российских компаний. В одном из эпизодов группа использовала домен, схожий с адресом крупного оборонного концерна, что позволило обойти фильтры и вызвать доверие у получателей. А GOFFEE пошла дальше — использовала фреймворк Gophish (платформа для тренировки кибербезопасности) в реальных атаках. Преступники покупали эксплойты нулевого дня (Zero-Day Exploit – уязвимости, не известные производителю) за десятки тысяч долларов, что говорит о профессионализации и окупаемости шпионских операций.
Новые игроки тени
Появление группировок Telemancon и TA Tolik демонстрирует сдвиг: вектор атак смещается на промышленные объекты и мессенджеры. Telemancon использует самописные инструменты с техникой обфускации на основе виртуальной машины (VM-based obfuscation), усложняющей анализ кода, а TA Tolik распространяет вредоносное ПО Unicorn через Telegram, что подтверждает прогноз о росте атак через мессенджеры.
Новый рубеж – оборонно-промышленный комплекс
Особое внимание злоумышленников приковано к оборонно-промышленному комплексу (ОПК). В 2024 году государственная программа его развития была продлена до 2034 года, а в 2025-м появились приоритеты господдержки проектов с элементами искусственного интеллекта. Каждый новый подрядчик, каждая компания, участвующая в цепочке поставок, создаёт потенциальное окно уязвимости. Но вместе с этим — и новый уровень цифровой зрелости. Отрасль активно внедряет системы мониторинга, Zero Trust-архитектуры (архитектура нулевого доверия) и сегментацию сетей. Россия постепенно превращает оборону от атак в источник развития собственных технологий кибербезопасности.
Материал подготовлен:
- доцентом Кафедры бизнес-информатики Финансового университета при Правительстве Российской Федерации, к.э.н. Зубовым Ярославом Олеговичем,
- и заместителем заведующего Кафедрой бизнес-информатики Финансового университета при Правительстве Российской Федерации Сергеевым Степаном Алексеевичем.
