Центр компетенций по сетевой безопасности компании «Гарда» обобщил данные об активности APT-группировок в 2025 году. Анализ публичных отчетов показывает высокую частоту целенаправленных атак на российские организации, при этом основной интерес злоумышленников сосредоточен на государственном и промышленном секторах.
Основными целями атак являются сбор конфиденциальной информации и создание сбоев в работе инфраструктуры, причем методы атакующих становятся более скрытными и методичными.
Фишинг остается ключевым способом первоначального проникновения во всех изученных случаях. Все выявленные группировки проводили кампании против российских государственных учреждений. Далее по частоте атак следуют организации промышленности и энергетики, затем — телекоммуникационные компании и образовательные учреждения. В ряде инцидентов атакующие совмещали кражу данных с их удалением, в других — фокусировались на обеспечении долгосрочного доступа для постоянного сбора информации.
Для доставки вредоносного кода используются преимущественно два подхода: целевые фишинговые рассылки и маскировка файлов под легитимные документы или служебные программы. Содержание писем адаптируется под потенциальную жертву. После получения доступа злоумышленники укрепляют свое присутствие с помощью стандартных инструментов администрирования, средств туннелирования и специализированных фреймворков. Для сохранения доступа применяются скрипты PowerShell, задания планировщика и легитимные агенты удаленного управления.
На этапе развития атаки проводится разведка внутренней сети и перемещение между системами с использованием стандартных протоколов, таких как RDP и SMB, а также скомпрометированных учетных данных. Управление осуществляется через скрытую командную инфраструктуру, трафик к которой маскируется с помощью HTTPS, WebSocket или туннелирования через облачные сервисы.
Среди ключевых выявленных группировок — Awaken Likho, Angry Likho, Mythic Likho, GOFFEE, XDSpy, Rezet, Cloud Atlas и YoroTrooper. Их инструментарий включает как кастомные разработки, так и популярные фреймворки (Mythic, Havoc), утилиты для удаленного управления (AnyDesk, UltraVNC), средства туннелирования (ngrok) и стилеры (Lumma Stealer).
Как отметил руководитель продукта «Гарда Threat Intelligence Feeds» Илья Селезнев, атакующие все чаще имитируют легитимную административную активность. В связи с этим, помимо мониторинга событий, важно использовать актуальные источники данных об угрозах. Это позволяет учитывать методы конкретных группировок, быстрее выявлять подозрительные действия и сокращать время на реагирование.