По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, растет. В 2025 г. данный показатель составил 37%, тогда как в 2024 г. только 21%. Таким образом, с целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.
Кибершпионские кластеры существенно различаются как по уровню технической подготовки, так и по степени понимания особенностей атакуемых стран. В ряде случаев сложность используемых техник не сопровождается знанием специфики официальной переписки, что приводит к низкому качеству фишинга; в других – напротив, технически простые атаки компенсируются хорошей адаптацией под локальный контекст, в частности, очень правдоподобным фишингом. Во второй половине декабря 2025 г. группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса РФ. Злоумышленники отправили в организацию фишинговое письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования от лица сотрудника другой организации – научно-производственного центра систем БПЛА.
Во вложении к письму не было вредоносных программ в классическом понимании – только легитимные инструменты, которые злоумышленники использовали в своих целях: AnyDesk (для удаленного управления компьютером жертвы), 4t Tray Minimizer (программа для скрытия окон, чтобы сделать действия атакующих незаметными для пользователя), а также утилита Blat (с ее помощью атакующие скрыто отправляли себе письма с похищенными данными). Такой подход преступники выбрали, чтобы скрыть свою активность от служб безопасности.
Кластеры, занимающиеся шпионажем, нередко обладают большими бюджетами и могут позволить себе покупку дорогостоящих эксплоитов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки группировки Paper Werewolf, для которых злоумышленники предположительно приобрели в Даркнете эксплоит к уязвимости в WinRAR за $80 000.
По оценкам экспертов, заметный рост шпионских атак – один из самых ярких трендов киберландшафта прошлого года.
Специалисты BI.ZONE Threat Intelligence наблюдают за активностью более чем 100 кластеров, нацеленных на Россию и другие страны СНГ, отмечая, что почти половина (45%) из них – шпионские группировки. Кибершпионы все чаще интересуются научно-техническими и инженерными разработками. Доля атак шпионских кластеров на предприятия, связанные с НИОКР, выросла в 2025 г. с 7% до 14%.
