В 2025 году фиксировался значительный рост активности хакеров, использующих вредоносное программное обеспечение для атак на российские организации. По данным проекта «Доменный патруль», в сегменте .RU было обнаружено свыше 10,6 тыс. ресурсов, распространяющих вредоносный код — в 2 раза больше, чем в предыдущем году. Эта тенденция, как отмечают аналитики, уже стала системной.
Евгений Панков, представляющий Координационный центр доменов .RU и .РФ, заявил, что вредоносные программы всё чаще становятся частью многоступенчатых фишинговых схем. Их применение даёт злоумышленникам возможность удалённого доступа к устройствам, что, в свою очередь, открывает путь к сбору переписки, учётных данных, файлов, изображений, аудио- и видеоматериалов.
По информации центра Solar 4RAYS, входящего в группу компаний «Солар», за первые 10 месяцев 2025 года было зафиксировано 18 активных хакерских объединений. Семь из них — новые. По сравнению с прошлым годом количество выявленных группировок увеличилось как минимум вдвое. Об этом сообщил руководитель направления расследования инцидентов Иван Сюхин. Он также назвал наиболее заметные из них — GOFFEE, Shedding Zmiy, Lifting Zmiy, Partizan Zmiy, Erudite/Obstinate Mogwai и ряд других.
Иван Сюхин отметил, что в начале 2026 года на фоне нарастающей активности проявила себя группа Rare Werewolf, также известная под именами Librarian Ghouls и Rezet. Вектор её атак был направлен на сотрудников промышленных предприятий и инженерных вузов. В начальной фазе использовались электронные письма, стилизованные под обращения от действующих организаций. Открытие вложения запускало скрипт, который собирал логины и пароли, а также внедрял майнеры криптовалют.
Дмитрий Галов, возглавляющий российское подразделение Kaspersky GReAT, сообщил, что в целом атаки на российские организации осуществляются более чем сотней различных хакерских сообществ. Основной состав — это хактивисты и APT-группы, работающие в формате длительных целевых атак. Наибольший интерес для них представляют государственные учреждения и предприятия, связанные с промышленностью.
По словам Дмитрия Галова, фишинговые письма по-прежнему остаются основным способом проникновения в цифровую инфраструктуру. Сегодня хакеры всё чаще используют сценарии с многоуровневой логикой, реальными документами, поддельными брендами и адаптацией под отраслевые особенности. За счёт этого удаётся не только преодолеть фильтры безопасности, но и убедить пользователя в достоверности источника. Всё это приводит к заражению систем и компрометации данных.