От кибершпионажа до идеологически мотивированных атак: APT и хактивисты в 2025 году

Глобальная тенденция к цифровизации общества из года в год влияет на рост количества высокотехнологичных кибератак и уровень киберпреступности в целом. Мотивация злоумышленников не ограничивается финансовым заработком, и в условиях протекающих геополитических конфликтов, научно-исследовательского соперничества, а также столкновения экономических интересов различных государств и компаний, активный рост деятельности APT-группировок и хактивистов становится все заметнее. Цели и мотивация таких групп варьируются от финансового обогащения до саботажа или шпионажа в интересах определенных государств.

Задачи исследования:

• Изучить состояние ландшафта киберугроз в мире на 2025 год.
• Выделить характерные для регионов тенденции кибератак.
• Выделить наиболее активные APT-группировки и хактивистов, атакующих регионы.
• Составить тепловые карты техник и тактик, наиболее популярных среди атакующих в регионах.
• Сформировать выводы и предположения о состоянии ландшафта APT-угроз и хактивистов на 2026 год для каждого из регионов.
• Сформировать прогнозы относительно деятельности APT-угроз и хактивистов для каждого из регионов.

Информация об инцидентах и использованных злоумышленниками TTPs формировалась из собственных внутренних источников и открытых материалов. В силу того, что в открытых материалах цепочки атаки часто публикуются не полностью, процент, отображенный в тепловых картах и графиках, может быть ниже реального, однако в пропорциональном отношении отражает реальную ситуацию.

Группировка стран в разделах обусловлена географическим положением или юридически закрепленным участием в определенных экономических и политических союзах. Поэтому, например, в этом исследовании Украина отнесена к Европейскому региону, а Молдавия к СНГ.

Графики в разделах построены по принципу отражения активности киберпреступных группировок во всем регионе, поэтому за основу берется количество атакуемых стран, а не самих атак.

Тактики и техники группировок описаны в терминах MITRE ATT&CK Matrix for Enterprise. В тексте исследования даны ссылки на подробное описание упоминаемых техник, группировок, ВПО или событий.

Исследование выполнено с целью обратить внимание компаний, государственных организаций, а также частных лиц, интересующихся современным состоянием информационной безопасности в области высокотехнологичных киберпреступлений, на наиболее актуальные тактики и техники APT-группировок и их цели в различных регионах. Термины, которые мы использовали в исследовании, приведены в глоссарии на сайте Positive Technologies.

Субъекты исследования:

Основным трендом прошлого года стало не использование новых инструментов или техник, а стирание границ между привычными категориями злоумышленников. Некоторые хактивистские группировки в силу изменения своей мотивации и целеполагания стали подпадать под определение APT-групп. Многие такие группы начали совершать атаки в поддержку действий определенных государств, цели стали крупнее, атаки сложнее, а масштаб последствий перешел от классических DDoS и дефейсов к реальному саботажу или шпионажу. Хактивистские группировки либо пришли к политическому хактивизму, который спонсируется государством и курируется им (хактивизм по найму), либо действуют самостоятельно, выбирая соответствующие цели (государственные органы, промышленность и т. д.).

Также случаются атаки в координации с прогосударственными группировками, когда хактивисты и прогосударственная APT-группировка объединяют силы. Все эти изменения приводят к тому, что определенные группы хактивистов достигают уровня, близкого к APT-группировкам, а их цели и мотивация и вовсе им соответствует. Примером может служить активность хактивистской группировки UCА, которая в ходе своей деятельности стала кооперироваться с прогосударственными группами и атаковать КИИ в России.

Исходя из вышесказанного, в этом исследовании в общую статистику атак были включены политические хактивистские группы, которые проводили сложные атаки или нанесли серьезный уровень ущерба, связаны с прогосударственными группами или действовали в геополитических и военных интересах каких-либо государств.

Стоит отметить, что, хотя некоторые группы хактивистов включены в статистику групп, не все инциденты с участием таких групп были включены в статистику по инцидентам или атакам на отдельные отрасли. Для формирования графиков были использованы только те инциденты, которые подходили под описание APT-атак.

В 2025 году деятельность группировок, осуществляющих атаки типа advanced persistent threat (APT-атаки), продолжает оставаться значительной угрозой для государств и организаций по всему миру. Исходя из общепринятого определения APT-атак, можно сделать вывод, что если группа соответствует указанным критериям, а именно совершает спланированные целевые атаки, отличается высоким уровнем квалификации, а также действует относительно длительное время (является постоянной угрозой), то ее можно отнести к APT-группировкам.

К APT-группировкам могут быть отнесены:

• прогосударственные группировки;
• негосударственные организованные группировки (e-crime и коммерческий шпионаж, без владельцев RaaS и операторов программ-вымогателей).

Эти высококвалифицированные группы обычно нацелены на разведывательную деятельность, промышленный шпионаж, саботаж, поддержку специальных операций и других подобных действий. На фоне продолжающегося роста использования злоумышленниками программ-вымогателей, а также протекающих политических и социально-экономических конфликтов по всему миру возникает все больше новых финансово-мотивированных киберпреступных групп. Одновременно с этим граница между хактивизмом и прогосударственной киберпреступной деятельностью стирается, таким образом формируя более сложный и обширный ландшафт угроз.

Хотя хактивистские группы изначально и представляет собой объединения, использующие хакерские методы для достижения политических, социальных или идеологических целей, привлечения внимания к проблемам, а не для личной выгоды, сейчас многие из них действуют не как цифровые протестующие, стремясь к широкой огласке своих идей, а являются непосредственными участниками прогосударственных операций или проводят серьезные атаки самостоятельно. Таким образом, помимо APT-группировок, к субъектам исследования добавляются и хактивистские группировки, действия которых подходят под описание атак типа advanced persistent threat и отслеживались в течение 2025 — начала 2026 года.

В 2025 году активность APT-группировок и хактивистов по всему миру показала ряд общих тенденций, но также выделяются и стойкие региональные отличия.

• Политический хактивизм в совокупности с координацией или спонсированием со стороны государств стал значимым феноменом в области проведения кибератак и информационных операций. Хактивисты теперь часто выступают в качестве прокси или участвуют в кибератаках совместно или по указанию прогосударственных группировок.
• В 2025 году пик активности атакующих пришелся на Северную Америку, СНГ и Европу. В качестве целей чаще всего выступали Китай, США, Россия, а также региональные центры экономического и геополитического влияния.
• Основной мотивацией прогосударственных APT-группировок и хактивистов остаются шпионаж и саботаж, при этом многие операции сочетают разведывательные цели с демонстративным разрушением инфраструктуры или данных.
• Юго-Восточная Азия и Тихоокеанский регион продолжают лидировать по разнообразию используемых атакующими техник, тактик и процедур. Группировки, действующие в этой области, демонстрируют высокую адаптивность, активно комбинируя легитимные инструменты, методы обхода защиты и нестандартные TTPs. Это объясняется высоким уровнем развития цифровой инфраструктуры в странах — лидерах региона, а также высоким уровнем навыков самих атакующих.
• Ближний Восток характеризуется фокусом на атаках против критически значимой инфраструктуры, госсектора и стратегических отраслей (энергетика, логистика, телеком). Для региона типичны сценарии кражи данных с их последующим уничтожением или саботажем, а также операции влияния на фоне военных и политических кризисов. Однако в 2025 году атаки были все чаще направлены на частных лиц и социальные объекты.
• Африка и Латинская Америка по-прежнему остаются регионами с высокой активностью финансово мотивированных группировок, однако в 2025 году в них наблюдалась активная деятельность прогосударственных APT, использующих локальные конфликты, политическую нестабильность и слабую защищенность инфраструктуры.
• Европейский регион стал лидером по количеству атакующих его групп хактивистов. В основном это связано с геополитическими разногласиями и массовым медиаэффектом от подобных успешных атак.
• Фишинг — главный способ первичного проникновения (до 43%). Он остается ключевым вектором первичного проникновения во всех регионах. Активное использование генеративного ИИ приводит к росту качества социальной инженерии, персонализации писем и масштабируемости кампаний.
• T1059 (Command and Scripting Interpreter) — наиболее популярный способ запуска вредоносного кода (использовали до 42% группировок). Интерпретаторы (PowerShell, CMD, Bash, Python) уже присутствуют в системах, позволяют выполнять код, легко маскируются под легитимные административные действия и минимизируют необходимость доставки отдельных исполняемых файлов.
• T1027 (Obfuscated Files or Information) — ключевая техника обхода систем защиты (до 38% группировок). Обфускация эффективно снижает детектируемость как сигнатурными, так и поведенческими средствами, позволяет переиспользовать один и тот же вредоносный код в разных кампаниях и значительно усложняет анализ и атрибуцию.
• В арсенале рассматриваемых группировок наблюдается высокое разнообразие техник закрепления, особенно в Европе и Южной Азии. Это объясняется высоким уровнем цифровизации различных отраслей в этих регионах, разнообразием цифровой инфраструктуры и, как следствие, наличием различных способов закрепления в сети жертвы для атакующих.
• В СНГ, Европе и Африке прослеживается упор на использование аутентификационных данных (T1555, T1003). Это связано с высоким уровнем шпионажа как мотивации атакующих групп.
• Применение группами уникальных техник (T1123 (Audio Capture), T1070 (Indicator Removal), T1113 (Screen Capture), T1056.001 (Keylogging) наблюдается во всех исследуемых регионах. Эти техники применяются не только для шпионажа, но и для последующего использования собранных данных для генерации фейковых изображений и звуковых дорожек при помощи ИИ.
• Во всех регионах сохраняется системная проблема защиты аутентификационных данных. Большинство группировок по-прежнему в результате атак успешно извлекают учетные данные из веб-браузеров, конфигурационных файлов, памяти процессов и с помощью кейлоггеров.
• ИИ все активнее используется злоумышленниками и в перспективе увеличит масштаб и эффективность атак.
• В 2026 году ожидается дальнейший рост активности и сложности APT-атак. Ожидаются более масштабные кооперации с группами хактивистов. При этом на фоне геополитической напряженности и активности APT-групп наиболее атакуемые государства могут усиливать цифровую изоляцию, прежде всего в сфере критически значимой инфраструктуры, а прогосударственные группировки будут переходить к более стратегически сложным многоэтапным атакам с предварительным внедрением ВПО и созданием распределенных плацдармов в нескольких организациях.
• Продолжение геополитических конфликтов приведет к росту информационно-психологических операций, проводимых прогосударственными структурами и связанными с ними хактивистами. Прогнозируется увеличение числа киберпреступных групп, работающих «по найму», чему способствует коммерциализация хактивизма и его вовлечение в государственные интересы.

