Разделение между хакерами, руководствующимися в основном идеологическими мотивами (хактивистами), и группами APT становится всё менее чётким: такие субъекты всё чаще выполняют задания в интересах государств и связанных с ними организаций. О значительной перемене в картине мировых киберугроз сообщили аналитики Positive Technologies. По их оценкам, дальнейшее сотрудничество политически ангажированных хакеров с про-государственными объединениями приведёт к возникновению на международном чёрном рынке услуги под названием «хактивизм как сервис».
APT-группы — это сплочённые сообщества взломщиков, осуществляющие целенаправленные атаки, обладающие высокой квалификацией и действующие скрытно в течение долгого периода. Однако в 2025 году под эту категорию начали попадать и хактивистские коллективы, чья активность переросла рамки цифрового активизма.
Специалисты Positive Technologies также отметили эволюцию в характере хактивистской деятельности. Хактивисты теперь нередко выступают в роли посредников или принимают участие в кибератаках совместно либо по поручению про-государственных структур. Выполняя заказные работы, они стремятся расширить собственный инструментарий и повысить квалификацию, сохраняя при этом внешнюю независимость. Это предоставляет им возможности для профессионального совершенствования и развития своего арсенала, вследствие чего их атаки усложняются технически, а цели — увеличиваются в масштабах.
Основным регионом-мишенью для хактивизма в 2025 году оставалась Европа (65% — доля хактивистов, сфокусированных на этом регионе). На место DDoS-атак и взломов сайтов, мотивированных желанием привлечь внимание, приходят операции, направленные на длительное скрытное пребывание в сетях жертв, реальный подрыв инфраструктуры и хищение стратегически важных данных. К примеру, представители про-государственных групп в 2025 году похитили рекордный объём криптовалюты на сумму порядка $2 млрд, что на 51% превышает показатель предыдущего года. При этом ими был получен огромный массив информации о клиентах бирж и их личных данных.
Наиболее часто в 2025 году атакам подвергались секторы, относящиеся к объектам критической инфраструктуры атакуемых государств: государственные органы (22%), промышленные компании (16%), предприятия оборонного комплекса (10%) и финансовые организации (10%). Масштаб угрозы наглядно продемонстрировали операции группировки Lazarus. Злоумышленники рассылали сотрудникам целевых компаний письма с поддельными предложениями о трудоустройстве, содержавшие вредоносное программное обеспечение. В результате были похищены секретные технические сведения о производственных процессах, что нанесло урон военной безопасности ряда стран.
Ключевым методом получения первоначального доступа во внутреннюю сеть оставался фишинг — его использовали до 43% отслеживаемых группировок. При этом арсенал этого способа быстро пополняется благодаря искусственному интеллекту. Например, BlueNoroff применяла в видеозвонках дипфейки, выдавая себя за руководителей криптопроектов, чтобы убедить собеседников установить «обновление» с вредоносным кодом.
«В 2025 году на пространстве СНГ наблюдалась самая высокая плотность действующих кибергрупп: 99 из них идентифицированы как APT-группы, а 24 — как хактивисты. В Европе была зарегистрирована активность 105 объединений, причём почти две трети из них составляют хактивисты, что выводит данный регион на первое место в мире по их удельному весу. В Северной и Латинской Америке действовали 99 групп, в основном движимых финансовыми интересами», — подчеркнул Артем Белей, старший аналитик Positive Technologies.
Противодействие APT-группам и хактивистам нуждается в целостной стратегии, объединяющей технологические средства, отлаженные процедуры и обучение кадров. Современные решения, такие как EDR и XDR, SIEM и NGFW, позволяют вовремя выявлять угрозы и принимать меры до того, как они приведут к серьёзному ущербу. Учитывая, что фишинг остаётся основным способом проникновения, критически важно постоянно проводить тренинги по цифровой гигиене для сотрудников. Существенный вклад в построение упреждающей обороны вносит и киберразведка — непрерывный мониторинг и изучение информации о текущих методах и средствах, используемых злоумышленниками. Проверить, насколько организации готовы к отражению атак такого класса, помогает моделирование реальных сценариев вторжения с участием команды экспертов.
