Работа на опережение: «Лаборатория Касперского» выявила рост антироссийских хакерских групп

Системный характер угроз

Кластеры атакующих можно разделить на следующие:

- Хакеры-активисты (идеологические мотивы, разрушение инфраструктуры): TWELVE, BlackJack, Head Mare, C.A.S, Crypt Ghouls.

- APT‑группы (кибершпионаж): Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho, Mythic Likho, XDSpy.

- Гибридные игроки (уникальный почерк): BO TEAM, Cyberpartisans.

Группы пересекаются по инфраструктуре, инструментам и даже разделению ролей: кто-то обеспечивает доступ, другие — закрепление и нанесение ущерба. Россия с 2022 года стала наиболее атакуемой страной, и число хакеров-активистов постоянно растет. Нападки приобретают системный характер.

В 2025 году появилось минимум 7 новых групп. В приоритете у них - государственный сектор, промышленность и телекоммуникации. Атакам подвергаются как крупные, так и малые предприятия. Злоумышленники активно используют инструменты, ранее доступные лишь Red Team, восстанавливая и адаптируя их под реальные атаки.

Повышение зрелости реактивных ИБ-решений

Подготовка и публикация детального отчёта от Kaspersky — это вклад в национальную кибербезопасность и повышение уровня готовности специалистов. Подобный анализ может стать значимым экспортным потенциалом: зарубежные специалисты и ведомства заинтересованы в детализированной аналитике, особенно по хакерским и гибридным угрозам.

По нашим данным, с 2022 года Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой для отечественных организаций остаётся хакерский активизм: растёт число таких групп, постоянно повышается их технический уровень. Важно понимать, что методы, которые используют одни злоумышленники, рано или поздно берут на заметку другие. Наш новый отчёт — это вклад в глобальную кибербезопасность. С его помощью ИБ-специалисты смогут быть на шаг впереди угрозы, которая приобрела системный характер в России и других регионах

Никита Назаров

руководитель отдела расширенного исследования угроз АО «Лаборатория Касперского»

Публикация отчета должна привести к повышению зрелости реактивных ИБ‑решений. Речь о расширении инструментария целевых атак требует от индустрии создания проактивных и адаптивных решений (XDR, SOC, обмен угрозами, искусственный интеллект). В то же время важно понимать, что злоумышленники сами изучают не только открытые источники, но и профессиональные исследования, экспериментируют и адаптируют их под нужные цели — и это вынуждает применять вдвойне больше усилий в борьбе с ними.

Небывалая активность злоумышленников В мае 2024 года российские госорганизации подверглись сложной кибератаке CloudSorcerer. Этот инструмент кибершпионажа использует облачные сервисы (Microsoft Graph, Yandex Cloud, Dropbox) как командные серверы для незаметного сбора и вывода данных. GitHub также служит начальным командным сервером.

В октябре 2024 года Kaspersky зафиксировал APT‑атаки на госструктуры и промышленность. В отличие от первой волны атак в 2021 году, спустя три года они используют агент для платформы MeshCentral вместо модуля UltraVNC, что позволило получать удалённый доступ к системам. 

В начале 2025 года русскоязычная ransomware‑группа OldGremlin возобновила активность, применяя драйверы и Node.js для атак на производственные, медицинские и технологические компании. Впервые группировка OldGremlin была обнаружена пять лет назад. Она использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы (в среднем около 49 дней) — прежде чем зашифровать файлы.

Тенденция глубокого анализа

Киберугрозы становятся всё более фрагментированными, но сетевыми. Группы демонстрируют рост взаимодействия и синдицирование. Продолжится рост хакерской активности, особенно на фоне геополитической напряжённости. Это создаёт постоянное давление на российскую ИБ-инфраструктуру.

Важно понимать, что технический арсенал злоумышленников будет расширяться. Red Team-инструменты станут общедоступными и будут активней использоваться в реальных операциях. Технически некоторые группы находятся на уровне мировых APT. В будущем потребуются специализированные исследования и отчёты. Kaspersky предоставил важный пример — и отрасли стоит следовать тенденции глубокого анализа. Подобная работа повысится спрос на интегрированные решения (SOC, XDR, threat intelligence). Атакующие быстро адаптируются, поэтому защита должна работать на опережение.