Современный ландшафт киберугроз характеризуется активностью разнородных групп, среди которых значимое место занимают APT-группы и коллективы хактивистов. Их присутствие и деятельность формируют комплексную картину рисков, где ключевыми аналитическими категориями для понимания угрозы являются применяемые методы (TTPs) и мотивация. Этот раздел дает общий обзор этого ландшафта, рассматривая характерные модели поведения и целеполагания указанных группировок.

Последствия атак APT-группировок и политических хактивистов могут быть масштабными, причем ущерб проявляется в разных формах — от крупных утечек конфиденциальных данных до прямого вывода из строя объектов инфраструктуры. Мотивация таких групп может быть разной:

• Утечки данных и шпионаж. Кража секретной информации — ключевая мотивация многих кампаний злоумышленников. За 2025 год произошел ряд громких утечек данных в результате целевых взломов. Например, шпионская кампания группы Cloaked Shadow, которая коснулась нескольких предприятий ОПК в России.
• Саботаж и вывод систем из строя. В 2025 году участились случаи деструктивных кибератак на важные объекты, совершаемых именно хактивистами и APT-группировками. Например, APT33 и родственные ей MuddyWater, OilRig и другие связаны с серией атак, включая попытки доступа к КИИ. Ущерб от подобных диверсий исчисляется не только финансовыми потерями (простой предприятий, ремонт оборудования), но и подрывом доверия к безопасности целых отраслей. Кроме того, появляется каскадный эффект: за простоем энергетики следуют остановки заводов, атаки на очистные станции ведут к гуманитарным катастрофам и так далее.
• Финансовые хищения и вымогательство. Многие группировки преследуют несколько целей в рамках одной атаки. Наиболее яркий пример — прогосударственные группировки активно действующие в Азиатском регионе. В 2025 году одна из них похитила рекордный объем криптовалюты на сумму около 2 млрд $, что на 51% больше, чем годом ранее. При этом они получили огромный объем информации о клиентах бирж и их персональные данные.

В ходе таких атак компании и правительства теряют секретные сведения (личные данные, коммерческую тайну, документы), несут прямые финансовые потери, сталкиваются с простоем критически значимых сервисов и даже риском для жизни людей (в случае атак на больницы, энергетику, транспорт).

Каждый из перечисленных эпизодов иллюстрирует широту угроз от APT и хактивистов: кража военных секретов, нарушение работы критически важных объектов, глобальные кампании взлома и годами продолжающийся шпионаж. Учитывая вышеперечисленные факты, вопрос кибербезопасности выходит на стратегический уровень. Опасность, исходящая от группировок, напрямую затрагивает национальную безопасность, экономику и общество, поэтому инвестиции в системы защиты и противодействия этим угрозам являются обоснованной необходимостью.

Чтобы лучше понять характер и масштаб опасности, рассмотрим несколько конкретных инцидентов 2025 года, связанных с APT-группировками и хактивистами:

• Кража военных технологий. В октябре 2025 года прогосударственная группировка Lazarus Group осуществила целевую операцию против по крайней мере трех европейских компаний (производителей беспилотников и оборонных комплектующих). Хакеры рассылали сотрудникам этих фирм письма с предложениями о работе, содержащие ВПО для удаленного доступа. В результате была похищена секретная техническая информация о дронах и производственных процессах. Эти компании являются подрядчиками оборонных ведомств, поэтому утечка несла угрозу военной безопасности.
• Уязвимость нулевого дня в ПО (США, Европа, Азия). В 2025 году была выявлена кампания, в ходе которой APT-группы эксплуатировали неизвестную ранее уязвимость ToolShell в корпоративной платформе Microsoft SharePoint. Злоумышленники смогли проникнуть в сети организаций на четырех континентах, в том числе в США: пострадали ключевые государственные агентства. В целом были компрометированы десятки структур в Северной Америке, Европе, Азии и Африке.
• Длительный шпионаж и скрытое присутствие. Группа UNC3886 в 2025 году вела продолжительную скрытую кампанию по проникновению и шпионажу внутри корпоративных и инфраструктурных сетей. В рамках атак кампании Fire Ant злоумышленники компрометировали системы в виртуальных машинах и размещали бэкдоры, что позволило им сохранять доступ и собирать данные на протяжении длительного времени, оставаясь незамеченными в сетях жертв.

Деятельность APT-группировок и хактивистов демонстрирует устойчивую тенденцию: атаки на критически значимую информационную инфраструктуру перестали быть разрозненными эпизодами и все чаще носят системный, долгосрочный и стратегический характер. Современные APT-группы и опытные хактивисты действуют скрытно, используют многоэтапные цепочки компрометации, комбинируют кибершпионаж с саботажем и целенаправленно выбирают объекты, отказ которых способен привести к социальным, экономическим и политическим последствиям.

В условиях эскалации геополитической напряженности и роста интереса государственных группировок и хактивистов к КИИ защита становится не только технической, но и стратегической задачей государств.

Исходя из этого, существует необходимость сформулировать ряд ключевых рекомендаций, направленных на повышение устойчивости организаций и государств к сложным целенаправленным кибератакам.

• Во-первых, организациям всех уровней следует пересмотреть традиционный подход к безопасности. Против высококвалифицированных киберпреступников недостаточно базовых подходов к ИБ. Требуется проактивная стратегия киберзащиты и постоянный мониторинг. Эксперты призывают переходить от реактивной обороны к модели киберустойчивости, которая предполагает непрерывное обнаружение угроз, быстрый отклик на инциденты и способность продолжать функционирование даже под атакой.
• Во-вторых, отмечается, что инвестиции в современные технологии кибербезопасности окупаются предотвращением масштабных инцидентов. Не менее важно развивать возможности threat intelligence — систем сбора и анализа данных о потенциальных атаках. По сути, необходимо заблаговременно узнавать о новых тактиках и инструментах APT-групп и хактивистов, отслеживать их активность в даркнете, обмениваться информацией о выявленных индикаторах компрометации. Киберразведка теперь столь же важна, как и технические средства защиты, поскольку позволяет предупреждать атаки на ранних этапах.
• В-третьих, человеческий фактор и подготовка кадров критически значимы. Многие сложные атаки начинаются с простой уловки вроде фишингового письма. Регулярное обучение сотрудников кибергигиене, имитация атак (пентесты, фишинг-симуляции) и создание культуры безопасности внутри организаций помогают закрыть некоторые пробелы в защите. Кроме того, на государственном уровне назрела потребность в подготовке большего числа специалистов по кибербезопасности, способных противостоять высококвалифицированным киберпреступникам.

Масштаб и опасность APT-активности и политического хактивизма диктуют необходимость серьезных инвестиций в кибербезопасность. Расходы на системы мониторинга, аналитическую разведку угроз и обучение сотрудников куда меньше, чем потенциальный ущерб от крупной кибератаки. Прошлый год наглядно продемонстрировал, что без превентивных мер и модернизации защиты организации рискуют столкнуться с утечками данных, остановкой производств и саботажем критически важных служб. Поэтому вложения в киберзащиту — это не опциональная статья бюджета, а залог стабильной работы и безопасности.

Цели атак таких группировок становятся все более разнообразными. Например, многие прогосударственные группы теперь нацелены не только на объекты критически значимой инфраструктуры, но и на другие организации (торговые сети, объекты спорта и туризма, компании сферы услуг) — на первый план выходит геополитическая атрибуция, а не потенциальный ущерб. Кроме того, участились атаки на объекты здравоохранения и образовательные организации, в ряде случаев пострадали даже университеты.

APT-группировки все чаще уделяют внимание различным событиям, форумам, спортивным соревнованиям и ивентам, особенно если они носят политический характер. В этих случаях саботаж приводит к ущербу международной репутации государства — хозяина мероприятия. Зачастую подобный результат и является мотивацией злоумышленников. Примером может служить киберпреступная активность во время Всемирного экономического форума в Давосе в 2025 году. Во время форума фиксировались фишинговые рассылки, атаки на участников, медиа и подрядчиков, а также попытки компрометации цифровых сервисов, направленные на дискредитацию принимающей стороны и подрыв доверия к ее способности обеспечивать безопасность международных мероприятий.

Важно отметить, что подобные атаки зачастую тесно связаны с геополитическими конфликтами и являются элементами кибервойны. Рост напряженности в мире ведет к эскалации кибератак: APT-группы действуют параллельно с традиционными методами давления и иногда в кооперации с политически мотивированными хактивистами. Мотивация атакующих группировок, включая даже традиционно ориентированные на разведку прогосударственные APT-группы, стремительно трансформируется. Их цели теперь выходят далеко за рамки классического кибершпионажа. Все чаще фиксируются случаи, когда даже государственно аффилированные группировки выкладывают на форумы украденные базы данных с целью нанесения репутационного ущерба жертве — как в случае атак на медиа, политические партии или промышленные компании. Геополитическая напряженность сказалась и на хактивистском сообществе. Группы, которые ранее действовали сугубо из идеологических побуждений, все чаще становятся инструментами информационно-психологических операций, управляемых или координируемых более опытными прогосударственными APT-группами. Примером может служить деятельность группировки Void Manticore, которая в 2025 году демонстрировала сочетание тактик APT-групп и хактивистских методов. Таким образом, деятельность этих групп, ранее работающих независимо, сейчас все больше пересекается.

Кроме того, растет количество эпизодов, в которых группы, ранее не преследовавшие финансовой выгоды, взламывают инфраструктуру для кражи криптовалюты, вымогательства, продажи доступов на подпольных форумах и даже для саботажа производственных систем. Например, группа CyberVolk, которая сочетает элементы хактивизма и финансово мотивированных атак и использует шифровальщики. В 2025 году группа действовала и как идеологически ориентированное хактивистское сообщество, и как финансово мотивированная криминальная структура, требуя выкупы в криптовалюте за расшифровку данных и распространяя политически мотивированные сообщения в своих каналах. Все чаще наблюдается гибридизация деятельности: отвлекающие DDoS-атаки или массовые фишинговые волны хактивистов используются как прикрытие для более скрытных и сложных проникновений с использованием уязвимостей.

Такое сближение тактик и интересов между хактивизмом, APT и киберпреступностью создает более непредсказуемую и сложную угрозу: прежние подходы к защите теряют актуальность, и теперь организациям важно отслеживать не только технические векторы атаки, но и их социально-политический контекст. Кроме того, встает вопрос, к какой категории относить такой тип угроз, когда группа хактивистов выходит на уровень APT-угрозы или действует как прокси прогосударственных групп. Чтобы на него ответить, следует подробнее изучить мотивацию, последствия действий таких групп, а также региональные особенности политических хактивистов.

