Специалисты «Лаборатории Касперского» провели технический анализ активности 14 группировок, наиболее интенсивно атакующих организации в России, Беларуси и некоторых других странах. В их числе — хактивисты, которые появились в российском ландшафте угроз после 2022 года и публично называли себя «проукраинскими». Исследователи объединили группы атакующих в три кластера — исходя из мотивов и инструментария злоумышленников. Хактивисты:действуют по идеологическим соображениям и в основном стремятся разрушить инфраструктуру компаний в России. К ним относятся TWELVE, BlackJack, Head Mare, C.A.S., Crypt Ghouls. APT-группы:проводят сложные целевые кампании с целью кибершпионажа — Awaken Likho, Angry Likho, GOFFEE, Cloud Atlas, Librarian Likho (ранее — Librarian Ghouls), Mythic Likho, XDSpy. В третий, гибридный, кластер вошли злоумышленники, которые имеют уникальный почерк, — BO TEAM и Cyberpartisans. Согласно отчету, после 2022 года число хакерских групп, атакующих Россию, резко выросло — в основном за счет хактивистов. К настоящему времени злоумышленники стали более опытными и организованными. Они общаются, обмениваются знаниями и инструментами для достижения общей цели и стремятся к публичности. Угроза продолжает нарастать, поскольку об атаках на российские организации регулярно заявляют все новые группировки. Только в 2025 году, по данным «Лаборатории Касперского», их появилось как минимум семь. По словам экспертов, большинство изученных групп взаимодействуют друг с другом. Они могут использовать одинаковые инструменты и даже делить роли в операциях против российских компаний: кто-то отвечает за доступ, другие — за закрепление и нанесение ущерба. Хотя под ударом находятся самые разные отрасли, в топ-3 целей атакующих входят госсектор, промышленность и телеком. Большинство изученных группировок атакуют именно их. При этом злоумышленников одинаково интересует и крупный бизнес, и небольшие предприятия. Также отмечается, что в последние годы группы стали более технически подкованными. Инструменты, которые ранее использовались крайне редко, были характерны только для подразделений Red Team либо существовали лишь «на бумаге», все чаще применяются в реальных атаках. Исследователи считают, что это может свидетельствовать о том, что злоумышленники изучают не только открытые источники, но и профессиональные исследования, экспериментируют и адаптируют их под нужные цели. «По нашим данным, с 2022 года Россия является самой атакуемой страной в киберпространстве. Ключевой угрозой для отечественных организаций остается хактивизм: растет число таких групп, постоянно повышается их технический уровень. Важно понимать, что методы, которые используют одни злоумышленники, рано или поздно берут на заметку другие, — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз „Лаборатории Касперского“. — Наш новый отчет — это вклад в глобальную кибербезопасность. С его помощью ИБ-специалисты смогут быть на шаг впереди угрозы, которая приобрела системный характер в России и других регионах».