Кибершпионы усилили интерес к инженерным предприятиям

Доля атак на российские организации с целью шпионажа серьёзно выросла. По данным компании BI.ZONE, в 2025 году показатель составил 37%, в 2024-м был всего 21%. Теперь с целью шпионажа совершается не каждая пятая атака, а каждая третья. Инженерные предприятия стали атаковать в два раза чаще. Госсектор остаётся целью номер один, но теперь злоумышленники подтягиваются и к науке.

Как объяснили исследователи, увеличение доли шпионских атак в 1,5 раза стало одним из самых ярких трендов киберландшафта 2025 года. В одном из прошлых материалов мы говорили, что специалисты кибербеза наблюдают за активностью 100 кластеров, нацеленных на Россию и другие страны СНГ, 45% из этих кластеров — это именно шпионские группировки. Основная цель по-прежнему органы государственного управления — на них приходится 27% атак. Но кибершпионы стали заметно чаще интересоваться научно-техническими и инженерными разработками. Доля атак на предприятия, связанные с НИОКР, выросла с 7 до 14%.

Во второй половине декабря 2025-го группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие ОПК России. Злоумышленники отправили фишинговое письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования. Отправитель представился сотрудником другой организации — научно-производственного центра беспилотных систем.

Помимо легитимных программ, практически все шпионские кластеры активно используют вредоносное ПО собственной разработки. Новые самописные программы позволяют эффективнее обходить средства защиты и дольше оставаться в инфраструктуре незамеченными.

Кластеры, нацеленные на шпионаж, обычно не ограничены в бюджете. Они могут позволить себе дорогостоящие эксплоиты, включая 0-day уязвимости. Ранее специалисты ИБ фиксировали атаки группировки Paper Werewolf. Для них злоумышленники, предположительно, купили на теневом форуме эксплоит к уязвимости в WinRAR за 80 тысяч долларов.