Таким образом, можно сказать, что граница между опытными хактивистскими группами и АРТ-группировками действительно постепенно стирается в области мотивации и целей атак.

Чаще всего APT- и хактивистским атакам в 2025 году подвергались государственные учреждения, промышленность, оборонные предприятия и финансовый сектор. Из-за преобладания политических мотивов атак именно эти отрасли, в которых находится больше всего объектов КИИ, представляли особый интерес для хактивистов и АРТ-группировок.

Традиционно самыми атакуемыми странами за рассматриваемый период стали США, Россия и Китай. Стоит отметить, что на СНГ пришлось наибольшее число таких атак.

Таблица 1. Распределение хактивистов по регионам

Исходя из этого, мы можем сделать вывод, что политический хактивизм преобладает в области геополитических противоречий и часто используется как инструмент информационного давления, шпионажа или поддержки специальных операций.

Хотя в мире хактивизм является регионально обусловленным явлением, можно сказать, что сегодня он закрепился как еще одна форма воздействия на киберпространство со стороны государств. Политические хактивисты находятся в тесном сотрудничестве с государствами, что влияет и на многообразие инструментов и техник самих хактивистов.

Что касается техник, тактик и процедур, которые используют группировки, в ходе исследования была сформирована тепловая карта TTPs на основе данных обо всех отслеживаемых Positive Technologies группировках, а также сформированы тепловые карты для всех рассматриваемых регионов.

Страны СНГ стремительно развиваются как в области цифровизации, так и в кибербезопасности. Россия, Беларусь и Казахстан занимают лидирующие экономические позиции в регионе и уделяют повышенное внимание вопросам ИБ, особенно в условиях растущего количества кибератак со стороны APT-группировок и хактивистов. Прогнозируется, что с 2024 по 2029 год рынок кибербезопасности в СНГ будет расти на 5,97% в год и достигнет объема в 5,52 миллиарда долларов к 2029 году.

По данным Positive Technologies, основной удар группировок в 2025 году пришелся на Россию (46% атак). За ней следуют Беларусь (11% атак) и Казахстан (8% атак). Высокие показатели объясняются участием в региональном геополитическом конфликте, большим количеством населения и активной экономической деятельностью.

Чаще всего от APT-группировок и хактивистов в СНГ страдают правительственные учреждения, финансовые организации и промышленность: на их долю пришлось 50% всех кибератак в регионе, причем большая часть активных группировок атакует промышленность. Здесь прослеживается распределение, которое мы уже наблюдали в нашем исследовании CODE RED 2026. Единственное отличие — это большее количество атак на оборонные предприятия, что характерно для APT-группировок.

Вредоносное ПО и социальная инженерия оставались основными направлениями атак. У некоторых злоумышленников эти методы сопровождались применением ИИ. Например, группировка Goffee и другие, использовали ИИ для атак на российские оборонные компании. При помощи искусственного интеллекта злоумышленники подготавливали фишинговые письма и разрабатывали вредоносный код. Кроме того, среди группировок, работающих в регионе, есть общая тенденция к использованию целевого фишинга, основанного на текущей новостной повестке или мимикрии под сообщения от органов-регуляторов или органов власти.

Рассматриваемые в исследовании группировки традиционно демонстрируют наиболее сложные атаки в различных секторах и индивидуальный подход к потенциальным жертвам. Мы выделили и проанализировали наиболее активные группы в регионе.

Лидером по количеству атакованных стран стала группа Rare Werewolf, которая активно проводила свои вредоносные кампании в СНГ. Некоторые отчеты указывают, что в сентябре 2025 года группировка впервые применила собственные вредоносные модули, написанные с помощью искусственного интеллекта, для атак на российские предприятия авиационной и радиопромышленности. Наблюдалась фишинговая кампания с целевыми письмами, приводящими к установке PowerShell-скриптов и XMRig-майнера на устройствах российских предприятий и организаций в СНГ.

Что касается политического хактивизма, то в СНГ он заметен (20% инцидентов), но подчинен или вытеснен прогосударственными группами. Это объясняется необходимостью высокого уровня координации кампаний в условиях геополитического конфликта в регионе, что заставляет хактивистов действовать в роли посредника. Основной приоритет отдается APT-группировкам и долгосрочным операциям.          

Основываясь на техниках и тактиках отслеживаемых в регионах группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs мы отбирали из исследовательских материалов за 2025 год.

Анализ данных тепловой карты позволяет выделить следующие особенности, характерные для данного региона (см. таблицу).

APT-группировки и хактивисты в СНГ используют прагматичную и высокоавтоматизированную модель атак, ориентированную на прямую эксплуатацию уязвимостей. Их операционный почерк характеризуется доминированием эксплуатации внешних сервисов (T1190) в качестве основного вектора входа, что указывает на целенаправленный поиск уязвимостей в периметровых системах организаций региона, где часто встречается устаревшее ПО. Широко используется массовое использование интерпретаторов командной строки (T1059), что демонстрирует высокую степень автоматизации, и стремление к максимальной скрытности за счет легитимных инструментов. Дополняет эту картину применение обфускации (T1027) и маскировка C2-трафика под веб-активность (T1071), что является адаптированным ответом на распространенность в регионе сигнатурных, а не поведенческих средств защиты на конечных устройствах. В совокупности это формирует портрет технически компетентного противника, чьи кампании носят целенаправленный, скрытный и ориентированный на долгосрочное присутствие в системе характер.

Проанализировав TTPs APT-группировок и хактивистов в СНГ за 2025 год, можно сформировать для региона основные рекомендации.

Рекомендации по проактивному поиску угроз:

• Фокус на выполнении PowerShell и Windows Command Shell: мониторинг всех сценариев запуска скриптов, особенно Base64.
• Поиск признаков эксплуатации внешних сервисов. Исследование журналов веб-приложений, написание IDS-правил для типичных эксплойтов.
• Контроль передачи инструментов и файлов. Следует отслеживать аномальные, редкие или внезапные скачивания исполняемых файлов.
• Анализ аномального HTTP/HTTPS-трафика.
• Проверка писем с подозрительными вложениями, макросами и темами, связанными с политикой и военными структурами.

Рекомендации по мониторингу:

• Частое использование powershell.exe, cmd.exe, wscript.exe.
• Создание задач через Task Scheduler.
• Установить автоматическое реагирование на попытки обфускации и маскировки расширений файлов.
• Повысить видимость активности с RDP.
• Ужесточение email-фильтрации и антивирусной проверки вложений.
• Блокировка неизвестных исполняемых файлов, загружаемых пользователями.
• Контроль ключей автозапуска, NetShare и использования PsExec.

СНГ продолжает оставаться одним из лидеров в плане активности APT-группировок и хактивистов. Деятельность прогосударственных группировок будет продолжаться, а сами атакующие будут наращивать свою активность в регионе. Даже при условии перехода текущих конфликтов в фазу заморозки они сосредоточатся на промышленном шпионаже и попытках получить разведывательную информацию, так как недружественные государства будут оставаться угрозой. Большое количество скомпрометированных учетных данных, в свою очередь, будет способствовать их активному использованию для попыток аутентификации.

С развитием генеративного ИИ злоумышленникам стало еще легче использовать фишинговые инструменты. Ожидается, что тренд на использование фишинга как основного инструмента первичного проникновения в целевых атаках будет продолжаться. Отдельно стоит отметить увеличение показателей использования техники T1123 (Audio Capture). Результаты сбора такой информации все чаще будут использоваться для обмана пользователей в ходе дальнейших атак.

Исходя из популярных среди APT-групп TTPs и их присутствия в их арсенале на протяжении многих лет, можно сделать вывод, что поведение злоумышленников не сильно изменится и в основной массе ограничится набором стандартных процедур.

На 2026 год в СНГ запланирован ряд политических, экономических и гуманитарных событий, которые, несмотря на отсутствие прямой связи с кибербезопасностью, могут привлечь повышенное внимание APT-группировок и хактивистских сообществ, а также стать катализаторами конфликтной активности в киберпространстве:

• Саммиты и заседания органов СНГ, посвященные разработке и утверждению плана мероприятий по реализации второго этапа стратегии экономического развития СНГ до 2030 года.
• Международная промышленная выставка в Душанбе в июне 2026 года.
• IV Игры стран СНГ в Казахстане.
• Активная фаза реализации и обсуждения энергетических и транспортных проектов в странах Центральной Азии (Казахстан, Узбекистан, Таджикистан, Кыргызстан), включая: модернизацию энергосетей, развитие транзитных коридоров, цифровизацию управления инфраструктурой.

Таким образом, все перечисленные события в СНГ формируют расширенную поверхность атаки в киберпространстве. Следует ожидать усиления активности прогосударственных APT-группировок, ориентированных на шпионаж и стратегическое влияние, роста хактивистских атак, связанных с публичными и символически значимыми событиями, применения информационно-психологических операций для эскалации конфликтов и дискредитации отдельных стран и инициатив.

Европейский регион продолжает свой путь цифровой трансформации и, хотя достигает определенных успехов в цифровизации, одновременно сталкивается с растущими вызовами в области кибербезопасности. Большинство крупных предприятий региона лидируют с показателем внедрения цифровых технологий более 90%. Еще с 2018 года после введения GDPR (General Data Protection Regulation) в Европе наблюдается большой фокус на обработке данных. Рост показателей цифровизации приводит к тому, что практически каждая компания или организация работает с подобными данными, что привело к росту числа хранилищ в 2025 году. Естественно, подобные хранилища данных и предприятия входят в сферу интересов APT-группировок как ввиду возможности монетизировать скомпрометированные данные, так и для нанесения ущерба компаниям. Европейское агентство по сетевой и информационной безопасности (ENISA) определило десять основных угроз кибербезопасности до 2030 года, и практически каждая из них иллюстрирует технику или уязвимость, которую используют APT-группировки.

Кроме цифровых трендов, выступающих факторами роста числа атак со стороны APT-группировок, не спадает напряженность в отношениях европейских стран, связанная с их политическими позициями по текущим геополитическим конфликтам. Все указанные факторы способствовали росту активности групп в ушедшем году: только в Германии на начало сентября ущерб от кибератак достиг рекордных 300 млрд евро. Наиболее атакуемыми отраслями стали государственные организации, промышленность и оборонные предприятия.

Активность APT-группировок и хактивистов в Украине, Великобритании, Германии и Франции объясняется прямым и косвенным участием в геополитическом региональном конфликте.

