По данным отчёта Amazon, группа, которую компания с высокой степенью уверенности связывает с русскими хакерами, сменила привычную тактику атак на западные организации. Если ранее векторы атак строились вокруг эксплуатации уязвимостей в популярных платформах, то теперь злоумышленники перешли к компрометации неправильно настроенных периферийных устройств в сетях жертв.
Специалисты Amazon Threat Intelligence сообщили, что активность этой группы наблюдается минимум с 2021 года. За это время атакам подверглись организации, связанные с критически важной инфраструктурой в Северной Америке и Европе. Целями стали в том числе компании энергетического сектора и поставщики сетевых облачных сервисов.
В предыдущие годы, как зафиксировано в отчёте, злоумышленники эксплуатировали уязвимости в устройствах WatchGuard (CVE-2022-26318), ПО Atlassian Confluence (CVE-2021-26084, CVE-2023-22518) и решениях от Veeam (CVE-2023-27532). Эти уязвимости использовались для первичного проникновения в инфраструктуру компаний.
Начиная с 2025 года, группа перешла к другой модели: основной акцент теперь делается на эксплуатацию ошибок конфигурации оборудования, размещённого на периферии сетей, включая те, что работают в среде Amazon Web Services. В отчёте подчёркивается, что технические уязвимости не связаны с самой инфраструктурой AWS — ошибки исходят со стороны клиентов, не обеспечивших корректную настройку устройств.
Целями атак становятся:

корпоративные маршрутизаторы и элементы маршрутизирующей инфраструктуры;
VPN-шлюзы и серверы удалённого доступа;
устройства, контролирующие сетевую активность;
платформы совместной работы, внутренние вики и документация;
облачные инструменты для управления проектами.

По мнению экспертов Amazon, такой тактический переход позволяет добиться тех же результатов, что и раньше — постоянного доступа к инфраструктуре, сбора учётных данных, перемещения внутри корпоративных сетей и выхода на чувствительные ресурсы. При этом подобная стратегия снижает риски для самих злоумышленников и требует меньше затрат на поддержание операций.