Политические хактивисты и АРТ-группировки из разных регионов проявляли высокую активность в Европе за последний год. Наблюдается увеличение количества атак на европейские правительственные, дипломатические и политические структуры с целью шпионажа. Например, в сентябре — октябре 2025 года группировка UNC6384 вела кампанию кибершпионажа против дипломатических учреждений в Европе, включая дипломатические структуры Венгрии и Бельгии, а также другие европейские дипломатические цели. В кампании злоумышленники использовали эксплуатацию уязвимости в Windows и методы социальной инженерии для получения начального доступа к системам, что позволяло тайно похищать данные и следить за дипломатической деятельностью государств ЕС. Мы выделили наиболее активные группы в регионе.

Лидером по атакам на европейские государства в 2025 году стала Lazarus Group. Один из примеров ее вредоносной активности — Operation DreamJob против европейских оборонных и аэрокосмических фирм. Целью были предприятия, разрабатывающие компоненты и технологии для дронов и авиационных систем. Злоумышленники использовали социальную инженерию через фальшивые предложения работы, рассылали документы и ссылки, зараженные вредоносным ПО (например, ScoringMathTea и другими бэкдорами).

Что касается политического хактивизма, Европа — глобальная цель (65% атакующих — это политические хактивисты). Там он используется как форма политического протеста и информационного давления. Развитое гражданское общество и низкий порог входа в информационно-психологических операциях, а также высокая медийная отдача даже при незначительных инцидентах безопасности делает политический хактивизм серьезным инструментом воздействия на государства.

Основываясь на техниках и тактиках отслеживаемых в регионах группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs мы отбирали из исследовательских материалов за 2025 год.

Проанализировав данные тепловой карты, мы отметили следующие особенности этого региона (см. таблицу).

APT-группировки и хактивисты, действующие в Европе, демонстрируют высокий уровень адаптивности и скрытности, ориентированный на обход сложных многоуровневых систем защиты. Их почерк характеризуется приоритетом целевого фишинга (T1566) как основного вектора, активным использованием легитимных инструментов (T1059) для выполнения в памяти и кражей учетных данных (T1555) для получения доступа к конфиденциальной информации. Сокрытие достигается за счет обфускации (T1027) и маскировки C2-трафика под легитимные облачные сервисы (T1071). Это формирует портрет терпеливого, методичного и технически оснащенного противника, чьи кампании нацелены на долгосрочное присутствие в сети жертвы и шпионаж.

Проанализировав TTPs APT-группировок и хактивистов в Европе за 2025 год, можно сформировать ряд основных рекомендаций для региона.

Проактивный поиск угроз:

• Поиск запусков программ, производимых при помощи реестра T1547.001 (Startup, Registry Run Keys).
• Обратить внимание на T1555 (Credential Dumping), осуществлять проверку вызовов к Credential Store, LSASS.
• Ориентироваться на T1566 (Phishing) как основной способ первичного проникновения и T1036.007 (Masquerading: Double File Extension) как способ обхода защиты.
• Анализ UPX, Base64, JS- и HTA-файлов.
• Поиск скрытых механизмов автозапуска, кейлоггеров и извлечения паролей из браузеров.

Мониторинг:

• Рекомендуется интеграция PAM-систем (privileged access management).
• Обязательное использование EDR с защитой памяти для предотвращения Mimikatz/LSASS-атак.
• Жесткая политика контроля подключаемых устройств и USB.
• Усиление контроля доступа и MFA.
• Аудит использования устаревших библиотек и плагинов.
• Мониторинг доступа к Credential Store и LSASS.
• Настройка правил для загрузок/выполнения в %AppData%, %Temp%.

Европейский регион находится в положении, когда одни страны испытывают экономические проблемы, другие принимают активное участие в геополитических конфликтах, а другие пытаются стабилизировать социальную и политическую обстановку.

При высоком уровне цифрового развития наблюдается низкий уровень цифровой гигиены среди жертв. Обилие техник, связанных с социальной инженерией или с использованием ненадежных способов хранения значимых данных, подтверждает эту тенденцию. Есть все основания предполагать, что такая картина сохранится и в 2026 году. Прогосударственные группировки сохранят свою активность в регионе, пока страны вступают в конфликт интересов.

Прогосударственные группировки традиционно будут проявлять интерес к значимым событиям. К ним можно отнести:

• парламентские выборы в Венгрии в апреле;
• саммит G7 во Франции в июне;
• саммит НАТО в Анкаре в июле;
• всеобщие выборы в Швеции в сентябре.

Несмотря на комплексный подход в вопросах информационной безопасности, у малого и среднего бизнеса в Европе останутся проблемы 2025 года, которые тоже предстоит решать наряду с новыми вызовами. Возможны информационные атаки, компрометация партийной инфраструктуры, фишинговые кампании и манипуляции в медиапространстве. Риски также включают в себя атаки на штабы кандидатов, компрометацию электронной почты, саботаж подсчета голосов и операции с применением дипфейков. При обилии проводимых саммитов и форумов возможно заблаговременное проникновение в сети госорганов для кражи конфиденциальной информации.

Южная Азия продолжает свой путь цифровой трансформации, достигнув ряда успехов в цифровизации и одновременно решая возникающие проблемы кибербезопасности. Цифровым и экономическим лидером в регионе остается Индия, и именно здесь APT-группировки ведут себя наиболее активно. Из-за растущего количества кибератак растут и расходы на обеспечение безопасности в регионе — в среднем на 12,8% с 2022 года и, по прогнозам, они достигнут 52 миллиардов долларов к 2027 году.

Если говорить об атакованных отраслях, то можно привести общую статистику, которая характерная для Южной Азии. Наибольшее количество атак пришлось на государственные учреждения, финансовые организации и оборонные предприятия.

Можно сказать, что, хотя Южная Азия добивается значительных успехов в цифровизации, она сталкивается с растущими угрозами кибербезопасности и рядом политических конфликтов, которые могут повлиять на обстановку в регионе. Это подчеркивает необходимость усиления мер безопасности и увеличения инвестиций в инфраструктуру ИБ в государствах региона.

Индия, Иран и Пакистан стали лидерами по количеству активных группировок. Это объясняется как цифровым и экономическим лидерством в регионе, так и их политической позицией в некоторых глобальных вопросах.

Прогосударственные группировки и хактивисты активно действуют в регионе. Стоит заметить, что отдельные объединения проводят атаки далеко за пределами своей основной зоны активности, совершая их практически по всему миру. Также наблюдается тенденция, что часть групп из этого региона пытается мимикрировать под восточноазиатские группировки, а инфраструктура некоторых групп в Южной Азии используется внешними акторами для совершения атак на страны СНГ. Например, группировка SideCopy в 2024–2025 годах неоднократно умышленно мимикрировала под APT-группы из Восточной Азии, заимствуя их инструменты и тактики. В частности, исследователи отмечали сходство с APT37. Целью такого мимикрирования было введение аналитиков в заблуждение, особенно при атаках на правительственные и военные структуры. Далее мы выделили наиболее активные группы в регионе.

Одним из лидеров по количеству атакованных стран в регионе стала группа SideWinder. В 2025 году их связывали с крупным взломом в Пакистане: специалисты по угрозам зафиксировали, что группа сумела скомпрометировать системы кабинета министров Пакистана. В результате атаки злоумышленники получили доступ к секретным документам и учетным записям госслужащих.

Что касается политического хактивизма, то в Южной Азии он выступает как продолжение межгосударственных и религиозных конфликтов на низком уровне эскалации, но стратегические операции все же остаются за прогосударственными APT-группами. Хактивисты составляют 15% акторов в Южной Азии, отражая баланс между идеологически мотивированными атаками и доминированием прогосударственных киберопераций. В основном координация или использование хактивистов как прокси происходили в рамках атак на Индию и Пакистан в горячие фазы их геополитического конфликта.

Основываясь на техниках и тактиках отслеживаемых в регионе группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs отбирались из исследовательских материалов за 2025 год.

Исходя из данных тепловой карты, можно отметить следующие особенности этого региона (см. таблицу).

APT-группировки и хактивисты в Южной Азии демонстрируют гибкий и комбинированный подход, сочетающий целенаправленную социальную инженерию с адаптивными техническими методами. Их почерк характеризуется сильной зависимостью от фишинга (T1566) как основного вектора проникновения, что компенсируется активным использованием интерпретаторов (T1059) для выполнения кода и обфускации (T1027) для его сокрытия. В то же время значительный акцент на обнаружение песочниц (T1497) указывает на наличие продвинутых возможностей по разработке и модификации вредоносного ПО. Это формирует портрет адаптирующегося и прагматичного атакующего, который эффективно сочетает проверенные методы социальной инженерии с техническими приемами, нацеленными на долгое присутствие в сети жертвы и сбор конфиденциальной информации.

Проанализировав TTPs APT-группировок и хактивистов в Южной Азии за 2025 год, можно сформировать основные рекомендации для региона.

Проактивный поиск угроз:

• Проверка электронной почты и вложений на предмет фишинговых рассылок (T1566.001, T1204.002).
• Выявление деобфускации (T1140): PowerShell decoding, Base64, Gzip.
• Проверка на скрытые исполняемые файлы и сценарии в общих папках (T1055, T1083).

Мониторинг:

• Использовать песочницу для анализа вложений и подозрительных документов.
• Внедрить поведенческую аналитику для обнаружения отклонений в пользовательских действиях.
• Защита точек входа: веб-сервисы, VPN, OWA.

В общем и целом для группировок и хактивистов, атакующих Южную Азию, характерна опора на социальную инженерию, которая комбинируется с техническими эксплойтами и разнообразными техниками. Это делает их атаки гибкими и менее шаблонными.

Цифровизация в Южной Азии ведет к появлению у большинства населения смартфонов и компьютеров, что делает частных лиц потенциальными жертвами кибератак. Следует уделять внимание работе с уязвимостями и обновлению ПО: большинство групп, которые действуют в регионе, используют в своих целях отсутствие обновлений и критические уязвимости. Это могут использовать различные APT-группировки и хактивисты, чья активность повысится. В 2026 году Южная Азия останется регионом повышенной геополитической и технологической напряженности, что создает благоприятные условия для активности APT-группировок, хактивистских объединений и операций информационно-психологического воздействия. Ниже приведены ключевые факторы риска и события, способные повлиять на киберландшафт региона:

• Индия продолжит усиливать свои позиции как региональный и глобальный геоэкономический и технологический центр. Готовится участие в международных форматах: G20, Quad, стратегический диалог с ЕС и США. Планируется активная реализация программ в сферах импортозамещения, развития полупроводников, кибербезопасности, IT и космоса.
• Пакистан отличается внутриполитической нестабильностью и высоким уровнем экономического давления. Напряжение с Индией и Афганистаном в 2026 году будет сохраняться.
• Иран продолжит реагировать на внешнеполитическое давление и санкции, в том числе и в киберпространстве.
• Непал и малые государства региона могут быть использованы как транзитные зоны и площадки C2-инфраструктуры.

В 2026 году для всей Южной Азии будут характерны:

• Рост хактивистских кампаний, связанных с политическим кризисом и военными инцидентами;
• Активное использование информационно-психологических операций, включая дезинформацию, утечки и поддельные документы;
• Увеличение числа атак на цепочки поставок, особенно в ИТ-аутсорсинге, телеком-секторе и энергетике;
• Сохранение фокуса на эксфильтрации данных и разведке, а не на деструктивных атаках.

Таким образом, в 2026 году Южная Азия останется регионом высокого риска в области кибербезопасности, где ключевыми факторами угроз будут геополитическое соперничество, внутренняя нестабильность отдельных государств и активная цифровизация экономики и государственного управления.

Ассоциация государств Юго-Восточной Азии (АСЕАН) не первый год демонстрирует успехи в экономическом развитии и цифровизации. Этот путь требует повышенного внимания и к кибербезопасности региона, за доминирование в котором идет борьба между Китаем и США. Экономика стран АСЕАН находится в стадии роста и, согласно прогнозам, к 2030 году ее объем увеличится с примерно 300 миллиардов долларов до 1 триллиона долларов. Прогнозируется, что с 2025 по 2029 год рынок кибербезопасности стран АСЕАН будет расти на 9,49% в год, достигнув 7,07 миллиарда долларов к 2029 году.

При этом, несмотря на осознание существующей опасности, информационные системы малого и среднего бизнеса остаются под угрозой. Только 68,5% малых фирм в странах АСЕАН внедрили программное обеспечение для обеспечения кибербезопасности.

Что касается атакуемых отраслей, то для региона характерна следующая тройка: госучреждения (24%), IT-компании (13%) и промышленность (12%). Примечательно, что в этом регионе в топ-3 атакуемых отраслей вошли IT-компании, что связано с атаками на цепочки поставок в регионе и развитием различных IT-стартапов.

Предполагается, что лидерство этих стран по данному показателю происходит из-за сочетания быстрого роста цифровизации, стратегического геополитического положения в Юго-Восточной Азии, высокой концентрации государственных и промышленных целей, а также использования их инфраструктуры как удобного плацдарма для региональных киберопераций.

Азиатский регион традиционно является одним из самых активных с точки зрения деятельности прогосударственных группировок и политических хактивистов. Ранее мы выпустили подробное исследование его особенностей и ландшафта. С момента выхода исследования кардинальных изменений в ландшафте угроз не наблюдалось, активно используется общеизвестное и самописное ВПО, применяются фишинговые рассылки и эксплуатация уязвимостей. Кроме того, в конце 2024 года вышло исследование Sekoia о структуре работы прогосударственных группировок из Китая, которое пролило свет на многие инциденты и их связи. Эти материалы подтвердили, что основными действующими лицами в регионе являются китайские и северокорейские группировки, которые применяют наиболее стратегически сложные и разнообразные техники, тактики и процедуры. Мы выделили наиболее активные группы в регионе.

Однозначного лидера в данном регионе по количеству атакованных стран нет, однако стоит выделить активность одной из APT-групп, которая с 2023 года активно эксплуатирует уязвимости веб-приложений, чтобы проникать и компрометировать организации в Юго-Восточной Азии, включая Индонезию, Малайзию, Филиппины, Таиланд и Вьетнам. В 2025 году многие исследователи отмечали такие кампании, направленные на компрометацию IT-компаний, университетов, правительственных структур и прочих организаций в регионе. При этом атаки данной группы, как правило, начинались с массового сканирования периметра и эксплуатации известных уязвимостей в популярных фреймворках и CMS, после чего злоумышленники размещали веб-шеллы и устанавливали бэкдоры для долгосрочного удержания доступа.

Что касается политического хактивизма, то в странах АСЕАН он сохраняется как форма низкопорогового политического и религиозного самовыражения на фоне менее жесткого, по сравнению с Китаем и КНДР, государственного контроля киберпространства. Хактивисты составляют 15% атакующих в странах АСЕАН.

Основываясь на техниках и тактиках отслеживаемых в регионах группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs отбирались из исследовательских материалов за 2025 год.

Исходя из анализа данных тепловой карты, стоит отметить следующие особенности данного региона (см. таблицу).

APT-группировки и хактивисты, действующие в регионе, демонстрируют прагматичный и инфраструктурно-ориентированный подход с акцентом на эксплуатации внешних уязвимостей и активное перемещение в сети. Их почерк характеризуется доминированием прямых технических векторов атаки, таких как эксплуатация публичных приложений (T1190), что указывает на наличие значительного количества уязвимых систем в регионе. После проникновения атакующие делают ставку на скрытность через обфускацию (T1027). Высокий приоритет исследования текущих процессов (T1057) и сбора данных (T1005) подчеркивает целенаправленный характер кампаний, часто направленных на хищение конфиденциальной информации. В целом это формирует портрет адаптивного, технически компетентного противника, который эффективно использует слабости в защите периметра и внутренней сети для достижения своих целей.

Проанализировав TTPs APT-группировок и хактивистов в АСЕАН за 2025 год, можно сформировать основные рекомендации.

Проактивный поиск угроз:

• Выявление компиляции исполняемых и бинарных файлов в пользовательских папках.
• Поиск артефактов популярных кейлоггеров и анализ процессов, которые могут быть связаны с перехватом окон ввода. Мониторинг создания файлов с расширениями, связанными с изображениями.
• Поиск следов загрузки бэкдоров с кастомных доменов.

Мониторинг:

• Блокировка IP-адресов и доменов известных C2-серверов массового ВПО.
• Контроль передачи файлов во внутренней сети.
• Контроль популярных в регионе веб-шеллов (например, China Chopper).
• Обнаружение DNS-туннелирования и нестандартных API.

Для первичного проникновения используются данные, полученные при исследовании целей, и выбирается тот вектор, который принесет успех с наибольшей вероятностью, в основном это таргетированные атаки на организации.

Прогнозируется, что активность группировок, а также сложность атак в данном регионе будет только расти. Уже в прошлом году регион являлся лидером по использованию различных редких техник и процедур. В данных условиях рекомендуется тщательно изучать действующих в регионе атакующих и сосредоточить силы на сборе информации об угрозах, а также на создании детектирующей логики и ее постоянной актуализации.

В регионе произойдет рост активности прогосударственных группировок и хактивистов, связанный с тем, что государства АСЕАН ведут конфликтующую политику, а также с возрастающей вероятностью эскалации кризиса вокруг о. Тайвань. Потенциально этот регион может стать своеобразным полем кибервойны с вовлечением крупных APT-группировок с целью шпионажа, саботажа, поддержки специальных операций и сбора разведывательной информации.

• В 2026 году Филиппины принимают председательство в АСЕАН (с 1 января 2026 года) и заявляют проведение большого количества встреч и мероприятий в течение года на площадках в разных городах страны.
• Экономический рост и инвестиции как фактор усиления финансово мотивированных атак и атак типа BEC (business email compromise). По оценкам МВФ, рост в АСЕАН в 2026 году прогнозируется на уровне около 4,3%.

С учетом TTP-профиля региона (высокая доля эксплуатации внешних сервисов и последующая многоступенчатость атак) в 2026 году наиболее вероятны:

• Рост атак на внешний периметр: веб-приложения, VPN и SSO, почтовые шлюзы, публичные порталы (особенно у госструктур и КИИ).
• Кибершпионаж и эксфильтрация данных как основной сценарий для прогосударственных APT. Госуправление, дипломатия, оборона, телеком, энергетика, транспорт и логистика, крупные добывающие и промышленные компании — все эти сектора входят в область интересов атакующих.
• Хактивизм и информационно-психологические операции, связанные с председательством Филиппин, мероприятиями АСЕАН.
• Атаки на цепочки поставок будут более распространены, в зоне риска — подрядчики мероприятий, ИТ-аутсорс, провайдеры хостинга, логистика, интеграторы.

В 2026 году АСЕАН с высокой вероятностью станет одним из наиболее горячих регионов с точки зрения киберразведки и активности групп.

Другие государства, не входящие в АСЕАН, но располагающиеся в Восточной Азии, Тихоокеанском регионе и Океании, рассматриваются в данном исследовании в рамках одного географического региона. Многие из них также вкладывают значительные средства в цифровизацию и кибербезопасность. Безусловным лидером среди стран в цифровизации и экономике является Китай, который уделяет особое внимание кибербезопасности для устранения возникающих угроз.

Согласно Всемирному рейтингу цифровой конкурентоспособности IMD за 2025 год, экономики Восточной Азии продемонстрировали высокий потенциал и готовность к внедрению и изучению цифровых технологий, способствующих экономическим преобразованиям в бизнесе, правительстве и кибербезопасности.

Что касается южной части региона, по прогнозам исследователей, с 2025 по 2029 год рынок кибербезопасности в Австралии и Океании будет расти на 7,08% в год, достигнув к 2029 году объема примерно в 6,6 млрд долларов.

В этом регионе наиболее атакуемыми отраслями стали госучреждения, промышленность и IT-компании. Госучреждения составляют почти четверть атакуемых объектов, что связано с высокой активностью именно прогосударственных группировок в регионе.

Если подробнее остановиться на Океании, то, по данным Positive Technologies, 2025 год в регионе охарактеризовался преобладанием кибермошенничества и фишинга. Усиление политической активности в Тихоокеанском регионе может сопровождаться ростом активности киберпреступников: возрастает роль прогосударственных группировок, которые могут изменить региональный ландшафт киберугроз.

В 2025 году также была зафиксирована значительная эскалация вокруг о. Тайвань. Большинство кибератак на остров было совершено прогосударственными группами, целями которых были телекоммуникации, транспорт и оборонный сектор.

Восточная Азия и Океания, как один из самых активных регионов с точки зрения деятельности прогосударственных групп и хактивистов и источник одних из самых опасных из них, традиционно отличился большим количеством атакующих. Мы выделили наиболее заметные группы в регионе.

Явным лидером по количеству атакованных стран стала Lazarus Group. Как пример можно привести серию атак против Южной Кореи, которую Lazarus Group осуществляла совместно с Kimsuky.

Исследователи указывают, что Lazarus Group и Kimsuky провели в 2025 году 58 кибератак, направленных среди прочего на виртуальные активы, IT-сектор и финансовые системы Южной Кореи. Эти действия включают как случаи кражи криптовалюты, так и попытки проникновения в инфраструктуру через социальную инженерию и использование ВПО.

Что касается политического хактивизма, то в Восточной Азии и Океании кибероперации жестко контролируются государством, поэтому преобладают централизованные прогосударственные APT-структуры, а независимый хактивизм практически вытеснен. Хактивисты составляют лишь 7% активных групп в Восточной Азии и Океании, причем, судя по данным атрибуции из открытых источников, они не являются представителями региона, что подчеркивает доминирование прогосударственного кибершпионажа и стратегических операций над публичными и идеологическими атаками.

Основываясь на техниках и тактиках отслеживаемых в регионах группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs отбирались из исследовательских материалов за 2025 год. 

Исходя из данных тепловой карты, стоит отметить следующие особенности данного региона (см. таблицу).

APT-группировки и хактивисты, действующие в Восточной Азии и Океании, демонстрируют сбалансированный и адаптивный подход, сочетающий социальную инженерию с технической скрытностью. Их операционный почерк характеризуется сильным акцентом на фишинге (T1566) как основном векторе первоначального доступа, что указывает на человеческий фактор в высокоцифровизированных обществах региона. После проникновения атакующие активно используют интерпретаторы (T1059) для выполнения кода и делают значительный упор на обфускацию (T1027) для сокрытия от средств защиты. Уникальной чертой является активное использование техник перехвата ввода (T1056) как для кражи учетных данных, так и для сбора информации, что подчеркивает фокус атакующих на прямом захвате пользовательских данных. Преобладание веб-протоколов для C2-серверов (T1071) и эксфильтрации (T1041) отражает стремление к максимальной скрытности в сетях с развитым мониторингом. В целом это формирует портрет прагматичного и методичного противника, чьи кампании ориентированы на долгосрочное присутствие в сети жертвы и хищение конфиденциальных данных в условиях развитой, но не всегда равномерно защищенной IT-инфраструктуры.

Проанализировав TTPs, характерные для APT-группировок, действовавших в Океании и Восточной Азии в 2025 году, можно дать ряд рекомендаций.

Проактивный поиск угроз:

• Анализ использования нестандартных расширений архивов (например, .iso, .img).
• Отслеживание подозрительных вызовов.

Мониторинг:

• Поддержка в актуальном состоянии правил анализа архивов в почте.
• Интеграция правил корреляции для анализа запуска процессов.
• Мониторинг команд с cmd.exe /c и URL download.
• Проверка сетевых потоков POST без User-Agent.

Ожидается, что активность группировок будет только повышаться. Политическая обстановка уже долгое время является напряженной в Тихоокеанском регионе. Предполагается, что активность прогосударственных группировок может сместиться с Океании и Юго-Восточной Азии в сторону Восточной Азии, если будет расти напряжение в Тихом океане. Что касается использования программ-вымогателей, то сохранится тренд на использование подобного ВПО прогосударственными группировками в целях саботажа или получения финансовой выгоды. В остальном на ландшафт киберугроз будут влиять различные события, которые ожидаются в 2026 году.

• В Республике Корея на июнь 2026 года запланированы выборы.
• Китай примет саммит лидеров АТЭС в Шэньчжэне.
• В ноябре 2026 года на Тайване пройдут выборы местных органов власти.
• В ноябре также должны пройти следующие всеобщие выборы в Новой Зеландии.
• Дополнительным фактором активности киберпреступных групп является кризис вокруг Тайваня и напряженность в Южно-Китайском море.
• Дополнительным фактором будет активность КНДР на международной арене и в киберпространстве.

Отдельно прогнозируется сохранение тренда, когда часть прогосударственных группировок будет использовать криминальные модели монетизации (в том числе RaaS и другие формы финансовой киберпреступности). На практике это особенно актуально для акторов, связанных с КНДР, которые продолжают сочетать разведку с добычей средств через кибероперации (включая атаки на крупные криптобиржи).

В 2026 году регион будет подвержен росту прогосударственных APT-операций, прежде всего вокруг крупных международных мероприятий (саммит АТЭС в Китае), электоральных циклов (Тайвань, Южная Корея, Новая Зеландия) и устойчивых геополитических линий напряжения. Наиболее вероятные сценарии:

• Кибершпионаж и эксфильтрация данных (госуправление, оборона, дипломатия, телеком, логистика, хайтек).
• Информационно-психологические операции и вмешательство (утечки, подделки, компрометация штабов или подрядчиков).
• Многоступенчатые кампании группировок с упором на компрометацию аккаунтов, веб-инфраструктуры и цепочек поставок.

Страны Латинской Америки добиваются определенных успехов в области цифровизации и кибербезопасности, хотя по-прежнему сохраняются пробелы в области правового регулирования и внедрения систем безопасности. В регионе наблюдается быстрый рост внедрения цифровых технологий. Только в Мексике работает более 1100 финтех-компаний. Цифровые платежи, включая мобильные кошельки и бесконтактные способы оплаты, набирают обороты, особенно в таких странах, как Бразилия и Аргентина. В Бразилии, например, система Pix стала основным способом цифровых платежей для миллионов людей.

Однако Латинская Америка остается одним из регионов, наиболее подверженных активности прогосударственных группировок, а именно деятельности различных e-crime-группировок и финансово мотивированных преступников. Несмотря на ускоряющуюся цифровую трансформацию, инвестиции в кибербезопасность в Латинской Америке остаются низкими. При этом на законодательном уровне уже давно применяются определенные усилия по регулированию данного вопроса. Например, Бразилия внедрила Общий закон о защите персональных данных (LGPD) еще в 2018 году, аналогичный GDPR в ЕС, для усиления защиты данных и кибербезопасности. Тем не менее в регионе наблюдается несогласованность в реализации подобных законов и их правоприменении.

Бразилия, Мексика и Колумбия являются наиболее уязвимыми странами, на долю которых, по данным Positive Technologies, приходится почти 90% кибератак в регионе. Данный факт связан с тем, что эти страны имеют наиболее развитую экономику в регионе, а также активно участвуют в международной политике.

Государственный, оборонный и финансовый сектор стали главными объектами кибератак. Несмотря на риски, на 2024 год только в семи странах Латинской Америки были планы по защите критически важной инфраструктуры от киберугроз.

Американский регион, как один из самых активных регионов с точки зрения деятельности прогосударственных групп, традиционно отличился большим количеством атакующих. Мы выделили наиболее заметные группы в регионе.

Одним из лидеров региона оказалась финансово мотивированная APT-группировка TA558. Летом 2025 года исследователи зафиксировали новую волну атак, проводимых TA558 на гостиницы и предприятия индустрии туризма в Бразилии и других испаноязычных странах Латинской Америки. В этих кампаниях злоумышленники рассылали фишинговые письма, замаскированные под запросы бронирования, счета или предложения о работе. Целью атак было распространение Venom RAT, с помощью которого осуществлялся удаленный доступ и хищение данных банковских карт гостей и другой чувствительной информации. Основной фокус атак был в Бразилии, но они также затрагивали гостиничный сектор в других странах региона.

Что касается Северной Америки, то из года в год регион остается лидером по количеству различных кибератак. США и Канада являются лидерами по цифровизации, что в совокупности с их внешней политикой приводит к массовым кибератакам и обострению проблем в области кибербезопасности. Одним из основных объектов кибератак остаются США, как лидер региона. Больше всего пострадал государственный сектор, на долю которого приходится 25% зарегистрированных атак.

Политический хактивизм в регионе малозаметен в целом. Киберугрозы структурированы вокруг прямой финансовой монетизации, а не идеологической или политической мотивации, поэтому преобладают программы-вымогатели и криминальные синдикаты, а не хактивистские группировки. Хактивисты составляют лишь 9% атакующих в регионе, что указывает на доминирование финансово мотивированных угроз по сравнению с идеологическими операциями.

Основываясь на техниках и тактиках отслеживаемых в регионах группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs отбирались из исследовательских материалов за 2025 год.

Исходя из данных тепловой карты, можно отметить следующие особенности данного региона (см. таблицу).

Группировки, действующие в Северной и Латинской Америке, демонстрируют высокоадаптивный и финансово мотивированный подход, сочетающий проверенные методы социальной инженерии с продвинутыми техническими приемами для противодействия современным системам защиты. Их операционный почерк характеризуется доминированием фишинга (T1566) как основного вектора доступа, что указывает на эксплуатацию человеческого фактора. После проникновения атакующие массово используют интерпретаторы (T1059) для выполнения команд и скриптов и активно применяют обфускацию (T1027), чтобы скрыться от EDR-решений. Упор на кражу учетных данных (T1003) и системный сбор данных (T1005) отражает цели промышленного шпионажа и финансовых преступлений. Финальным воздействием часто выступает шифрование данных (T1486), что подтверждает высокую активность групп, нацеленных на получение прямого финансового выкупа. В целом это формирует портрет технически оснащенного, прагматичного и опасного противника, чьи кампании ориентированы на максимальный экономический ущерб и устойчивое присутствие в корпоративных сетях.

Проанализировав TTPs, характерные для группировок, действующих в Северной и Латинской Америки, можно дать ряд рекомендаций по проактивному поиску угроз и мониторингу.

Проактивный поиск угроз:

• Поиск аномальных запусков файлов с расширениями .vbs, .py, .ps1 и подобными.
• Анализ памяти подозрительных процессов.
• Мониторинг:
• Мониторинг пользовательских папок с исполняемыми файлами.
• Расширенное логирование интерпретаторов командной строки, внедрение EDR или аналогов.
• Контроль загрузки легитимных инструментов (AnyDesk, TeamViewer).

Латинская Америка остается одним из самых привлекательных регионов для финансово мотивированных преступников. Можно сказать, что e-crime-группировки активнее всего проявляют себя именно здесь.

Как и в других регионах, на ландшафт киберугроз повлияет политическая обстановка в регионе. Активность прогосударственных группировок будет возрастать, так как ожидается множество важных событий.

• Чемпионат мира по футболу 2026 года (США — Канада — Мексика, 11 июня — 19 июля).
• В США также ожидаются выборы федерального уровня, которые запланированы на 3 ноября 2026 года.
• В 2026 году президентские выборы планируют Бразилия, Колумбия, Коста-Рика, Гаити и Перу.

С учетом TTP-профиля региона 2025 года в 2026 году наиболее вероятны:

• Шпионаж, направленный против госсектора, оборонной промышленности, энергетики, телекома, крупного экспорта и финансов (поддержка внешнеполитических решений, санкционных сюжетов, конкурентной разведки).
• Атаки на цепочки поставок (ИТ-аутсорс, MSP, интеграторы, маркетинговые агентства, ивент-платформы) — как самый простой путь в крупные организации.
• Финансово мотивированные атаки (включая компрометацию деловой переписки и платежей) на фоне крупных событий и электоральных циклов.

В 2026 году Северная и Латинская Америка будет находиться под повышенным давлением из-за совмещения крупнейшего международного спортивного события и плотного электорального календаря. Это создает благоприятные условия для APT-шпионажа, хактивизма, для информационно-психологических операций и финансово мотивированных кампаний.

Африканский регион в 2025 году характеризовался большим количеством кибермошенничества при низких показателях цифровизации общества относительно других рассматриваемых в исследовании регионов. Однако в последние годы во многих африканских странах заметен прогресс в данной сфере, который вывел на свет сопутствующие серьезные проблемы в области кибербезопасности.

По прогнозам, ожидаемый годовой темп роста рынка кибербезопасности с 2025 по 2029 год составит 9,06%, что подчеркивает увеличение инвестиций в данную сферу. В Африке данный рынок активно развивается, поскольку такие страны, как ЮАР и Кения, инвестируют в передовые технологии для борьбы с киберугрозами.

Еще с 2019 года в рамках инициативы Всемирного банка «Цифровая экономика для Африки» (DE4A) было реализовано 70 проектов по цифровизации в 37 странах с общим объемом инвестиций в размере 9 миллиардов долларов, направленных на создание надежной и инклюзивной цифровой экономики. Внедрение систем мгновенных платежей (IPS) резко возросло: в 26 странах действует 31 система, еще 27 находятся в стадии разработки. За пять лет объемы и стоимость транзакций выросли на 37% и 39% соответственно, что отражает широкое распространение цифровых платежей. Все это привело к растущим показателям мошенничества в регионе, распространению шифровальщиков и активности хактивистов на почве идеологии, однако прогосударственные группировки практически не были вовлечены в протекающие кибератаки.

Кроме того, в отчете Интерпола об оценке киберугроз в Африке за 2024 год отмечался всплеск киберпреступности по всему континенту, при этом программы-вымогатели, взломы деловой электронной почты и онлайн-мошенничество были определены как быстро растущие угрозы. В 2024 году была проведена операция «Серенгети», однако на этом внимание к данной проблеме не ослабло. С июня по август 2025 года по всему континенту проводилась масштабная операция «Серенгети 2.0». Были арестованы 1209 подозреваемых, и оказана помощь более чем 88 тысячам жертв, финансовые потери которых по всему миру оцениваются почти в 97 миллионов долларов. По данным Positive Technologies, ЮАР, Кения и Нигерия были определены в качестве основных африканских стран, сталкивающихся со значительными киберугрозами. Это одни из самых развитых экономически и в цифровом плане стран Африки, что объясняет данный факт. При этом стоит отметить, что эти страны хоть и являются одними из лидеров по показателям киберпреступности, но в общей картине африканского региона они не являются самыми атакуемыми странами со стороны APT-группировок и хактивистов.

Африканский регион во многом отличается от других регионов в области ландшафта киберугроз, в том числе и в наиболее атакуемых отраслях. Госучреждения, население и социальные объекты, а также оборонные предприятия, промышленность и IT-компании стали наиболее атакуемыми сегментами. Высокий показатель инцидентов сразу в нескольких отраслях свидетельствует о крупных проблемах с кибербезопасностью в нескольких областях одновременно.

Развитие африканского региона, а также возрастающий интерес США, Китая и России к данному региону вызывает множество политических и экономических процессов, которые ведут к потрясениям и вооруженным конфликтам. Подобные события часто сопровождаются и активностью APT-группировок. Мы выделили наиболее активные группы в регионе.

Помимо активного использования шпионского ПО от консорциума Intellexa, в Африканском регионе были заметны как уже известные группировки, так и новые злоумышленники. Одним из таких открытий стала группа Desert Dexter. Наши исследователи обнаружили ее в 2025 году. Группа насчитывала около 900 потенциальных жертв к началу 2025 года. Среди них были обычные пользователи и сотрудники компаний из секторов нефти и газа, строительства, ИТ и сельского хозяйства.

Что касается политического хактивизма, в Африке киберугрозы в основном формируются внешними прогосударственными и криминальными акторами, тогда как локальный идеологический хактивизм развит слабо. Хактивисты составляют лишь 7% атакующих в Африке, что подчеркивает доминирование внешнего кибершпионажа и финансово мотивированных атак над идеологическими операциями.

Основываясь на техниках и тактиках отслеживаемых в регионе группировок, мы выделили наиболее используемые техники и составили тепловую карту для региона. Используемые группами TTPs отбирались из исследовательских материалов за 2025 год.

Стоит отметить следующие особенности данного региона (см. таблицу).

APT-группировки и хактивисты в Африке демонстрируют прямой подход, ориентированный на максимальную эффективность при минимальной сложности. Их почерк характеризуется доминированием прямых технических атак на инфраструктуру (T1190) как основного вектора, что указывает на наличие большого количества легкодоступных целей. После проникновения атакующие массово используют интерпретаторы (T1059), показывая самый высокий уровень зависимости от автоматизации среди всех регионов. Маскировка (T1036) и внедрение в процессы (T1055) используются как основные методы скрытности, этого достаточно для обхода базовых средств защиты. Акцент на краже учетных данных (T1555) и сборе локальных данных (T1005) соответствует целям финансового обогащения и промышленного шпионажа. В целом это формирует портрет прагматичного, технически компетентного и ориентированного на прибыль злоумышленника, чьи кампании строятся на эксплуатации уязвимостей и недостаточных инвестициях в кибербезопасность в регионе.

Атакующие активно используют:

• Интерпретаторы командной строки для выполнения полезной нагрузки;
• Эксплуатацию уязвимых публичных сервисов и фишинг для первичного доступа;
• Стандартные механизмы закрепления (задачи планировщика, автозапуск);
• Обфускацию и маскирование трафика для обхода средств защиты.

Это позволяет дать несколько рекомендаций по проактивному поиску угроз и мониторингу.

Проактивный поиск:

• Поиск учетных данных в открытых или плохо защищенных файлах. Анализ доступа к ним.
• Анализ обращений процессов к аудиоустройствам через API.

Мониторинг:

• Мониторинг обращений к браузерным хранилищам паролей.
• Логирование процессов, использующих устройства записи звука, экрана и видео.

В целом регион характеризуется умеренной технической сложностью атак, но высокой повторяемостью базовых техник, что создает предпосылки для масштабных кампаний против государственных организаций, телеком-сектора, финансовых учреждений и критически значимой инфраструктуры, особенно в странах с развивающейся цифровой экономикой.

В 2025 году ожидаются некоторые важные политические, социальные и экономические события, которые могут произойти в африканском регионе, что повлияет на расстановку сил и скажется на ландшафте киберугроз.

Борьба крупных мировых держав за экономическое партнерство или влияние на страны в данном регионе влияет и на потенциальное развитие вооруженных конфликтов, которые в современных реалиях практически всегда сопровождаются деятельностью различных APT-группировок и хактивистов. Африканский регион характеризуется множеством горячих точек и конфликтных моментов, которые могут привести к инцидентам, связанным с деятельностью группировок.

В 2026 году в ряде африканских стран ожидаются выборы, смена политических элит или углубление внутриполитических реформ, что традиционно повышает интерес APT-группировок к государственному сектору.

• Нигерия продолжит курс на реформы в энергетике и финансовом секторе.
• Кения активно стремится к роли регионального хаба Восточной Африки.
• Египет — ключевой актор Северной Африки и Ближнего Востока.
• Сенегал и страны Западной Африки захватывают процессы перераспределения власти и ослабления влияния бывших метрополий.

Сохранение и возможная эскалация конфликтов в ряде субрегионов станет одним из ключевых драйверов роста киберугроз:

• Сахель (Мали, Буркина-Фасо, Нигер) — продолжающаяся нестабильность и присутствие внешних военных и политических интересов.
• Сомали и Восточная Африка — нестабильность в регионе, а также близость стратегических морских маршрутов.
• Политический дисбаланс в Ливии.

Продолжится реализация международных инфраструктурных проектов с участием Китая, стран БРИКС, ЕС и государств Ближнего Востока. Африка по-прежнему будет зоной геополитического соперничества. Это создает предпосылки:

• Для долгосрочного кибершпионажа;
• Скрытых операций против дипломатических миссий;
• Саботажа инфраструктурных и инвестиционных проектов конкурентов.

В 2026 году Африка будет характеризоваться ростом интенсивности и политической мотивированности атакующих. Основными целями атак останутся государственные органы, критически значимая инфраструктура, энергетика, транспорт, финансы и подрядчики международных проектов, а кибероперации все чаще будут сопровождаться информационно-психологическими кампаниями.

Ближний Восток за последние несколько лет становится не только объектом притяжения для различных APT-группировок, но и экономическим и цифровым центром. В 2025 году рынок цифровой трансформации на Ближнем Востоке оценивался примерно в 1,48 миллиарда долларов, и, согласно прогнозам, среднегодовой темп роста (CAGR) составит 11,8% и достигнет 2,58 миллиарда долларов к 2029 году. Огромное количество инвестиций в регионе уходит в сферу кибербезопасности. Gartner прогнозирует, что затраты конечных пользователей на информационную безопасность в регионе MENA достигнут примерно 4 млрд долларов в 2026 году, что составляет около 10,1 % роста по сравнению с 2025 годом.

Ближний Восток всегда был одной из основных мишеней для атак APT-группировок и хактивистов, в течение 2025 года эта тенденция продолжилась. Высокий уровень целевых и сложных атак в регионе, атаки на секторы критически значимой инфраструктуры и финансовых услуг, а также повышенная активность хактивистов лишь подтверждает это. Кроме того, длительные региональные конфликты и высокий уровень хактивизма приводят к тому, что кибератаки используются как инструмент информационно-психологического воздействия, происходят частые атаки на критически значимую инфраструктуру и государственные учреждения.

Стоит отметить, что в данном регионе лидерские позиции занимают атаки, направленные на население и социальные объекты (19%), что является отличительной особенностью региона. В регионе высокая доля политически и идеологически мотивированных киберопераций, где целью является массовый психологический эффект, что объясняет высокий процент атак на население и социальные объекты.

На Ближнем Востоке активность прогосударственных групп и хактивистов снизилась по сравнению с 2023–2024 годом. Мы выделили наиболее активные группы в регионе.

Одним из лидеров в регионе была группировка APT35. В январе — феврале 2025 года APT35 проводила серии целевых фишинговых кампаний против дипломатических миссий, внешнеполитических аналитиков и государственных структур Ближнего Востока. Атаки включали рассылку писем от имени официальных организаций, вредоносные вложения и ссылки на поддельные страницы аутентификации с целью кражи учетных данных и получения доступа.

Что касается политического хактивизма, на Ближнем Востоке хактивизм существует как инструмент идеологического противостояния, но уступает место прогосударственным и шпионским операциям на фоне высокой региональной конфликтности. Здесь хактивисты составляют 12% атакующих, отражая баланс между идеологическими кампаниями и доминированием прогосударственного кибершпионажа.

Исходя из данных тепловой карты, стоит отметить следующие особенности данного региона (см. таблицу).

APT-группировки и хактивисты, действующие на Ближнем Востоке, демонстрируют сбалансированный подход, сочетающий социальную инженерию с техническими методами и ориентированный на целевые атаки на критически важные секторы. Их операционный почерк характеризуется сильным акцентом на фишинге (T1566) как основном векторе доступа, что указывает на эксплуатацию человеческого фактора в условиях высокой политической и экономической напряженности. После проникновения атакующие активно используют легитимные скриптовые интерпретаторы (T1059) для выполнения кода и обфускацию (T1027), чтобы скрыться от средств защиты. Уникальной чертой является активное использование техник перехвата ввода (T1056) как для кражи учетных данных, так и для сбора информации, что подчеркивает фокус на шпионаже и сборе конфиденциальных данных. Преобладание веб-протоколов для C2-серверов (T1071) и эксфильтрации (T1041) отражает стремление к скрытности в сетях с развитым мониторингом. В целом это формирует портрет адаптивного и целеустремленного атакующего, чьи кампании ориентированы на долгосрочное присутствие в сети жертвы, шпионаж и потенциальное деструктивное воздействие на критически важную инфраструктуру региона.

Проанализировав TTPs за 2025 год, можно дать ряд рекомендаций по проактивному поиску угроз и мониторингу в данном регионе.

Проактивный поиск угроз:

• Анализ контекстов входящих писем (отправитель, вложения, ссылки).
• Повышенное внимание к VPN, Exchange, Outlook Web Access.
• Поиск PowerShell, CMD, WMI-вызовов, особенно с обфускацией.
• Анализ нестандартного HTTP/HTTPS- и DNS-трафика.
• Анализ подозрительных передач EXE, DLL, BAT с внешних источников.

Мониторинг:

• Контроль API-запросов.
• EDR-контроль интерпретаторов командной строки.
• Запрет на выполнение PowerShell без подписи.
• Минимизация использования локальных администраторов.
• Мониторинг сбора и передачи LSASS, файлов browser-data.
• Контроль новых отложенных задач, сервисов и ключей автозапуска.
• Отслеживание SMB- и RDP-сессий между сегментами сети.

Регион демонстрирует высокое разнообразие техник, включая редкие TTPs, что говорит о присутствии как прогосударственных группировок и политических хактивистов, так и финансово мотивированных групп. В целом ландшафт угроз на Ближнем Востоке в 2025 году характеризуется устойчивыми многоступенчатыми атаками. С основным фокусом на государственном секторе, энергетике, телекоме и международных проектах.

Для прогноза изменений ландшафта киберугроз учитываются некоторые важные политические, социальные и экономические события на Ближнем Востоке, которые ожидаются в 2026 году.

В 2026 году Ближний Восток сохранит статус региона с высокой интенсивностью APT-активности и хактивизма, где кибероперации и кампании будут тесно связаны с военно-политической обстановкой, энергетическими и инфраструктурными проектами, а также внутренней политикой государств. На фоне усиления конкуренции внешних акторов и продолжающейся нестабильности ожидается рост кибершпионажа, саботажа, атак на критически значимую инфраструктуру и информационно-психологических операций.

• Продолжение кризиса вокруг Сектора Газа.
• Красное море представляет собой объект политического влияния. Сохранятся угрозы для судоходства и военное присутствие внешних сил.
• Сирия, Ирак и Йемен как зоны постоянной нестабильности.
• Нефтегаз и нефтехимия в 2026 году останутся ключевыми объектами для региона.
• Мегапроекты стран Персидского залива (умные города, транспортные хабы, масштабная цифровизация госуслуг).

Основной риск — это целевые атаки на подрядчиков и интеграторов, компрометация инженерных сегментов, атаки на корпоративные сети компаний с целью шантажа. Расширение трансграничной кооперации и инвестиций повышает интерес APT-групп и хактивистов к межгосударственным переговорам, контрактам и регуляторным инициативам. В 2026 году регион будет жить в условиях повышенной чувствительности к внутренним политическим процессам. Даже там, где выборы — формально не ключевой механизм смены власти, информационные операции и утечки остаются инструментом давления.

В 2026 году на Ближнем Востоке ожидается рост интенсивности и политической мотивированности APT-операций. Наиболее вероятные сценарии:

• Кибершпионаж против госсектора, оборонного сектора, дипломатии и крупных корпораций;
• Саботаж и атаки на логистику критически значимой инфраструктуры;
• Атаки на цепочки поставок через подрядчиков мегапроектов и IT-провайдеров;
• Информационно-психологические операции (утечки, подделки, компрометация) на фоне конфликтов и внутренней повестки.

Глобализация, мировое сотрудничество и всеобщая цифровизация набирают ход с каждым годом. При этом в мире, так или иначе, вспыхивают новые конфликты и разногласия. Количество потенциальных мишеней для атак APT-группировок и хактивистов растет, как и ущерб от них. Чтобы государствам защитить свою критически значимую инфраструктуру и обеспечить национальную безопасность, необходимо уделить достаточное внимание вопросам кибербезопасности в зависимости от текущих тенденций в регионе, а также поведения атакующих. Для этого важно не только изучать техники, тактики и процедуры, но и прогнозировать, какие именно тенденции в мире кибербезопасности будут появляться, продолжаться или изменяться.

1.       ИИ в атаке. Искусственный интеллект уже широко применяется злоумышленниками. По нашим прогнозам, в будущем атакующие смогут применять ИИ во всех тактиках из матрицы MITRE ATT&CK и в 59% ее техник. Подробнее можно прочитать об этом в нашем исследовании.

2.      Цифровая изоляция государств, подвергающихся атакам. По мере роста геополитической напряженности и усиления кибератак, осуществляемых APT-группировками и политическими хактивистами, наиболее атакуемые страны могут использовать цифровую изоляцию в качестве контрмеры.

3.      Стратегически сложные кибератаки с использованием ВПО. В 2026 году мы ожидаем, что атаки продвинутых прогосударственных группировок могут стать стратегически сложнее. Если ранее таких злоумышленников было немного, то все чаще наблюдается тенденция, когда атакующие проникают в несколько организаций, создавая плацдарм, и позже при помощи заранее размещенного ВПО атакуют жертв.

4.      Рост количества специальных информационно-психологических операций, проводимых хактивистами под контролем государств и прогосударственными группами. Продолжающиеся геополитические конфликты продолжают стимулировать государства использовать методы информационной войны и вовлекать в применение этих методов прогосударственные группировки и политических хактивистов.

5.      Рост количества киберпреступных групп по найму. Ожидается, что количество групп, которые предлагают свои услуги для проведения различных кибератак, увеличится из-за активного вовлечения политических хактивистов в прогосударственные операции.

6.      APT-угрозы остаются основной опасностью среди продвинутых киберугроз, однако прогосударственный политический хактивизм становится его своеобразным усилителем.

1. Комплексное усиление ИБ

Атаки группировок требуют особого внимания и комплексной защиты, которая будет сочетать в себе технологии и работу с минимизацией влияния человеческого фактора. Основная рекомендация — это комбинирование различных механизмов защиты для минимизации рисков, а также политика zero trust. Кроме того, любой организации, которая подвергается подобным атакам, нужен коммерческий или собственный TI (threat intelligence). Только благодаря актуальной информации об угрозах существует возможность предсказания и предотвращения атак, а также создания детектирующей логики. Если же информационная система только создается, необходимо учитывать фактор риска атак и внедрять механизмы безопасности на этапах проектирования таких систем. Кроме того, анализ действия групп показал, что фишинг остался лидером первичного проникновения в целевых атаках APT-группировок, поэтому внимание следует уделять и обучению сотрудников организаций.

2. Аудит процессов, ПО и информационных систем

Регулярный аудит помогает выявить уязвимости, неправильные конфигурации и несоответствия требованиям безопасности. Он должен проводиться согласно действующим в государстве стандартам. Необходимо осуществлять анализ ПО на уязвимости, аудит учетных записей и привилегий, проверку защиты сетевого периметра и облачных решений.

3. Передовые продукты системы защиты

Для защиты от атак необходимо использовать современные решения для ИБ, включающие в себя:

• EDR/XDR (endpoint detection and response, extended detection and response) — обнаружение атак на конечных устройствах.
• SIEM (security information and event management) — централизованный сбор и корреляция событий безопасности.
• NGFW (Next Generation Firewall) и IDS/IPS — предотвращение вторжений и фильтрация трафика.
• DLP (data loss prevention) — предотвращение утечек данных.
• SOAR (security orchestration, automation and response) — автоматизация реагирования на инциденты.

4. Проактивный поиск угроз и аналитика

В случае с продвинутыми атакующими необходимо стараться выявлять потенциальные и скрытые угрозы до того, как они приведут к инциденту:

• Использование TTPs атакующих — анализ по MITRE ATT&CK для итеративного проактивного поиска угроз.
• Написание YARA-правил и обработка IoC (indicators of compromise) для обнаружения вредоносных объектов по имеющимся данным.
• Анализ сетевого трафика (NTA, NDR) для выявления аномалий.

5. Мониторинг и реагирование

Эффективный внутренний или внешний SOC (security operations center) играет важную роль в защите от атак, осуществляя круглосуточный мониторинг журналов, событий и аномалий. Периодическое тестирование и тренировки SOC-аналитиков, повышение их квалификации поможет эффективнее справляться с данной задачей.

6. Red teaming

Оценка защищенности путем моделирования реальных атак. Эмуляция действий группировок при помощи привлечения команды специалистов поможет оценить, насколько организация готова к атакам подобного уровня. Тестирование защиты от фишинга, социальной инженерии, а также отработка различных сценариев атак позволит оценить, как хорошо выстроена система защиты, сколько времени нужно для обнаружения и насколько эффективно реагирование blue team.

Борьба с APT-группировками и хактивистами требует комплексного подхода, сочетающего технологии, процессы и подготовку специалистов. Только постоянное совершенствование защиты, проактивный анализ угроз, реалистичные тестирования и обучение команд могут минимизировать риски целевых атак.